Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Manajemen kunci
Bagian berikut ini memberikan informasi tentang bekerja dengan kunci yang terkelola di AWS Key Management Service (AWS KMS). Untuk lebih lanjut tentang
catatan
Amazon SNS hanya mendukung kunci KMS enkripsi simetris. Anda tidak dapat menggunakan jenis kunci KMS lainnya untuk mengenkripsi sumber daya layanan Anda. Untuk bantuan menentukan apakah kunci KMS adalah kunci enkripsi simetris, lihat Mengidentifikasi kunci KMS asimetris.
Memperkirakan biaya AWS KMS
Untuk memprediksi biaya dan lebih memahami AWS tagihan Anda, Anda mungkin ingin tahu seberapa sering Amazon SNS menggunakan tagihan Anda. AWS KMS key
catatan
Meskipun rumus berikut dapat memberikan ide yang sangat baik dari biaya yang diharapkan, biaya yang sebenarnya mungkin lebih tinggi karena sifat terdistribusi Amazon SNS.
Untuk menghitung jumlah permintaan API (R
) per topikgunakan rumus berikut ini:
R = B / D * (2 * P)
B
adalah periode penagihan (dalam detik).
D
adalah periode penggunaan kembali kunci data (dalam hitungan detik—Amazon SNS menggunakan kembali kunci data hingga 5 menit).
P
adalah jumlah prinsipal penerbitan yang dikirim ke topik Amazon SNS.
Berikut ini adalah contoh perhitungan. Untuk informasi harga sebenranya, lihat Harga AWS Key Management Service
Contoh 1: Menghitung jumlah panggilan API AWS KMS untuk 1 penerbit dan 1 topik
Contoh ini mengasumsikan sebagai berikut:
-
Periode penagihan adalah 1-31 Januari (2.678.400 detik).
-
Periode penggunaan kembali kunci data adalah 5 menit (300 detik).
-
Ada 1 topik.
-
Ada 1 penerbitan utama.
2,678,400 / 300 * (2 * 1) = 17,856
Contoh 2: Menghitung jumlah panggilan API AWS KMS untuk beberapa penerbit dan 2 topik
Contoh ini mengasumsikan sebagai berikut:
-
Periode penagihan adalah 1-28 Februari (2.419.200 detik).
-
Periode penggunaan kembali kunci data adalah 5 menit (300 detik).
-
Ada 2 topik.
-
Topik pertama memiliki 3 prinsipal penerbitan.
-
Topik kedua memiliki 5 prinsipal penerbitan.
(2,419,200 / 300 * (2 * 3)) + (2,419,200 / 300 * (2 * 5)) = 129,024
Mengonfigurasi izin AWS KMS
Sebelum Anda dapat menggunakan SSE, Anda harus mengonfigurasi AWS KMS key kebijakan untuk mengizinkan enkripsi topik dan enkripsi dan dekripsi pesan. Untuk contoh dan informasi selengkapnya tentang izin AWS KMS, lihatIzin API AWS KMS: Tindakan dan Referensi Sumber Daya dalam Panduan Developer AWS Key Management Service. Untuk detail tentang cara mengatur topik Amazon SNS dengan enkripsi sisi server, lihat. Siapkan topik Amazon SNS dengan enkripsi sisi server
catatan
Anda juga dapat mengelola izin untuk kunci KMS enkripsi simetris menggunakan kebijakan IAM. Untuk informasi selengkapnya, lihat Menggunakan kebijakan IAM dengan AWS KMS.
Meskipun Anda dapat mengonfigurasi izin global untuk mengirim dan menerima dari Amazon SNSAWS KMS, memerlukan secara eksplisit penamaan ARN lengkap KMS di wilayah tertentu di bagian kebijakan IAM. Resource
Anda juga harus memastikan bahwa kebijakan utama AWS KMS key mengizinkan izin yang diperlukan. Untuk melakukannya, beri nama utama yang menghasilkan dan menggunakan pesan terenkripsi di Amazon SNS sebagai pengguna dalam kebijakan kunci KMS.
Atau, Anda dapat menentukan AWS KMS tindakan yang diperlukan dan KMS ARN dalam kebijakan IAM yang ditetapkan ke prinsipal yang menerbitkan dan berlangganan untuk menerima pesan terenkripsi di Amazon SNS. Untuk informasi selengkapnya, lihat Mengelola Akses ke AWS KMS dalam Panduan AWS Key Management Service Pengembang.
Jika memilih kunci yang dikelola pelanggan untuk topik Amazon SNS Anda dan Anda menggunakan alias untuk mengontrol akses ke kunci KMS menggunakan kebijakan IAM atau kebijakan kunci KMS dengan kunci kondisikms:ResourceAliases
, pastikan bahwa kunci yang dikelola pelanggan yang dipilih juga memiliki alias yang terkait. Untuk informasi selengkapnya tentang penggunaan alias untuk mengontrol akses ke kunci KMS, lihat Menggunakan alias untuk mengontrol akses ke kunci KMS di Panduan Pengembang. AWS Key Management Service
Mengizinkan pengguna untuk mengirim pesan ke topik dengan SSE
Penerbit harus memiliki kms:GenerateDataKey*
dan kms:Decrypt
izin untuk. AWS KMS key
{ "Statement": [{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:*:123456789012:MyTopic" }] }
Aktifkan kompatibilitas antara sumber acara dari layanan AWS dan topik terenkripsi
Beberapa layanan AWS menerbitkan peristiwa untuk topik Amazon SNS. Untuk mengizinkan sumber peristiwa tersebut agar bekerja dengan topik terenkripsi, Anda harus melakukan langkah-langkah berikut in.
-
Gunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang Membuat Kunci dalam AWS Key Management ServicePanduan Developer.
-
Untuk mengizinkan AWS layanan memiliki
kms:GenerateDataKey*
dankms:Decrypt
izin, tambahkan pernyataan berikut ke kebijakan KMS.{ "Statement": [{ "Effect": "Allow", "Principal": { "Service": "
service
.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "*" }] }Sumber peristiwa Prinsipal layanan Amazon CloudWatch cloudwatch.amazonaws.com
CloudWatch Acara Amazon events.amazonaws.com
AWS CodeCommit codecommit.amazonaws.com
AWS CodeStar codestar-notifications.amazonaws.com
AWS Database Migration Service dms.amazonaws.com
AWS Directory Service ds.amazonaws.com
Amazon DynamoDB dynamodb.amazonaws.com
Amazon Inspector inspector.amazonaws.com
Pergeseran Merah Amazon redshift.amazonaws.com
Amazon RDS events.rds.amazonaws.com
Gletser Amazon S3 glacier.amazonaws.com
Layanan Email Sederhana Amazon ses.amazonaws.com
Layanan Penyimpanan Sederhana Amazon s3.amazonaws.com
AWS Snowball importexport.amazonaws.com
AWSManajer Insiden Systems Manager AWSSystems Manager Incident Manager terdiri dari dua prinsip layanan:
ssm-incidents.amazonaws.com
;ssm-contacts.amazonaws.com
catatan
Beberapa sumber acara Amazon SNS mengharuskan Anda untuk memberikan peran IAM (bukan prinsip layanan) dalam kebijakan: AWS KMS key
-
Tambahkan kunci
aws:SourceAccount
danaws:SourceArn
kondisi ke kebijakan sumber daya KMS untuk lebih melindungi kunci KMS dari serangan wakil yang membingungkan. Lihat daftar dokumentasi khusus layanan (di atas) untuk detail yang tepat dalam setiap kasus.penting
Menambahkan
aws:SourceAccount
danaws:SourceArn
ke AWS KMS kebijakan tidak didukung untuk topik yang EventBridge dienkripsi.{ "Effect": "Allow", "Principal": { "Service": "service.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "
customer-account-id
" }, "ArnLike": { "aws:SourceArn": "arn:aws:service:region:customer-account-id
:resource-type:customer-resource-id
" } } } -
Aktifkan SSE untuk topik Anda menggunakan KMS Anda.
-
Berikan ARN topik terenkripsi ke sumber peristiwa.
Kesalahan AWS KMS
Ketika Anda bekerja dengan Amazon SNS dan AWS KMS, Anda mungkin mengalami kesalahan. Daftar berikut ini menjelaskan kesalahan dan solusi pemecahan masalah yang dimungkinkan.
- KMS AccessDeniedException
-
Ciphertext merujuk pada kunci yang tidak ada atau bahwa Anda tidak memiliki akses ke padanya.
Kode Status HTTP: 400
- KMS DisabledException
-
Permintaan ditolak karena KMS yang ditentukan tidak diaktifkan.
Kode Status HTTP: 400
- KMS InvalidStateException
-
Permintaan ditolak karena keadaan sumber daya yang ditentukan tidak valid untuk permintaan ini. Untuk informasi selengkapnya, lihat Status kunci AWS KMS keys dalam Panduan AWS Key Management Service Pengembang.
Kode Status HTTP: 400
- KMS NotFoundException
-
Permintaan ditolak karena entitas atau sumber daya yang ditentukan tidak dapat ditemukan.
Kode Status HTTP: 400
- KMS OptInRequired
-
Access key ID AWS membutuhkan berlangganan untuk layanan.
Kode Status HTTP: 403
- KMS ThrottlingException
-
Permintaan ditolak karena throttling permintaan. Untuk informasi selengkapnya tentang pembatasan, lihat Kuota di Panduan Pengembang. AWS Key Management Service
Kode Status HTTP: 400