Manajemen kunci - Amazon Simple Notification Service
Memperkirakan biaya AWS KMSMengonfigurasi izin AWS KMSKesalahan AWS KMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Manajemen kunci

Bagian berikut ini memberikan informasi tentang bekerja dengan kunci yang terkelola di AWS Key Management Service (AWS KMS). Untuk lebih lanjut tentang

catatan

Amazon SNS hanya mendukung kunci KMS enkripsi simetris. Anda tidak dapat menggunakan jenis kunci KMS lainnya untuk mengenkripsi sumber daya layanan Anda. Untuk bantuan menentukan apakah kunci KMS adalah kunci enkripsi simetris, lihat Mengidentifikasi kunci KMS asimetris.

Memperkirakan biaya AWS KMS

Untuk memprediksi biaya dan lebih memahami AWS tagihan Anda, Anda mungkin ingin tahu seberapa sering Amazon SNS menggunakan tagihan Anda. AWS KMS key

catatan

Meskipun rumus berikut dapat memberikan ide yang sangat baik dari biaya yang diharapkan, biaya yang sebenarnya mungkin lebih tinggi karena sifat terdistribusi Amazon SNS.

Untuk menghitung jumlah permintaan API (R) per topikgunakan rumus berikut ini:

R = B / D * (2 * P)

B adalah periode penagihan (dalam detik).

D adalah periode penggunaan kembali kunci data (dalam hitungan detik—Amazon SNS menggunakan kembali kunci data hingga 5 menit).

P adalah jumlah prinsipal penerbitan yang dikirim ke topik Amazon SNS.

Berikut ini adalah contoh perhitungan. Untuk informasi harga sebenranya, lihat Harga AWS Key Management Service.

Contoh 1: Menghitung jumlah panggilan API AWS KMS untuk 1 penerbit dan 1 topik

Contoh ini mengasumsikan sebagai berikut:

  • Periode penagihan adalah 1-31 Januari (2.678.400 detik).

  • Periode penggunaan kembali kunci data adalah 5 menit (300 detik).

  • Ada 1 topik.

  • Ada 1 penerbitan utama.

2,678,400 / 300 * (2 * 1) = 17,856

Contoh 2: Menghitung jumlah panggilan API AWS KMS untuk beberapa penerbit dan 2 topik

Contoh ini mengasumsikan sebagai berikut:

  • Periode penagihan adalah 1-28 Februari (2.419.200 detik).

  • Periode penggunaan kembali kunci data adalah 5 menit (300 detik).

  • Ada 2 topik.

  • Topik pertama memiliki 3 prinsipal penerbitan.

  • Topik kedua memiliki 5 prinsipal penerbitan.

(2,419,200 / 300 * (2 * 3)) + (2,419,200 / 300 * (2 * 5)) = 129,024

Mengonfigurasi izin AWS KMS

Sebelum Anda dapat menggunakan SSE, Anda harus mengonfigurasi AWS KMS key kebijakan untuk mengizinkan enkripsi topik dan enkripsi dan dekripsi pesan. Untuk contoh dan informasi selengkapnya tentang izin AWS KMS, lihatIzin API AWS KMS: Tindakan dan Referensi Sumber Daya dalam Panduan Developer AWS Key Management Service. Untuk detail tentang cara mengatur topik Amazon SNS dengan enkripsi sisi server, lihat. Siapkan topik Amazon SNS dengan enkripsi sisi server

catatan

Anda juga dapat mengelola izin untuk kunci KMS enkripsi simetris menggunakan kebijakan IAM. Untuk informasi selengkapnya, lihat Menggunakan kebijakan IAM dengan AWS KMS.

Meskipun Anda dapat mengonfigurasi izin global untuk mengirim dan menerima dari Amazon SNSAWS KMS, memerlukan secara eksplisit penamaan ARN lengkap KMS di wilayah tertentu di bagian kebijakan IAM. Resource

Anda juga harus memastikan bahwa kebijakan utama AWS KMS key mengizinkan izin yang diperlukan. Untuk melakukannya, beri nama utama yang menghasilkan dan menggunakan pesan terenkripsi di Amazon SNS sebagai pengguna dalam kebijakan kunci KMS.

Atau, Anda dapat menentukan AWS KMS tindakan yang diperlukan dan KMS ARN dalam kebijakan IAM yang ditetapkan ke prinsipal yang menerbitkan dan berlangganan untuk menerima pesan terenkripsi di Amazon SNS. Untuk informasi selengkapnya, lihat Mengelola Akses ke AWS KMS dalam Panduan AWS Key Management Service Pengembang.

Jika memilih kunci yang dikelola pelanggan untuk topik Amazon SNS Anda dan Anda menggunakan alias untuk mengontrol akses ke kunci KMS menggunakan kebijakan IAM atau kebijakan kunci KMS dengan kunci kondisikms:ResourceAliases, pastikan bahwa kunci yang dikelola pelanggan yang dipilih juga memiliki alias yang terkait. Untuk informasi selengkapnya tentang penggunaan alias untuk mengontrol akses ke kunci KMS, lihat Menggunakan alias untuk mengontrol akses ke kunci KMS di Panduan Pengembang. AWS Key Management Service

Mengizinkan pengguna untuk mengirim pesan ke topik dengan SSE

Penerbit harus memiliki kms:GenerateDataKey* dan kms:Decrypt izin untuk. AWS KMS key

{
  "Statement": [{
    "Effect": "Allow",
    "Action": [
      "kms:GenerateDataKey*",
      "kms:Decrypt"
    ],
    "Resource": "arn:aws:kms:us-east-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  }, {
    "Effect": "Allow",
    "Action": [
      "sns:Publish"
    ],
    "Resource": "arn:aws:sns:*:123456789012:MyTopic"
  }]
}

Aktifkan kompatibilitas antara sumber acara dari layanan AWS dan topik terenkripsi

Beberapa layanan AWS menerbitkan peristiwa untuk topik Amazon SNS. Untuk mengizinkan sumber peristiwa tersebut agar bekerja dengan topik terenkripsi, Anda harus melakukan langkah-langkah berikut in.

  1. Gunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang Membuat Kunci dalam AWS Key Management ServicePanduan Developer.

  2. Untuk mengizinkan AWS layanan memiliki kms:GenerateDataKey* dan kms:Decrypt izin, tambahkan pernyataan berikut ke kebijakan KMS.

    {
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "Service": "service.amazonaws.com"
    },
    "Action": [
      "kms:GenerateDataKey*",
      "kms:Decrypt"
    ],
    "Resource": "*"
  }]
}
    Sumber peristiwa Prinsipal layanan
    Amazon CloudWatch cloudwatch.amazonaws.com
    CloudWatch Acara Amazon events.amazonaws.com
    AWS CodeCommit codecommit.amazonaws.com
    AWS CodeStar codestar-notifications.amazonaws.com
    AWS Database Migration Service dms.amazonaws.com
    AWS Directory Service ds.amazonaws.com
    Amazon DynamoDB dynamodb.amazonaws.com
    Amazon Inspector inspector.amazonaws.com
    Pergeseran Merah Amazon redshift.amazonaws.com
    Amazon RDS events.rds.amazonaws.com
    Gletser Amazon S3 glacier.amazonaws.com
    Layanan Email Sederhana Amazon ses.amazonaws.com
    Layanan Penyimpanan Sederhana Amazon s3.amazonaws.com
    AWS Snowball importexport.amazonaws.com
    AWSManajer Insiden Systems Manager

    AWSSystems Manager Incident Manager terdiri dari dua prinsip layanan:

    ssm-incidents.amazonaws.com; ssm-contacts.amazonaws.com
    catatan

    Beberapa sumber acara Amazon SNS mengharuskan Anda untuk memberikan peran IAM (bukan prinsip layanan) dalam kebijakan: AWS KMS key

  3. Tambahkan kunci aws:SourceAccount dan aws:SourceArn kondisi ke kebijakan sumber daya KMS untuk lebih melindungi kunci KMS dari serangan wakil yang membingungkan. Lihat daftar dokumentasi khusus layanan (di atas) untuk detail yang tepat dalam setiap kasus.

    penting

    Menambahkan aws:SourceAccount dan aws:SourceArn ke AWS KMS kebijakan tidak didukung untuk topik yang EventBridge dienkripsi.

    {
  "Effect": "Allow",
  "Principal": {
    "Service": "service.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey*",
    "kms:Decrypt"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "customer-account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:service:region:customer-account-id:resource-type:customer-resource-id"
    }
  }
}

  4. Aktifkan SSE untuk topik Anda menggunakan KMS Anda.

  5. Berikan ARN topik terenkripsi ke sumber peristiwa.

Kesalahan AWS KMS

Ketika Anda bekerja dengan Amazon SNS dan AWS KMS, Anda mungkin mengalami kesalahan. Daftar berikut ini menjelaskan kesalahan dan solusi pemecahan masalah yang dimungkinkan.

KMS AccessDeniedException

Ciphertext merujuk pada kunci yang tidak ada atau bahwa Anda tidak memiliki akses ke padanya.

Kode Status HTTP: 400

KMS DisabledException

Permintaan ditolak karena KMS yang ditentukan tidak diaktifkan.

Kode Status HTTP: 400

KMS InvalidStateException

Permintaan ditolak karena keadaan sumber daya yang ditentukan tidak valid untuk permintaan ini. Untuk informasi selengkapnya, lihat Status kunci AWS KMS keys dalam Panduan AWS Key Management Service Pengembang.

Kode Status HTTP: 400

KMS NotFoundException

Permintaan ditolak karena entitas atau sumber daya yang ditentukan tidak dapat ditemukan.

Kode Status HTTP: 400

KMS OptInRequired

Access key ID AWS membutuhkan berlangganan untuk layanan.

Kode Status HTTP: 403

KMS ThrottlingException

Permintaan ditolak karena throttling permintaan. Untuk informasi selengkapnya tentang pembatasan, lihat Kuota di Panduan Pengembang. AWS Key Management Service

Kode Status HTTP: 400