Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in Amazon SQS
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Simple Queue Service. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon SQS o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
Le sezioni seguenti forniscono informazioni sulla protezione dei dati in Amazon SQS.
# Crittografia dei dati in Amazon SQS
La protezione dei dati ha lo scopo di proteggere i dati sia in transito (durante la trasmissione verso e da Amazon SQS), sia quando sono inattivi (ovvero quando sono archiviati su disco nei data center Amazon SQS). È possibile proteggere i dati in transito tramite il protocollo Secure Sockets Layer (SSL) o tramite la crittografia lato client. Per impostazione predefinita, Amazon SQS archivia messaggi e file utilizzando la crittografia del disco. Puoi proteggere i dati inattivi richiedendo ad Amazon SQS di crittografare i tuoi messaggi prima di salvarli nel file system crittografato dei suoi data center. Amazon SQS consiglia di utilizzare SSE per la crittografia ottimizzata dei dati.
**Topics**
+ [Crittografia dei dati a riposo](sqs-server-side-encryption.md)
+ [Gestione delle chiavi](sqs-key-management.md)
# Crittografia inattiva in Amazon SQS
La crittografia lato server (SSE) consente di trasmettere dati sensibili in code crittografate. SSE protegge il contenuto dei messaggi nelle code utilizzando chiavi di crittografia gestite da SQL (SSE-SQS) o chiavi gestite in (SSE-KMS). AWS Key Management Service Per informazioni sulla gestione di SSE tramite, consulta quanto segue: Console di gestione AWS
+ [Configurare SSE-SQS per una coda (console)](sqs-configure-sqs-sse-queue.md)
+ [Configurare SSE-KMS per una coda (console)](sqs-configure-sse-existing-queue.md)
Per informazioni sulla gestione di SSE utilizzando le `[GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)` azioni AWS SDK per Java (e `[CreateQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)``[SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)`, e), consulta i seguenti esempi:
+ [Utilizzo della crittografia lato server con le code Amazon SQS](sqs-java-configure-sse.md)
+ [Configurazione delle autorizzazioni KMS per Servizi AWS](sqs-key-management.md#compatibility-with-aws-services)
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Mw1NVpJsOZc?rel=0&controls=0&showinfo=0)
SSE esegue la crittografia dei messaggi non appena vengono ricevuti da Amazon SQS. I messaggi sono archiviati in forma crittografata e decrittografati da Amazon SQS solo quando vengono inviati a un consumatore autorizzato.
**Importante**
Tutte le richieste alle code con la funzione SSE abilitata devono utilizzare HTTPS e [Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html).
Una [coda crittografata](#sqs-server-side-encryption) che utilizza la chiave predefinita (chiave KMS AWS gestita per Amazon SQS) non può richiamare una funzione Lambda in un'altra. Account AWS
Alcune funzionalità dei AWS servizi che possono inviare notifiche ad Amazon SQS utilizzando l' AWS Security Token Service `[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)`azione sono compatibili con SSE ma funzionano *solo con* le code standard:
[Hook del ciclo di vita di dimensionamento automatico](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html)
[AWS Lambda Code DLQ](https://docs.aws.amazon.com/lambda/latest/dg/dlq.html)
Per informazioni sulla compatibilità di altri servizi con code crittografate, consulta [AWS Configura le autorizzazioni KMS per i servizi](sqs-key-management.md#compatibility-with-aws-services) e la documentazione del servizio.
AWS KMS combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Quando usi Amazon SQS con AWS KMS, anche [le chiavi dati](#sqs-sse-key-terms) che crittografano i dati dei messaggi vengono crittografate e archiviate con i dati che proteggono.
Di seguito sono elencati i vantaggi derivanti dall'uso di AWS KMS:
+ È possibile creare e gestire [AWS KMS keys](#sqs-sse-key-terms) in modo autonomo.
+ Puoi anche utilizzare la chiave KMS AWS gestita per Amazon SQS, che è unica per ogni account e regione.
+ Gli standard AWS KMS di sicurezza possono aiutarti a soddisfare i requisiti di conformità relativi alla crittografia.
Per ulteriori informazioni, consulta [Cos'è AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) nella *Guida per gli sviluppatori AWS Key Management Service *.
## Ambito della crittografia
SSE crittografa il corpo di un messaggio in una coda Amazon SQS.
SSE non esegue la crittografia di quanto segue:
+ Metadati della coda (nome e attributi della coda)
+ Metadati del messaggio (ID messaggio, timestamp e attributi)
+ Metriche per coda
La crittografia di un messaggio ne rende i contenuti non disponibili a utenti non autorizzati o anonimi. Con SSE abilitato, le richieste anonime `SendMessage` e `ReceiveMessage` alla coda crittografata verranno rifiutate. Le best practice di sicurezza di Amazon SQS consigliano di non utilizzare richieste anonime. Se desideri inviare richieste anonime a una coda Amazon SQS, assicurati di disabilitare SSE. Ciò non ha implicazioni sul normale funzionamento di Amazon SQS:
+ Un messaggio viene crittografato solo se inviato dopo che la crittografia di una coda è abilitata. Amazon SQS non crittografa i messaggi in backlog.
+ Tutti i messaggi crittografati restano crittografati anche se la crittografia della relativa coda è disabilitata.
Lo spostamento di un messaggio a una [coda dead-letter](sqs-dead-letter-queues.md) non ne pregiudica la crittografia:
+ Quando Amazon SQS sposta un messaggio da una coda di origine crittografata a una coda DLQ non crittografata, il messaggio rimane crittografato.
+ Quando Amazon SQS sposta un messaggio da una coda di origine non crittografata a una coda DLQ crittografata, il messaggio rimane non crittografato.
## Termini chiave
I seguenti termini chiave possono aiutarti a comprendere meglio le funzionalità di SSE . Per una descrizione dettagliata, consulta la *[Documentazione di riferimento per l'API Amazon Simple Notification Service](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/)*.
**Chiave di dati**
La chiave (DEK) responsabile della crittografia dei contenuti dei messaggi Amazon SQS.
Per ulteriori informazioni, consulta [Chiavi di dati](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) nella *Guida per sviluppatori di AWS Key Management Service * nella *Guida per sviluppatori di AWS Encryption SDK *.
**Periodo di riutilizzo della chiave di dati**
Il periodo di tempo, in secondi, durante il quale Amazon SQS può riutilizzare una chiave dati per crittografare o decrittografare i messaggi prima di effettuare una nuova chiamata. AWS KMS Numero intero che rappresenta secondi, tra 60 (1 minuto) e 86.400 (24 ore). Il valore predefinito è 300 (5 minuti). Per ulteriori informazioni, consulta [Informazioni sul periodo di riutilizzo della chiave di dati](sqs-key-management.md#sqs-how-does-the-data-key-reuse-period-work).
Nell'improbabile eventualità di impossibilità di raggiungerla AWS KMS, Amazon SQS continua a utilizzare la chiave dati memorizzata nella cache fino a quando non viene ristabilita una connessione.
**ID della chiave KMS**
L'alias, l'alias ARN, l'ID della chiave o l'ARN della chiave KMS AWS gestita o di una chiave KMS personalizzata, nel tuo account o in un altro account. Sebbene l'alias della chiave KMS AWS gestita per Amazon SQS sia `alias/aws/sqs` sempre, l'alias di una chiave KMS personalizzata può, ad esempio, essere. `alias/MyAlias` Puoi utilizzare queste chiavi KMS per proteggere i messaggi nelle code Amazon SQS.
Ricorda quanto segue:
+ Se non specifichi una chiave KMS personalizzata, Amazon SQS utilizza AWS la chiave KMS gestita per Amazon SQS.
+ La prima volta che utilizzi Console di gestione AWS per specificare la chiave KMS AWS gestita per Amazon SQS per una coda AWS KMS , crea AWS la chiave KMS gestita per Amazon SQS.
+ In alternativa, la prima volta che utilizzi l'`SendMessageBatch`azione `SendMessage` o su una coda con SSE abilitato, AWS KMS crea la chiave KMS AWS gestita per Amazon SQS.
Puoi creare chiavi KMS, definire le politiche che controllano l'utilizzo delle chiavi KMS e controllare l'utilizzo delle chiavi KMS utilizzando la sezione **Customer managed keys della console** o dell'azione. AWS KMS `[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)` AWS KMS Per ulteriori informazioni, consulta [Chiavi KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) e [Creazione di chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella *Guida per gli sviluppatori di AWS Key Management Service *. *Per altri esempi di identificatori di chiave KMS, consulta [KeyId](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html#API_DescribeKey_RequestParameters)l'API Reference.AWS Key Management Service * Per ulteriori informazioni su come individuare gli identificatori KMS, consulta [Trovare l'ARN e l'ID chiave](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html#find-cmk-id-arn) nella *Guida per sviluppatori di AWS Key Management Service *.
Sono previsti costi aggiuntivi per l'utilizzo. AWS KMS Per ulteriori informazioni, consulta [Stima dei costi AWS KMS](sqs-key-management.md#sqs-estimate-kms-usage-costs) e [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing).
**Crittografia a busta**
La sicurezza dei dati crittografati dipende in parte dalla protezione della chiave di dati che può decrittarli. Amazon SQS utilizza la chiave KMS per crittografare la chiave di dati, quindi la chiave di dati crittografata viene archiviata con il messaggio crittografato. Questa pratica di utilizzare una chiave KMS per crittografare le chiavi di dati è nota come crittografia a busta.
Per ulteriori informazioni, consulta [Crittografia a busta](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/how-it-works.html#envelope-encryption) nella *Guida per gli sviluppatori di AWS Encryption SDK *.
# Gestione delle chiavi Amazon SQS
Amazon SQS si integra con AWS Key Management Service (KMS) per gestire le [chiavi KMS per la crittografia lato server (SSE](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)). Per informazioni su SSE e definizioni di gestione delle chiavi, consulta la sezione [Crittografia inattiva in Amazon SQS](sqs-server-side-encryption.md). Amazon SQS utilizza le chiavi KMS per convalidare e proteggere le chiavi di dati che crittografano e decrittografano i messaggi. Nelle sezioni seguenti vengono fornite informazioni sull'utilizzo delle chiavi KMS e delle chiavi di dati nel servizio Amazon SQS.
## Configurazione delle autorizzazioni AWS KMS
Ogni chiave KMS deve avere una policy delle chiavi. Tieni presente che non puoi modificare la politica delle chiavi di una chiave KMS AWS gestita per Amazon SQS. La policy per questa chiave KMS include le autorizzazioni per tutte le entità principali nell'account (che sono autorizzate a utilizzare Amazon SQS) per usare le code crittografate.
Amazon SQS distingue i chiamanti in base alle loro AWS credenziali, indipendentemente dal fatto che utilizzino AWS account, utenti IAM o ruoli IAM diversi. Inoltre, lo stesso ruolo IAM con politiche di scoping diverse verrà trattato come richiedenti distinti. Tuttavia, quando si utilizzano le sessioni di ruolo IAM, variando solo e `RoleSessionName` mantenendo le stesse politiche di ruolo e ambito IAM non si creano richiedenti distinti. Pertanto, quando specifichi i principi AWS KMS chiave delle policy, evita di fare affidamento solo sulle `RoleSessionName` differenze, poiché queste sessioni verranno trattate come lo stesso richiedente.
In alternativa, puoi specificare le autorizzazioni richieste in una policy IAM assegnata alle entità principal che producono e utilizzano messaggi crittografati. Per ulteriori informazioni, consulta [Utilizzo delle policy IAM con AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
**Nota**
Sebbene sia possibile configurare le autorizzazioni globali per l'invio e la ricezione da Amazon SQS AWS KMS , è necessario denominare in modo esplicito l'ARN completo delle chiavi KMS in regioni `Resource` specifiche nella sezione di una policy IAM.
### AWS Configura le autorizzazioni KMS per i servizi
Diversi AWS servizi fungono da sorgenti di eventi in grado di inviare eventi alle code di Amazon SQS. Per consentire a queste fonti di eventi di funzionare con code crittografate, devi creare una chiave KMS gestita dal cliente e aggiungere le autorizzazioni nella policy chiave affinché il servizio utilizzi i metodi API richiesti. AWS KMS Esegui la procedura seguente per configurare le autorizzazioni.
**avvertimento**
Quando modifichi la chiave KMS per crittografare i tuoi messaggi Amazon SQS, tieni presente che i messaggi esistenti crittografati con la vecchia chiave KMS rimarranno crittografati con quella chiave. Per decrittografare questi messaggi, devi conservare la vecchia chiave KMS e assicurarti che la relativa politica delle chiavi conceda ad Amazon SQS le autorizzazioni per e. `kms:Decrypt` `kms:GenerateDataKey` Dopo l'aggiornamento a una nuova chiave KMS per crittografare nuovi messaggi, assicurati che tutti i messaggi esistenti crittografati con la vecchia chiave KMS vengano elaborati e rimossi dalla coda prima di eliminare o disabilitare la vecchia chiave KMS.
1. Crea una chiave KMS gestita dal cliente Per ulteriori informazioni, consulta [Creazione di chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
1. Per consentire all'origine degli eventi del AWS servizio di utilizzare i metodi `kms:Decrypt` e `kms:GenerateDataKey` API, aggiungi la seguente dichiarazione alla politica delle chiavi KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "service.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}]
}
```
------
Sostituire "service" nell'esempio precedente con il *nome del servizio* dell'origine evento. Le origini eventi includono i seguenti servizi.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-key-management.html)
1. [Configura una coda SSE esistente](sqs-configure-sse-existing-queue.md) utilizzando l'ARN della tua chiave KMS.
1. Fornire l'ARN della coda crittografata per l'origine eventi.
### Configura le AWS KMS autorizzazioni per i produttori
Quando scade il [periodo di riutilizzo della chiave dati](#sqs-how-does-the-data-key-reuse-period-work), la successiva chiamata del produttore a `SendMessage` o `SendMessageBatch` attiva anche le chiamate a `kms:Decrypt` e `kms:GenerateDataKey`. La chiamata a `kms:Decrypt` è per verificare l'integrità della nuova chiave dati prima di utilizzarla. Il produttore deve quindi avere le autorizzazioni `kms:Decrypt` e `kms:GenerateDataKey` per la chiave KMS.
Aggiungere la seguente istruzione alla policy IAM del produttore. Ricordarsi di utilizzare i valori ARN corretti per la risorsa chiave e la risorsa coda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-2:123456789012:key/111112222233333"
},
{
"Effect": "Allow",
"Action": [
"sqs:SendMessage"
],
"Resource": "arn:aws:sqs:*:123456789012:MyQueue"
}
]
}
```
------
### Configura le AWS KMS autorizzazioni per i consumatori
Quando scade il periodo di riutilizzo della chiave dati, la successiva chiamata del consumatore a `ReceiveMessage` attiva anche una chiamata a `kms:Decrypt` per verificare l'integrità della nuova chiave dati prima di utilizzarla. Il consumatore deve avere l'autorizzazione `kms:Decrypt` per qualsiasi chiave KMS che viene utilizzata per crittografare i messaggi nella coda specificata. Se una coda funge da [coda DLQ](sqs-dead-letter-queues.md), il consumatore deve avere anche l'autorizzazione `kms:Decrypt` per qualsiasi chiave KMS che viene utilizzata per crittografare i messaggi nella coda di origine. Aggiungere la seguente istruzione alla policy IAM del consumatore. Ricordarsi di utilizzare i valori ARN corretti per la risorsa chiave e la risorsa coda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-2:123456789012:key/111112222233333"
},
{
"Effect": "Allow",
"Action": [
"sqs:ReceiveMessage"
],
"Resource": "arn:aws:sqs:*:123456789012:MyQueue"
}
]
}
```
------
### Configura le AWS KMS autorizzazioni con una protezione sostitutiva confusa
Quando il principale di una istruzione della policy della chiave è un [Principale del servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services), è possibile utilizzare le chiavi di condizione globali [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) o [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) per proteggersi dal [problema del "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Per utilizzare queste chiavi di condizione, impostare il valore sul nome della risorsa Amazon (ARN) della risorsa crittografata. Se non si conosce l'ARN della risorsa, utilizzare `aws:SourceAccount`.
In questa policy della chiave KMS, una risorsa specifica del *servizio* di proprietà dell'account `111122223333` può richiamare KMS per le operazioni `Decrypt` e `GenerateDataKey` che si verificano durante l'utilizzo SSE di Amazon SQS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sqs.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:sqs:us-west-1:111122223333:resource"
]
}
}
}
]
}
```
------
Quando si utilizzano code Amazon SQS abilitate per SSE, sono supportati i seguenti servizi `aws:SourceArn`:
+ Amazon SNS
+ Simple Storage Service (Amazon S3)
+ CloudWatch Eventi
+ AWS Lambda
+ CodeBuild
+ Amazon Connect Customer Profiles
+ AWS Auto Scaling
+ Amazon Chime
## Informazioni sul periodo di riutilizzo della chiave di dati
Il [periodo di riutilizzo della chiave di dati](sqs-server-side-encryption.md#sqs-sse-key-terms) definisce la durata massima per Amazon SQS per riutilizzare la stessa chiave dati. Quando termina il periodo di riutilizzo della chiave di dati, Amazon SQS genera una nuova chiave di dati. Prendere nota delle seguenti linee guida sul periodo di riutilizzo.
+ Un periodo di riutilizzo più breve offre una maggiore sicurezza, ma comporta un maggior numero di chiamate verso AWS KMS, il che potrebbe comportare addebiti oltre il piano gratuito.
+ Anche se la chiave di dati viene memorizzata nella cache separatamente per la crittografia e la decrittografia, il periodo di riutilizzo si applica a entrambe le copie della chiave di dati.
+ Al termine del periodo di riutilizzo della chiave dati, la chiamata successiva `SendMessage` o `SendMessageBatch` in genere attiva una chiamata al AWS KMS `GenerateDataKey` metodo per ottenere una nuova chiave dati. Inoltre, ogni chiamata successiva a `SendMessage` e `ReceiveMessage` attiverà ciascuna una chiamata AWS KMS `Decrypt` a per verificare l'integrità della chiave dati prima di utilizzarla.
+ [I responsabili](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Principal) (Account AWS o gli utenti) non condividono le chiavi dati (i messaggi inviati da destinatari univoci ottengono sempre chiavi dati uniche). Pertanto, il volume delle chiamate verso AWS KMS è un multiplo del numero di principali univoci in uso durante il periodo di riutilizzo della chiave dati.
## Stima dei costi AWS KMS
Per prevedere i costi e comprendere meglio la AWS fattura, potresti voler sapere con quale frequenza Amazon SQS utilizza la tua chiave KMS.
**Nota**
Anche se la seguente formula può darti un'idea molto precisa dei costi previsti, i costi effettivi potrebbero essere più elevati a causa della natura diffusa di Amazon SQS.
Per calcolare il numero di richieste API (`R`) *per coda*, usa la formula seguente:
```
R = (B / D) * (2 * P + C)
```
`B` è il periodo di fatturazione (in secondi).
`D` è il [periodo di riutilizzo della chiave di dati](sqs-server-side-encryption.md#sqs-sse-key-terms) (in secondi).
`P` è il numero di [principali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Principal) produttori che effettuano invii alla coda Amazon SQS.
`C` è il numero di principali consumatori che ricevono dalla coda Amazon SQS.
**Importante**
In generale, ai principali produttori viene addebitato un importo doppio rispetto ai principali consumatori. Per ulteriori informazioni, consulta [Informazioni sul periodo di riutilizzo della chiave di dati](#sqs-how-does-the-data-key-reuse-period-work).
Se il produttore e l'utilizzatore hanno utenti diversi, il costo aumenta.
Di seguito vengono riportati esempi di calcolo. Per informazioni dettagliate sui prezzi, consulta [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
### Esempio 1: calcolo del numero di chiamate AWS KMS API per 2 principali e 1 coda
Questo esempio assume quanto segue:
+ Il periodo di fatturazione è compreso tra il 1° e il 31 gennaio (2.678.400 secondi).
+ Il periodo di riutilizzo della chiave di dati è impostato su 5 minuti (300 secondi).
+ C'è una coda.
+ C'è 1 principale produttore e 1 principale consumatore.
```
(2,678,400 / 300) * (2 * 1 + 1) = 26,784
```
### Esempio 2: calcolo del numero di chiamate AWS KMS API per più produttori e consumatori e 2 code
Questo esempio assume quanto segue:
+ Il periodo di fatturazione è compreso tra il 1° e il 28 febbraio (2.419.200 secondi).
+ Il periodo di riutilizzo della chiave di dati è impostato su 24 ore (86.400 secondi).
+ Ci sono 2 code.
+ La prima coda ha 3 principali produttori e 1 principale consumatore.
+ La seconda coda ha 5 principali produttori e 2 principali consumatori.
```
(2,419,200 / 86,400 * (2 * 3 + 1)) + (2,419,200 / 86,400 * (2 * 5 + 2)) = 532
```
## AWS KMS errori
Quando lavori con Amazon SQS e AWS KMS, potresti riscontrare errori. I seguenti riferimenti descrivono gli errori e le possibili soluzioni di risoluzione dei problemi.
+ [Errori comuni AWS KMS](https://docs.aws.amazon.com/kms/latest/APIReference/CommonErrors.html)
+ [Errori di decrittografia AWS KMS](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html#API_Decrypt_Errors)
+ [AWS KMS GenerateDataKey errori](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html#API_GenerateDataKey_Errors)
# Privacy del traffico di rete in Amazon SQS
Un endpoint Amazon Virtual Private Cloud (Amazon VPC) per Amazon SQS è un'entità logica all'interno di un VPC che consente la connettività solo ad Amazon SQS. Il VPC instrada le richieste ad Amazon SQS e le risposte al VPC. Nelle sezioni seguenti vengono fornite informazioni sull'utilizzo degli endpoint VPC e sulla creazione delle policy di endpoint VPC.
## Endpoint di Amazon Virtual Private Cloud per Amazon SQS
Se utilizzi Amazon VPC per ospitare AWS le tue risorse, puoi stabilire una connessione tra il tuo VPC e Amazon SQS. Puoi utilizzare questa connessione per inviare messaggi alle code Amazon SQS senza utilizzare la rete Internet pubblica.
Amazon VPC ti consente di avviare AWS risorse in una rete virtuale personalizzata. Puoi utilizzare un VPC per controllare le impostazioni di rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per ulteriori informazioni VPCs, consulta la *[Amazon VPC User](https://docs.aws.amazon.com/vpc/latest/userguide/)* Guide.
Per connettere il tuo VPC a Amazon SQS, devi innanzitutto definire un’*interfaccia dell’endpoint VPC*, la quale ti consente di connettere il VPC ad altri servizi AWS . L'endpoint offre una connettività dimensionabile e affidabile a Amazon SQS senza richiedere un gateway internet, un'istanza NAT (Network Address Translation) o una connessione VPN. Per ulteriori informazioni, consulta [Tutorial: Invio di un messaggio a una coda Amazon SQS da Amazon Virtual Private Cloud](sqs-sending-messages-from-vpc.md) e [Esempio 5: Negare l'accesso se non è un endpoint VPC](sqs-creating-custom-policies-access-policy-examples.md#deny-not-from-vpc) in questa guida ed [Endpoint VPC dell'interfaccia (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) nella *Guida per l’utente di Amazon VPC*.
**Importante**
Puoi utilizzare Amazon Virtual Private Cloud solo con endpoint Amazon SQS HTTPS.
Quando configuri Amazon SQS per inviare messaggi da Amazon VPC, devi abilitare il DNS privato e specificare gli endpoint nel formato `sqs.us-east-2.amazonaws.com` o per l'endpoint dual-stack. `sqs.us-east-2.api.aws`
Amazon SQS supporta anche gli endpoint FIPS tramite l' PrivateLink utilizzo del servizio endpoint. `com.amazonaws.region.sqs-fips` Puoi connetterti agli endpoint FIPS nel formato. `sqs-fips.region.amazonaws.com`
Quando si utilizza l'endpoint dual-stack in Amazon Virtual Private Cloud, le richieste verranno inviate utilizzando e. IPv4 IPv6
Il DNS privato non supporta endpoint precedenti come `queue.amazonaws.com` o `us-east-2.queue.amazonaws.com`.
## Creazione di una policy per endpoint VPC di Amazon per Amazon SQS
È possibile creare una policy per gli endpoint VPC di Amazon per Amazon SQS per specificare quanto segue:
+ Il principale che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l'utente di Amazon VPC*.
Il seguente esempio di policy di endpoint VPC specifica che l'utente `MyUser` è autorizzato a inviare messaggi alla coda Amazon SQS `MyQueue`.
```
{
"Statement": [{
"Action": ["sqs:SendMessage"],
"Effect": "Allow",
"Resource": "arn:aws:sqs:us-east-2:123456789012:MyQueue",
"Principal": {
"AWS": "arn:aws:iam:123456789012:user/MyUser"
}
}]
}
```
Non si può accedere a quanto segue:
+ Altre azioni API Amazon SQS, come `sqs:CreateQueue` e `sqs:DeleteQueue`.
+ Altri utenti e ruoli che provano a utilizzare questo endpoint VPC.
+ Invio di messaggi da `MyUser` a una coda Amazon SQS diversa.
**Nota**
L'utente può ancora utilizzare altre azioni API Amazon SQS *dall’esterno* del VPC. Per ulteriori informazioni, consulta [Esempio 5: Negare l'accesso se non è un endpoint VPC](sqs-creating-custom-policies-access-policy-examples.md#deny-not-from-vpc).
# Connect ad Amazon SQS utilizzando endpoint Dual-stack (e) IPv4 IPv6
Gli endpoint dual-stack supportano sia il traffico che il traffico. IPv4 IPv6 Quando effettui una richiesta a un endpoint dual-stack, l'URL dell'endpoint si risolve in un indirizzo o in un indirizzo. IPv4 IPv6 [Per ulteriori informazioni sugli endpoint dual-stack e FIPS, consulta la guida di riferimento SDK.](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html)
Amazon SQS supporta endpoint dual-stack regionali, il che significa che devi specificare la AWS regione come parte del nome dell'endpoint. I nomi degli endpoint dual-stack utilizzano la seguente convenzione di denominazione:. `sqs.Region.amazonaws.com` Ad esempio, il nome dell'endpoint dual-stack per la Regione `eu-west-1` è `sqs.eu-west-1.amazonaws.com`.
[Per l'elenco completo degli endpoint Amazon SQS, consulta la AWS Guida generale.](https://docs.aws.amazon.com/general/latest/gr/sqs-service.html)