Crittografia inattiva in Amazon SQS - Amazon Simple Queue Service
Ambito della crittografiaTermini chiave

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia inattiva in Amazon SQS

La crittografia lato server (SSE) consente di trasmettere dati sensibili in code crittografate. SSE protegge il contenuto dei messaggi nelle code utilizzando chiavi di crittografia gestite da SQL (SSE-SQS) o chiavi gestite in (SSE-KMS). AWS Key Management Service Per informazioni sulla gestione di SSE tramite, consulta quanto segue: AWS Management Console

Per informazioni sulla gestione di SSE utilizzando le GetQueueAttributes azioni AWS SDK for Java (e CreateQueueSetQueueAttributes, e), consulta i seguenti esempi:

SSE esegue la crittografia dei messaggi non appena vengono ricevuti da Amazon SQS. I messaggi sono archiviati in forma crittografata e decrittografati da Amazon SQS solo quando vengono inviati a un consumatore autorizzato.

Importante

Tutte le richieste alle code con la funzione SSE abilitata devono utilizzare HTTPS e Signature Version 4.

Una coda crittografata che utilizza la chiave predefinita (chiave KMS AWS gestita per Amazon SQS) non può richiamare una funzione Lambda in un'altra. Account AWS

Alcune funzionalità dei AWS servizi che possono inviare notifiche ad Amazon SQS utilizzando l' AWS Security Token Service AssumeRoleazione sono compatibili con SSE ma funzionano solo con le code standard:

Per informazioni sulla compatibilità di altri servizi con code crittografate, consulta AWS Configura le autorizzazioni KMS per i servizi e la documentazione del servizio.

AWS KMS combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Quando usi Amazon SQS con AWS KMS, anche le chiavi dati che crittografano i dati dei messaggi vengono crittografate e archiviate con i dati che proteggono.

Di seguito sono elencati i vantaggi derivanti dall'uso di AWS KMS:

  • È possibile creare e gestire AWS KMS keys in modo autonomo.

  • Puoi anche utilizzare la chiave KMS AWS gestita per Amazon SQS, che è unica per ogni account e regione.

  • Gli standard AWS KMS di sicurezza possono aiutarti a soddisfare i requisiti di conformità relativi alla crittografia.

Per ulteriori informazioni, consulta Cos'è AWS Key Management Service? nella Guida per gli sviluppatori AWS Key Management Service .

Ambito della crittografia

SSE crittografa il corpo di un messaggio in una coda Amazon SQS.

SSE non esegue la crittografia di quanto segue:

  • Metadati della coda (nome e attributi della coda)

  • Metadati del messaggio (ID messaggio, timestamp e attributi)

  • Parametri per coda

La crittografia di un messaggio ne rende i contenuti non disponibili a utenti non autorizzati o anonimi. Con SSE abilitato, le richieste anonime SendMessage e ReceiveMessage alla coda crittografata verranno rifiutate. Le best practice di sicurezza di Amazon SQS consigliano di non utilizzare richieste anonime. Se desideri inviare richieste anonime a una coda Amazon SQS, assicurati di disabilitare SSE. Ciò non ha implicazioni sul normale funzionamento di Amazon SQS:

  • Un messaggio viene crittografato solo se inviato dopo che la crittografia di una coda è abilitata. Amazon SQS non crittografa i messaggi in backlog.

  • Tutti i messaggi crittografati restano crittografati anche se la crittografia della relativa coda è disabilitata.

Lo spostamento di un messaggio a una coda dead-letter non ne pregiudica la crittografia:

  • Quando Amazon SQS sposta un messaggio da una coda di origine crittografata a una coda DLQ non crittografata, il messaggio rimane crittografato.

  • Quando Amazon SQS sposta un messaggio da una coda di origine non crittografata a una coda DLQ crittografata, il messaggio rimane non crittografato.

Termini chiave

I seguenti termini chiave possono aiutarti a comprendere meglio le funzionalità di SSE . Per una descrizione dettagliata, consulta la Documentazione di riferimento per l'API Amazon Simple Notification Service.

Chiave di dati

La chiave (DEK) responsabile della crittografia dei contenuti dei messaggi Amazon SQS.

Per ulteriori informazioni, consulta Chiavi di dati nella Guida per sviluppatori di AWS Key Management Service nella Guida per sviluppatori di AWS Encryption SDK .

Periodo di riutilizzo della chiave di dati

Il periodo di tempo, in secondi, durante il quale Amazon SQS può riutilizzare una chiave dati per crittografare o decrittografare i messaggi prima di effettuare una nuova chiamata. AWS KMS Numero intero che rappresenta secondi, tra 60 (1 minuto) e 86.400 (24 ore). Il valore predefinito è 300 (5 minuti). Per ulteriori informazioni, consulta Informazioni sul periodo di riutilizzo della chiave di dati.

Nota

Nell'improbabile eventualità di impossibilità di raggiungerla AWS KMS, Amazon SQS continua a utilizzare la chiave dati memorizzata nella cache fino a quando non viene ristabilita una connessione.

ID della chiave KMS

L'alias, l'alias ARN, l'ID della chiave o l'ARN della chiave KMS AWS gestita o di una chiave KMS personalizzata, nel tuo account o in un altro account. Sebbene l'alias della chiave KMS AWS gestita per Amazon SQS sia alias/aws/sqs sempre, l'alias di una chiave KMS personalizzata può, ad esempio, essere. alias/MyAlias Puoi utilizzare queste chiavi KMS per proteggere i messaggi nelle code Amazon SQS.

Nota

Ricorda quanto segue:

  • Se non specifichi una chiave KMS personalizzata, Amazon SQS utilizza AWS la chiave KMS gestita per Amazon SQS.

  • La prima volta che utilizzi AWS Management Console per specificare la chiave KMS AWS gestita per Amazon SQS per una coda AWS KMS , crea AWS la chiave KMS gestita per Amazon SQS.

  • In alternativa, la prima volta che utilizzi l'SendMessageBatchazione SendMessage o su una coda con SSE abilitato, AWS KMS crea la chiave KMS AWS gestita per Amazon SQS.

Puoi creare chiavi KMS, definire le politiche che controllano l'utilizzo delle chiavi KMS e controllare l'utilizzo delle chiavi KMS utilizzando la sezione Customer managed keys della console o dell'azione. AWS KMS CreateKey AWS KMS Per ulteriori informazioni, consulta Chiavi KMS e Creazione di chiavi nella Guida per gli sviluppatori di AWS Key Management Service . Per altri esempi di identificatori di chiave KMS, consulta KeyIdl'API Reference.AWS Key Management Service Per ulteriori informazioni su come individuare gli identificatori KMS, consulta Trovare l'ARN e l'ID chiave nella Guida per sviluppatori di AWS Key Management Service .

Importante

Sono previsti costi aggiuntivi per l'utilizzo. AWS KMS Per ulteriori informazioni, consulta Stima dei costi AWS KMS e Prezzi di AWS Key Management Service.

Crittografia a busta

La sicurezza dei dati crittografati dipende in parte dalla protezione della chiave di dati che può decrittarli. Amazon SQS utilizza la chiave KMS per crittografare la chiave di dati, quindi la chiave di dati crittografata viene archiviata con il messaggio crittografato. Questa pratica di utilizzare una chiave KMS per crittografare le chiavi di dati è nota come crittografia a busta.

Per ulteriori informazioni, consulta Crittografia a busta nella Guida per gli sviluppatori di AWS Encryption SDK .