Configurazione della crittografia degli SNS argomenti Amazon con abbonamento Amazon SQS Queue crittografato - Amazon Simple Notification Service
Passaggio 1: crea una chiave personalizzata KMSPassaggio 2: creare un SNS argomento Amazon crittografatoFase 3: Creare e sottoscrivere SQS code Amazon criptateFase 4: pubblicazione di un messaggio nell'argomento crittografatoFase 5: verifica della consegna del messaggio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della crittografia degli SNS argomenti Amazon con abbonamento Amazon SQS Queue crittografato

Puoi abilitare la crittografia lato server (SSE) per un argomento per proteggerne i dati. Per consentire SNS ad Amazon di inviare messaggi a SQS code Amazon crittografate, la chiave gestita dal cliente associata alla SQS coda Amazon deve avere una dichiarazione politica che garantisca l'accesso da parte del responsabile del servizio SNS Amazon alle azioni e. AWS KMS API GenerateDataKey Decrypt Per ulteriori informazioni sull'utilizzo, consulta. SSE Protezione dei SNS dati Amazon con la crittografia lato server

Questa pagina mostra come abilitare SSE un SNS argomento Amazon a cui è sottoscritta una SQS coda Amazon crittografata, utilizzando il. AWS Management Console

Passaggio 1: crea una chiave personalizzata KMS

  1. Accedere alla console AWS KMS con un utente che dispone di almeno di una policy AWSKeyManagementServicePowerUser.

  2. Scegli Create a key (Crea una chiave).

  3. Per creare una KMS chiave di crittografia simmetrica, per Tipo di chiave scegli Simmetrico.

    Per informazioni su come creare una chiave asimmetrica nella console, vedi Creazione di KMS chiavi asimmetriche ( AWS KMS console). KMS

  4. In Utilizzo della chiave, l'opzione Crittografa e decrittografa è selezionata per impostazione predefinita.

    Per informazioni su come creare KMS chiavi che generano e verificano MAC codici, vedi Creazione di chiavi. HMAC KMS

    Per informazioni sulle Opzioni avanzate, consultare Special-purpose keys (Chiavi per uso speciale).

  5. Scegli Next (Successivo).

  6. Digitate un alias per la KMS chiave. Un nome di alias non può iniziare con aws/. Il aws/ prefisso è riservato da Amazon Web Services per essere rappresentato Chiavi gestite da AWS nel tuo account.

    Nota

    L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave. KMS Per i dettagli, consulta ABAC AWS KMS Fore and Using alias to control access to keys. KMS

    Un alias è un nome visualizzato che è possibile utilizzare per identificare la KMS chiave. Ti consigliamo di scegliere un alias che indichi il tipo di dati che intendi proteggere o l'applicazione che intendi utilizzare con la KMS chiave.

    Gli alias sono necessari quando si crea una KMS chiave in. AWS Management Console Sono facoltativi quando si utilizza l'CreateKeyoperazione.

  7. (Facoltativo) Digitate una descrizione per la KMS chiave.

    Puoi aggiungere una descrizione ora o aggiornarla in qualsiasi momento, a meno che lo stato della chiave non sia Pending Deletion o Pending Replica Deletion. Per aggiungere, modificare o eliminare la descrizione di una chiave gestita dal cliente esistente, modifica la descrizione in AWS Management Console o utilizza l'UpdateKeyDescriptionoperazione.

  8. (Facoltativo) Digita tag per una chiave di un valore di tag facoltativo. Per aggiungere più di un tag alla KMS chiave, scegli Aggiungi tag.

    Nota

    L'aggiunta di tag o detag a una KMS chiave può consentire o negare l'autorizzazione alla chiave. KMS Per i dettagli, consulta ABACPer AWS KMS e come utilizzare i tag per controllare l'accesso alle chiavi. KMS

    Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una KMS chiave. Per informazioni sull'etichettatura delle KMS chiavi, vedi Tagging keys and ABAC for. AWS KMS

  9. Scegli Next (Successivo).

  10. Seleziona gli IAM utenti e i ruoli che possono amministrare la chiave. KMS

    Nota

    Questa politica chiave offre il Account AWS pieno controllo di questa KMS chiave. Consente agli amministratori degli account IAM di utilizzare le politiche per concedere ad altri responsabili il permesso di gestire la KMS chiave. Per informazioni dettagliate, consultare Default key policy (Policy della chiave predefinita).

     

    IAMle migliori pratiche scoraggiano l'uso di IAM utenti con credenziali a lungo termine. Quando possibile, utilizzate IAM ruoli che forniscono credenziali temporanee. Per i dettagli, consulta le migliori pratiche di sicurezza IAM nella Guida per l'IAMutente.

  11. (Facoltativo) Per impedire agli IAM utenti e ai ruoli selezionati di eliminare questa KMS chiave, nella sezione Eliminazione della chiave nella parte inferiore della pagina, deseleziona la casella di controllo Consenti agli amministratori chiave di eliminare questa chiave.

  12. Scegli Next (Successivo).

  13. Seleziona gli IAM utenti e i ruoli che possono utilizzare la chiave nelle operazioni crittografiche. Scegli Next (Successivo).

  14. Nella pagina Review and edit key policy (Verifica e modifica la policy delle chiavi), aggiungi la seguente istruzione alla policy delle chiavi, quindi scegli Finish (Termina).

    {
    "Sid": "Allow Amazon SNS to use this key",
    "Effect": "Allow",
    "Principal": {
        "Service": "sns.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*"
}

La nuova chiave personalizzata gestita dal cliente viene visualizzata nell'elenco delle chiavi.

Mostra piùMostra meno

Passaggio 2: creare un SNS argomento Amazon crittografato

  1. Accedi alla SNSconsole Amazon.

  2. Nel pannello di navigazione, scegliere Argomenti.

  3. Scegli Create topic (Crea argomento).

  4. Nella pagina Create new topic (Crea nuovo argomento), in Name (Nome), immettere il nome di un argomento (ad esempio MyEncryptedTopic), quindi scegliere Create topic (Crea argomento).

  5. Espandere la sezione Encryption (Crittografia) e procedere come segue:

    1. Scegli Enable server-side encryption (Abilita crittografia lato server).

    2. Specificare la chiave gestita dal cliente. Per ulteriori informazioni, consulta Termini chiave.

      Per ogni tipo di chiave gestita dal cliente, ARNvengono visualizzate la Descrizione, l'Account e la chiave gestita dal cliente.

      Importante

      Se non sei il proprietario della chiave gestita dal cliente o se accedi con un account che non dispone delle kms:DescribeKey autorizzazioni kms:ListAliases and, non potrai visualizzare le informazioni sulla chiave gestita dal cliente sulla SNS console Amazon.

      Richiedere al proprietario della chiave gestita dal cliente di concedere queste autorizzazioni. Per ulteriori informazioni, consulta il riferimento AWS KMS API Autorizzazioni: azioni e risorse nella Guida per gli AWS Key Management Service sviluppatori.

    3. Per la chiave gestita dal cliente, scegli MyCustomKeyquella che hai creato in precedenza, quindi scegli Abilita la crittografia lato server.

  6. Scegli Save changes (Salva modifiche).

    SSEè abilitato per l'argomento e viene MyTopicvisualizzata la pagina.

    Gli argomenti Stato di crittografia, AWS Account, chiave gestita dal cliente ARN, chiave gestita dal cliente e Descrizione vengono visualizzati nella scheda Crittografia.

Il nuovo argomento crittografato viene visualizzato nell'elenco degli argomenti.

Fase 3: Creare e sottoscrivere SQS code Amazon criptate

  1. Accedi alla SQSconsole Amazon.

  2. Scegli Create New Queue (Crea nuova coda).

  3. Nella pagina Create New Queue (Crea nuova coda), procedi come indicato di seguito:

    1. Immetti Queue Name (Nome coda) (ad esempio, MyEncryptedQueue1).

    2. Scegli Standard Queue (Coda standard), quindi Configure Queue (Configura coda).

    3. Scegli Usa SSE.

    4. Per AWS KMS key, scegli quello MyCustomKeyche hai creato in precedenza, quindi scegli Crea coda.

  4. Ripeti la procedura per creare una seconda coda (ad esempio, denominata MyEncryptedQueue2).

    Le nuove code crittografate vengono visualizzate nell'elenco delle code.

  5. Sulla SQS console Amazon, scegli MyEncryptedQueue1 MyEncryptedQueue2 e quindi scegli Queue Actions, Subscribe Queues to SNS Topic.

  6. Nella finestra di dialogo Iscriviti a un argomento, per Scegli un argomento seleziona MyEncryptedTopic, quindi scegli Sottoscrivi.

    Le sottoscrizioni delle code crittografate all'argomento crittografato vengono visualizzate nella finestra di dialogo Topic Subscription Result (Risultato sottoscrizione argomento).

  7. Scegli OK.

Fase 4: pubblicazione di un messaggio nell'argomento crittografato

  1. Accedi alla SNSconsole Amazon.

  2. Nel pannello di navigazione, scegliere Argomenti.

  3. Dall'elenco degli argomenti, scegli MyEncryptedTopice quindi scegli Pubblica messaggio.

  4. Nella pagina Publish a message (Pubblica un messaggio), procedi come indicato di seguito:

    1. (Facoltativo) Nella sezione Message details (Dettagli messaggio), immettere il valore per Subject (Oggetto) (ad esempio, Testing message publishing).

    2. Nella sezione Message body (Corpo messaggio), immettere il corpo del messaggio (ad esempio My message body is encrypted at rest.).

    3. Seleziona Publish message (Pubblica messaggio).

Il messaggio viene pubblicato nelle code crittografate sottoscritte.

Fase 5: verifica della consegna del messaggio

  1. Accedi alla SQSconsole Amazon.

  2. Dall'elenco delle code, scegli MyEncryptedQueue1, quindi scegli Invia e ricevi messaggi.

  3. Nella pagina Invia e ricevi messaggi in MyEncryptedQueue 1, scegli Sondaggio per i messaggi.

    Viene visualizzato il messaggio inviato in precedenza.

  4. Scegli More Details (Altri dettagli) per visualizzare il messaggio.

  5. Al termine, scegli Close (Chiudi).

  6. Ripeti la procedura per MyEncryptedQueue2.