Amazon에서 저장 중인 암호화 SQS - Amazon Simple Queue Service
암호화 범위주요 용어

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon에서 저장 중인 암호화 SQS

서버 측 암호화(SSE)를 사용하면 암호화된 대기열에서 민감한 데이터를 전송할 수 있습니다. SSE 는 관리형 암호화 키(SQS-SQS) 또는 (SSE-)에서 관리하는 키를 사용하여 대기열의 메시지 내용을 보호합니다 AWS Key Management Service SSEKMS. 를 SSE 사용하여 관리하는 방법에 대한 자세한 내용은 다음을 AWS Management Console참조하세요.

AWS SDK for Java (및 CreateQueue, SetQueueAttributesGetQueueAttributes 작업)을 SSE 사용하여 관리하는 방법에 대한 자세한 내용은 다음 예제를 참조하세요.

SSE 는 Amazon이 메시지를 SQS 받는 즉시 메시지를 암호화합니다. 메시지는 암호화된 형식으로 저장되며 Amazon은 메시지가 승인된 소비자에게 전송되는 경우에만 메시지를 SQS 복호화합니다.

중요

가 SSE 활성화된 대기열에 대한 모든 요청은 HTTPS 및 서명 버전 4를 사용해야 합니다.

기본 키(Amazon용AWS 관리형 KMS 키SQS)를 사용하는 암호화된 대기열은 다른 에서 Lambda 함수를 호출할 수 없습니다 AWS 계정.

AWS Security Token Service AssumeRole 작업을 SQS 사용하여 Amazon에 알림을 보낼 수 있는 AWS 서비스의 일부 기능은 와 호환SSE되지만 표준 대기열에서만 작동합니다.

기타 서비스의 암호화 대기열과의 호환성에 관한 정보는 AWS 서비스에 대한 KMS 권한 구성 및 서비스 설명서를 참조하십시오.

AWS KMS 는 안전하고 가용성이 높은 하드웨어와 소프트웨어를 결합하여 클라우드에 맞게 조정된 키 관리 시스템을 제공합니다. Amazon을 와 SQS 함께 사용하면 메시지 AWS KMS데이터를 암호화하는 데이터 도 보호되는 데이터와 함께 암호화되고 저장됩니다.

AWS KMS를 사용하면 다음과 같은 이점이 있습니다.

  • AWS KMS keys를 직접 생성하고 관리할 수 있습니다.

  • 각 계정 및 리전에 SQS고유한 Amazon 에 대한 AWS 관리형 KMS 키를 사용할 수도 있습니다.

  • AWS KMS 보안 표준은 암호화 관련 규정 준수 요구 사항을 충족하는 데 도움이 될 수 있습니다.

자세한 정보는 AWS Key Management Service개발자 안내서.의 AWS Key Management Service 란 무엇입니까?를 참조하세요.

암호화 범위

SSE 는 Amazon SQS 대기열에서 메시지 본문을 암호화합니다.

SSE는 다음을 암호화하지 않습니다.

  • 대기열 메타데이터(대기열 이름과 속성)

  • 메시지 메타데이터(메시지 ID, 타임스탬프 및 속성)

  • 대기열당 측정치

메시지를 암호화하면 권한이 없는 사용자나 익명 사용자가 해당 내용을 사용할 수 없게 됩니다. SSE 이 활성화되면 익명 SendMessage 및 암호화된 대기열에 대한 ReceiveMessage 요청이 거부됩니다. Amazon SQS 보안 모범 사례에서는 익명 요청을 사용하지 않는 것이 좋습니다. Amazon SQS 대기열로 익명 요청을 보내려면 를 비활성화해야 합니다SSE. 이는 Amazon 의 정상적인 기능에 영향을 주지 않습니다SQS.

  • 대기열 암호화가 활성화된 후 전송되는 경우에만 메시지가 암호화됩니다. AmazonSQS은 백로깅된 메시지를 암호화하지 않습니다.

  • 암호화된 메시지는 해당 대기열 암호화가 비활성화된 경우에만 암호화된 상태를 유지합니다.

메시지를 배달 못한 편지 대기열로 이동하는 것은 다음과 같이 해당 암호화에 영향을 주지 않습니다.

  • Amazon이 암호화된 소스 대기열에서 암호화되지 않은 데드레터 대기열로 메시지를 SQS 이동하면 메시지는 암호화된 상태로 유지됩니다.

  • Amazon이 암호화되지 않은 소스 대기열에서 암호화된 데드레터 대기열로 메시지를 SQS 이동하면 메시지는 암호화되지 않은 상태로 유지됩니다.

주요 용어

다음 주요 용어는 의 기능을 더 잘 이해하는 데 도움이 될 수 있습니다SSE. 자세한 설명은 Amazon Simple Queue Service API 참조 참조하세요.

데이터 키

Amazon SQS 메시지의 내용을 암호화하는 데 사용되는 키(DEK)입니다.

자세한 내용은 AWS Encryption SDK 개발자 안내서의 AWS Key Management Service 개발자 안내서에서 데이터 키를 참조하세요.

데이터 키 재사용 기간

Amazon이 AWS KMS 다시 호출하기 전에 데이터 키를 재사용하여 메시지를 암호화하거나 복호화할 SQS 수 있는 초 단위의 시간 길이입니다. 초 단위의 정수로, 60초(1분)에서 86,400초(24시간) 사이입니다. 기본값은 300(5분)입니다. 자세한 내용은 데이터 키 재사용 기간 이해 단원을 참조하십시오.

참고

드물게 에 연결할 수 없는 경우 AWS KMS Amazon은 연결이 다시 설정될 때까지 캐시된 데이터 키를 SQS 계속 사용합니다.

KMS 키 ID

계정 또는 다른 계정에서 AWS 관리형 키 또는 사용자 지정 KMS 키ARN의 별칭ARN, 별칭, 키 ID 또는 KMS 키입니다. Amazon용 AWS 관리형 KMS 키의 별칭SQS은 항상 이지만 사용자 지정 KMS 키의 별alias/aws/sqs칭은 예를 들어 가 될 수 있습니다alias/MyAlias. 이러한 KMS 키를 사용하여 Amazon SQS 대기열의 메시지를 보호할 수 있습니다.

참고

다음 사항에 유의하십시오:

  • 사용자 지정 KMS 키를 지정하지 않으면 Amazon은 Amazon 에 관리 AWS 형 KMS 키를 SQS 사용합니다SQS.

  • AWS Management Console 를 사용하여 SQS 대기열 AWS KMS 에 대한 Amazon의 AWS 관리형 KMS 키를 처음 지정할 때 는 Amazon 의 AWS 관리형 KMS 키를 생성합니다SQS.

  • 또는 SSE 활성화된 대기열에서 SendMessage 또는 SendMessageBatch 작업을 처음 사용할 때 에서 Amazon 에 대한 AWS 관리형 KMS 키를 AWS KMS 생성합니다SQS.

KMS 키를 생성하고, KMS 키를 사용할 수 있는 방법을 제어하는 정책을 정의하고, 콘솔의 고객 관리KMS형 키 섹션 또는 CreateKey AWS KMS 작업을 사용하여 키 사용량을 AWS KMS 감사할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서KMS 키키 생성을 참조하세요. KMS 키 식별자의 자세한 예는 참조KeyId의 섹션을 참조하세요. AWS Key Management Service API KMS 키 식별자 찾기에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 ID 찾기 및 ARN 섹션을 참조하세요.

중요

사용 시 추가 요금이 부과됩니다 AWS KMS. 자세한 내용은 AWS KMS 비용 예측AWS Key Management Service 요금을 참조하세요.

봉투 암호화

암호화된 데이터의 보안은 부분적으로 암호를 해독할 수 있는 데이터 키를 보호하는 데 달려 있습니다. Amazon은 KMS 키를 SQS 사용하여 데이터 키를 암호화한 다음 암호화된 데이터 키는 암호화된 메시지와 함께 저장됩니다. 키를 사용하여 데이터 KMS 키를 암호화하는 이러한 연습을 엔벨로프 암호화라고 합니다.

자세한 내용은 AWS Encryption SDK 개발자 안내서에서 봉투 암호화를 참조하세요.