Configurar a criptografia do lado do servidor para uma fila usando chaves de criptografia gerenciadas pelo SQS - Amazon Simple Queue Service

Configurar a criptografia do lado do servidor para uma fila usando chaves de criptografia gerenciadas pelo SQS

Além da opção padrão da criptografia do lado do servidor (SSE) gerenciada pelo Amazon SQS, a SSE gerenciada pelo Amazon SQS (SSE-SQS) permite criar uma criptografia do lado do servidor gerenciada pelo cliente que usa chaves de criptografia gerenciadas pelo SQS para proteger dados sigilosos enviados por filas de mensagens. Com o SSE-SQS, você não precisa criar e gerenciar chaves de criptografia ou modificar seu código para criptografar seus dados. O SSE-SQS permite transmitir dados com segurança e ajuda a atender a requisitos regulamentares e conformidade com criptografia rigorosa sem custo adicional.

O SSE-SQS protege os dados em repouso usando a criptografia Advanced Encryption Standard (AES-256) de 256 bits. A SSE criptografa mensagens assim que o Amazon SQS as recebe. O Amazon SQS armazena as mensagens no formato criptografado e as descriptografa apenas quando elas são enviadas a um consumidor autorizado.

nota

  • A opção de SSE comum só é efetiva quando você cria uma fila sem especificar atributos de criptografia.

  • O Amazon SQS permite que você desative toda a criptografia de filas. Portanto, desativar a KMS-SSE não habilitará automaticamente a SQS-SSE. Se quiser habilitar a SQS-SSE depois de desativar a KMS-SSE, você deverá adicionar uma alteração de atributos na solicitação.

Para configurar a criptografia SSE-SQS para uma fila (console)
nota

Qualquer fila criada usando o endpoint HTTP (não TLS) não habilitará a criptografia SSE-SQS por padrão. É uma prática recomendada de segurança criar filas do Amazon SQS usando endpoints HTTPS ou do Signature versão 4.

  1. Abra o console do Amazon SQS em https://console.aws.amazon.com/sqs/.

  2. No painel de navegação, escolha Queues.

  3. Escolha uma fila e escolha Edit (Editar).

  4. Expanda Encryption (Criptografia).

  5. Em Server-side encryption (Criptografia do lado do servidor), escolha Enabled (Habilitado) (padrão).

    nota

    Com a SSE habilitada, as solicitações anônimas SendMessage e ReceiveMessage à fila criptografada serão rejeitadas. As práticas recomendadas de segurança do Amazon SQS não aconselham o uso de solicitações anônimas. Se você quiser enviar solicitações anônimas a uma fila do Amazon SQS, desabilite o SSE.

  6. Selecione Amazon SQS key (SSE-SQS) (Chave do Amazon SQS (SSE-SQS). Não há custo adicional para usar essa opção.

  7. Escolha Salvar.