Criptografia em repouso na Amazon SQS - Amazon Simple Queue Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia em repouso na Amazon SQS

A criptografia do lado do servidor (SSE) permite transmitir dados confidenciais em filas criptografadas. SSEprotege o conteúdo das mensagens em filas usando chaves SQS de criptografia gerenciadas (SSE-SQS) ou chaves gerenciadas no AWS Key Management Service (SSE-KMS). Para obter informações sobre como gerenciar SSE usando o AWS Management Console, consulte o seguinte:

Para obter informações sobre como gerenciar SSE usando o AWS SDK for Java (e as GetQueueAttributes ações CreateQueueSetQueueAttributes, e), consulte os exemplos a seguir:

SSEcriptografa as mensagens assim que a Amazon as SQS recebe. As mensagens são armazenadas de forma criptografada e a Amazon SQS descriptografa as mensagens somente quando elas são enviadas a um consumidor autorizado.

Importante

Todas as solicitações para filas com a versão SSE habilitada devem usar o HTTPS Signature Version 4.

Uma fila criptografada que usa a chave padrão (KMSchave AWS gerenciada para a AmazonSQS) não pode invocar uma função Lambda em outra. Conta da AWS

Alguns recursos dos AWS serviços que podem enviar notificações para a Amazon SQS usando a AWS Security Token Service AssumeRole ação são compatíveisSSE, mas funcionam somente com filas padrão:

Para obter informações sobre a compatibilidade de outros produtos com filas criptografadas, consulte Configurar KMS permissões para AWS serviços e a documentação do seu produto.

AWS KMS combina hardware e software seguros e de alta disponibilidade para fornecer um sistema de gerenciamento de chaves dimensionado para a nuvem. Quando você usa a Amazon SQS com AWS KMS, as chaves de dados que criptografam os dados da sua mensagem também são criptografadas e armazenadas com os dados que elas protegem.

Os benefícios de usar o AWS KMS são os seguintes:

  • É possível criar e gerenciar AWS KMS keys por conta própria:

  • Você também pode usar a KMS chave AWS gerenciada da AmazonSQS, que é exclusiva para cada conta e região.

  • Os padrões AWS KMS de segurança podem ajudá-lo a atender aos requisitos de conformidade relacionados à criptografia.

Para obter mais informações, consulte O que é o AWS Key Management Service? no Guia do desenvolvedor do AWS Key Management Service .

Escopo de criptografia

SSEcriptografa o corpo de uma mensagem em uma SQS fila da Amazon.

A SSE não criptografa o seguinte:

  • Metadados de fila (nome e atributos da fila)

  • Metadados de mensagens (ID de mensagem, carimbo de data/hora e atributos)

  • Métricas por fila

A criptografia de uma mensagem torna indisponível seu conteúdo para usuários não autorizados ou anônimos. Com a SSE opção ativada, SendMessage as ReceiveMessage solicitações anônimas e para a fila criptografada serão rejeitadas. As melhores práticas SQS de segurança da Amazon não recomendam o uso de solicitações anônimas. Se você deseja enviar solicitações anônimas para uma SQS fila da Amazon, certifique-se de desativarSSE. Isso não afeta o funcionamento normal da AmazonSQS:

  • Uma mensagem só será criptografada se for enviada após a habilitação da criptografia de uma fila. A Amazon SQS não criptografa mensagens atrasadas.

  • Qualquer mensagem criptografada permanecerá dessa forma mesmo se a criptografia de sua fila for desabilitada.

A transferência de uma mensagem para uma dead letter queue não afeta sua criptografia:

  • Quando a Amazon SQS move uma mensagem de uma fila de origem criptografada para uma fila de mensagens mortas não criptografadas, a mensagem permanece criptografada.

  • Quando a Amazon SQS move uma mensagem de uma fila de origem não criptografada para uma fila de mensagens mortas criptografadas, a mensagem permanece sem criptografia.

Principais termos

Os termos-chave a seguir podem ajudar você a entender melhor a funcionalidade doSSE. Para obter descrições detalhadas, consulte a APIReferência do Amazon Simple Queue Service.

Chave de dados

A chave (DEK) responsável por criptografar o conteúdo das SQS mensagens da Amazon.

Para obter mais informações, consulte Chaves de dados no Guia do desenvolvedor do AWS Key Management Service no Guia do desenvolvedor do AWS Encryption SDK .

Período de reutilização de chaves de dados

O período de tempo, em segundos, durante o qual a Amazon SQS pode reutilizar uma chave de dados para criptografar ou descriptografar mensagens antes de ligar novamente. AWS KMS Um número inteiro que representa segundos, entre 60 segundos (1 minuto) e 86.400 segundos (24 horas). O padrão é 300 (5 minutos). Para obter mais informações, consulte Entender o período de reutilização de chaves de dados.

nota

No caso improvável de não conseguir acessar AWS KMS, a Amazon SQS continua usando a chave de dados em cache até que a conexão seja restabelecida.

ID de chave do KMS

O alias, aliasARN, ID da chave ou chave ARN de uma KMS chave AWS gerenciada ou personalizada, KMS na sua conta ou em outra conta. Embora o alias da KMS chave AWS gerenciada da Amazon SQS seja semprealias/aws/sqs, o alias de uma KMS chave personalizada pode, por exemplo, ser. alias/MyAlias Você pode usar essas KMS chaves para proteger as mensagens nas SQS filas da Amazon.

nota

Lembre-se do seguinte:

  • Se você não especificar uma KMS chave personalizada, a Amazon SQS usará a KMS chave AWS gerenciada para a AmazonSQS.

  • A primeira vez que você usa o AWS Management Console para especificar a KMS chave AWS gerenciada da Amazon SQS para uma fila, AWS KMS cria a KMS chave AWS gerenciada para a AmazonSQS.

  • Como alternativa, na primeira vez em que você usa a SendMessageBatch ação SendMessage or em uma fila com SSE ativada, AWS KMS cria a KMS chave AWS gerenciada para a AmazonSQS.

Você pode criar KMS chaves, definir as políticas que controlam como KMS as chaves podem ser usadas e auditar o uso da KMS chave usando a seção Chaves gerenciadas pelo cliente do AWS KMS console ou da CreateKey AWS KMS ação. Para obter mais informações, consulte KMSchaves e Criação de chaves no Guia do AWS Key Management Service desenvolvedor. Para obter mais exemplos de identificadores de KMS chave, consulte KeyIdna AWS Key Management Service APIReferência. Para obter informações sobre como encontrar identificadores de KMS chave, consulte Encontre o ID da chave e ARN no Guia do AWS Key Management Service desenvolvedor.

Importante

Há taxas adicionais pelo uso AWS KMS. Para obter mais informações, consulte Estimando custos AWS KMS e Definição de preço do AWS Key Management Service.

Criptografia de envelope

A segurança dos dados criptografados depende em parte da proteção da chave de dados que pode descriptografá-los. A Amazon SQS usa a KMS chave para criptografar a chave de dados e, em seguida, a chave de dados criptografada é armazenada com a mensagem criptografada. Essa prática de usar uma KMS chave para criptografar chaves de dados é conhecida como criptografia de envelope.

Para obter mais informações, consulte Criptografia de envelope no Guia do desenvolvedor do AWS Encryption SDK .