Configuração da criptografia de tópico do Amazon SNS com a criptografia do lado do servidor - Amazon Simple Notification Service
Habilite o SSE usando o AWS Management ConsoleTópico do Amazon SNS com a criptografia do lado do servidorImpacto nos consumidores

Configuração da criptografia de tópico do Amazon SNS com a criptografia do lado do servidor

Com a criptografia do lado do servidor (SSE), é possível armazenar dados confidenciais em tópicos criptografados. A SSE protege o conteúdo de mensagens nos tópicos do Amazon SNS usando chaves gerenciadas no AWS Key Management Service (AWS KMS). Para obter mais informações sobre a criptografia do lado do servidor com o Amazon SNS, consulte Segurança dos dados do Amazon SNS com a criptografia do lado do servidor. Para saber mais sobre como criar chaves do AWS KMS, consulte Criar chaves no Guia do desenvolvedor do AWS Key Management Service.

Importante

Todas as solicitações para tópicos com SSE ativada devem usar HTTPS e o Signature versão 4.

Habilitar a criptografia do lado do servidor (SSE) para um tópico do Amazon SNS usando o AWS Management Console

  1. Faça login no console do Amazon SNS.

  2. No painel de navegação, escolha Tópicos.

  3. Na página Tópicos, selecione um tópico e escolha Ações, Editar.

  4. Expanda a seção Criptografia e faça o seguinte:

    1. Selecione Ativar criptografia.

    2. Especifique a chave do AWS KMS. Para ter mais informações, consulte Principais termos.

      Para cada tipo de KMS, são exibidos Description (Descrição), Account (Conta) e KMS ARN (ARN do KMS).

      Importante

      Se você não for o proprietário do KMS ou se fizer login com uma conta que não tenha as permissões kms:ListAliases e kms:DescribeKey, não será possível visualizar as informações sobre o KMS no console do Amazon SNS.

      Peça ao proprietário do KMS para conceder essas permissões a você. Para obter mais informações, consulte Permissões da API do KMS: referência de ações e recursos do AWS KMS no Guia do desenvolvedor do AWS Key Management Service.

      • O KMS gerenciado pela AWS para o Amazon SNS, (Default) alias/aws/sns [(Padrão) alias/aws/sns] é selecionado por padrão.

        nota

        Lembre-se do seguinte:

        • Na primeira vez em que você usar o AWS Management Console para especificar o KMS gerenciado pela AWS para o Amazon SNS referente a um tópico, o AWS KMS criará o KMS gerenciado pela AWS para o Amazon SNS.

        • Como alternativa, na primeira vez em que você usar a ação Publish em um tópico com SSE habilitada, o AWS KMS criará o KMS gerenciado pela AWS para o Amazon SNS.

      • Para usar uma chave personalizada do KMS de sua conta da AWS, escolha o campo Chave do KMS e selecione a chave personalizada do KMS na lista.

        nota

        Para obter instruções sobre como criar KMSs personalizados, consulte Criar chaves no Guia do desenvolvedor do AWS Key Management Service.

      • Para usar um ARN personalizado do KMS de sua conta da AWS ou de outra conta da AWS, insira-o no campo Chave do KMS.

  5. Escolha Save changes (Salvar alterações).

    SSE é habilitada para o seu tópico e a página MeuTópico é exibida.

    O status de Criptografia, a Conta da AWS, a Chave mestra do cliente (CMK), o ARN da CMK e a Descrição do tópico são exibidos na guia Criptografia.

Configurar um tópico do Amazon SNS com a criptografia do lado do servidor

Ao criar a chave do KMS, use a seguinte política de chave do KMS:

{ 
    "Effect": "Allow", 
    "Principal": { 
        "Service": "service.amazonaws.com" 
     },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": { 
            "aws:SourceArn": "arn:aws:service:region:customer-account-id:resource-type/customer-resource-id" 
        },
        "StringEquals": { 
            "kms:EncryptionContext:aws:sns:topicArn": "arn:aws:sns:your_region:customer-account-id:your_sns_topic_name" 
        }
    }
}

Impacto nos consumidores

Quando o SSE está habilitado para um tópico do Amazon SNS, o processo de consumo de mensagens permanece inalterado para os assinantes. A AWS gerencia o processo de criptografia e descriptografia usando o KMS. Portanto, os inscritos não precisam fazer nenhuma alteração na configuração existente para lidar com mensagens criptografadas. A AWS garante que as mensagens sejam criptografadas em repouso e automaticamente descriptografadas antes da entrega aos assinantes. Isso significa que os assinantes continuarão recebendo e processando mensagens como faziam antes da ativação da criptografia, sem exigir nenhuma configuração adicional ou lógica de decodificação. Além disso, a AWS recomenda o uso de HTTPS para garantir a transmissão segura de mensagens.