本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 Amazon SQS 控制台为队列配置服务器端加密 为了保护队列消息中的数据,Amazon SQS 默认为所有新创建的队列启用服务器端加密 (SSE)。Amazon SQS 与 Amazon Web Services Key Management Service (Amazon Web Services KMS) 集成,用于管理服务器端加密 (SSE) 的 [KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)。有关使用 SSE 的信息,请参阅[Amazon SQS 中的静态加密](sqs-server-side-encryption.md)。 您分配给队列的 KMS 密钥必须具有密钥政策,其中包括所有有权使用该队列的主体的权限。有关信息,请参阅[密钥管理](sqs-key-management.md)。 如果您不是 KMS 密钥的拥有者,或者您登录的账户没有 `kms:ListAliases` 和 `kms:DescribeKey` 权限,则您无法在 Amazon SQS 控制台上查看有关 KMS 密钥的信息。要求 KMS 密钥的拥有者授予您这些权限。有关更多信息,请参阅[密钥管理](sqs-key-management.md)。 [创建](creating-sqs-standard-queues.md#step-create-standard-queue)或[编辑](sqs-configure-edit-queue.md)队列时,您可以配置 SSE-KMS。 **为现有队列配置 SSE-KMS(控制台)** 1. 打开 Amazon SQS 控制台,网址为。[https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/) 1. 在导航窗格中,选择**队列**。 1. 选择队列,然后选择**编辑**。 1. 展开**加密**。 1. 对于**服务器端加密**,选择**启用**(默认)。 **注意** 启用 SSE 后,对加密队列的匿名 `SendMessage` 和 `ReceiveMessage` 请求将被拒绝。Amazon SQS 安全最佳实践建议不要使用匿名请求。如果您想向 Amazon SQS 队列发送匿名请求,请确保禁用 SSE。 1. 选择 **AWS Key Management Service 密钥 (SSE-KMS)**。 控制台会显示 KMS 密钥的**描述**、**账户**和 **KMS 密钥 ARN**。 1. 为队列指定 KMS 密钥 ID。有关更多信息,请参阅 [关键术语](sqs-server-side-encryption.md#sqs-sse-key-terms)。 1. 选择**选择 KMS 密钥别名**选项。 1. 默认密钥是 Amazon SQS 的 Amazon Web Services 托管 KMS 密钥。要使用此密钥,请从 **KMS 密钥**列表中选择它。 1. 要使用您 Amazon Web Services 账户中的自定义 KMS 密钥,请从 **KMS 密钥**列表中选择该密钥。有关创建自定义 KMS 密钥的说明,请参阅《Amazon Web Services Key Management Service 开发人员指南》**中的[创建密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。 1. 要使用不在列表中的自定义 KMS 密钥或来自其他 Amazon Web Services 账户的自定义 KMS 密钥,请选择**输入 KMS 密钥别名**,并输入 KMS 密钥 Amazon 资源名称 (ARN)。 1. (可选)对于**数据密钥重用周期**,指定一个介于 1 分钟到 24 小时之间的值。默认值为 5 分钟。有关更多信息,请参阅 [了解数据密钥重用周期](sqs-key-management.md#sqs-how-does-the-data-key-reuse-period-work)。 1. 配置完 SSE-KMS 后,选择**保存**。