使用 SQL 管理的加密金鑰設定佇列的伺服器端加密 - Amazon Simple Queue Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 SQL 管理的加密金鑰設定佇列的伺服器端加密

除了預設的 Amazon SQS 受管伺服器端加密 (SSE) 選項之外,Amazon SQS 受管 SSE (SSE-SQS) 可讓您建立自訂的受管伺服器端加密,以使用 SQL 管理的加密金鑰來保護透過訊息佇列傳送的敏感資料。使用 SSE-SQS,您不需要建立和管理加密金鑰,也不需要修改程式碼來加密資料。SSE-SQS 可讓您安全地傳輸資料,並協助您符合嚴格的加密合規性和法規要求,而無需額外付費。

SSE-SQS 使用 256 位元進階加密標準 (AES-256) 加密法,來保護靜態資料。Amazon SQS 一收到訊息,SSE 就會將其加密。Amazon SQS 會以加密形式存放訊息,並且只有在將訊息傳送給授權的消費者時才會解密訊息。

注意

  • 預設 SSE 選項只有在您建立佇列而未指定加密屬性時才有效。

  • Amazon SQS 可讓您關閉所有佇列加密。因此,關閉 KMS-SSE,將不會自動啟用 SQS-SSE。如果您希望在關閉 KMS-SSE 之後啟用 SQS-SSE,您必須在請求中新增屬性變更。

若要設定佇列的 SSE-SQS 加密 (主控台)
注意

根據預設,使用 HTTP (非 TLS) 端點建立的任何新佇列都不會啟用 SSE-SQS 加密。使用 HTTPS 或簽章版本 4 端點建立 Amazon SQS 佇列是安全性最佳實務。

  1. https://console.aws.amazon.com/sqs/ 開啟 Amazon SQS 主控台。

  2. 在導覽窗格中,選擇 Queues (佇列)。

  3. 選擇佇列,然後選擇編輯

  4. 展開加密

  5. 伺服器端加密下,選擇啟用

    注意

    啟用 SSE 後,對加密佇列的匿名 SendMessageReceiveMessage 請求將被拒絕。Amazon SQS 安全性最佳實務建議您不要使用匿名請求。如果您希望將匿名請求傳送到 Amazon SQS 佇列,請務必停用 SSE。

  6. 選取 Amazon SQS 金鑰 (SSE-SQS)。使用此選項無須額外付費。

  7. 選擇 Save (儲存)。