使用 Amazon SQS 主控台為佇列設定伺服器端加密 - Amazon Simple Queue Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon SQS 主控台為佇列設定伺服器端加密

為了保護佇列訊息中的資料,Amazon SQS 預設為所有新建立的佇列啟用伺服器端加密 (SSE)。Amazon SQS 已與 Amazon Web Services Key Management Service (Amazon Web Services KMS) 整合,以管理用於伺服器端加密 (SSE) 的 KMS 金鑰。如需使用 SSE 的詳細資訊,請參閱 在 Amazon 中靜態加密 SQS

您指派給佇列的 KMS 金鑰必須具有金鑰政策,其中包含授權可使用佇列之所有主體的許可。如需詳細資訊,請參閱金鑰管理

若您並非 KMS 金鑰的擁有者,或者您登入的帳戶並無 kms:ListAliaseskms:DescribeKey 的許可,即無法在 Amazon SQS 主控台上檢視 KMS 相關資訊。請要求 KMS 金鑰的擁有者授與您這些許可。如需詳細資訊,請參閱金鑰管理

建立編輯佇列時,可以設定 SSE-KMS。

若要設定現有佇列的 SSE-KMS (主控台)

  1. https://console.aws.amazon.com/sqs/ 開啟 Amazon SQS 主控台。

  2. 在導覽窗格中,選擇 Queues (佇列)。

  3. 選擇佇列,然後選擇編輯

  4. 展開加密

  5. 伺服器端加密下,選擇啟用

    注意

    啟用 SSE 後,對加密佇列的匿名 SendMessageReceiveMessage 請求將被拒絕。Amazon SQS 安全性最佳實務建議您不要使用匿名請求。如果您希望將匿名請求傳送到 Amazon SQS 佇列,請務必停用 SSE。

  6. 選取AWS Key Management Service 金鑰 (SSE-KMS)。

    主控台會顯示 KMS 金鑰的說明帳戶KMS 金鑰 ARN

  7. 指定佇列的 KMS 金鑰 ID。如需詳細資訊,請參閱 重要用語

    1. 選擇選擇 KMS 金鑰別名選項。

    2. 預設金鑰是 Amazon SQS 的 Amazon Web Services 託管 KMS 金鑰。若要使用此金鑰,請從 KMS 金鑰清單中選擇該金鑰。

    3. 若要使用 Amazon Web Services 帳戶中的自訂 KMS 金鑰,請從 KMS 金鑰清單中選擇。如需建立自訂 KMS 金鑰的指示,請參閱《Amazon Web Services Key Management Service 開發人員指南》中的建立金鑰

    4. 若要使用不在清單中的自訂 KMS 金鑰,或使用其他 Amazon Web Services 帳戶的自訂 KMS 金鑰,請選擇輸入 KMS 金鑰別名,然後輸入 KMS 金鑰 Amazon Resource Name (ARN)。

  8. (選用) 對於資料金鑰重複使用期間,指定 1 分鐘到 24 小時之間的值。預設值為 5 分鐘。如需詳細資訊,請參閱 了解資料金鑰重複使用期間

  9. 完成 SSE-KMS 的設定後,請選擇儲存