使用伺服器端加密保護 Amazon SNS 資料 - Amazon Simple Notification Service
加密範圍重要用語

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用伺服器端加密保護 Amazon SNS 資料

伺服器端加密 (SSE) 可讓您使用 () 中管理的金鑰來保護 Amazon 主題中訊息的內容,藉此將敏感資料存放在 AWS Key Management Service 加密SNS主題中。AWS KMS

SSEAmazon SNS 收到訊息後立即加密訊息。這些消息以加密形式存儲,並且僅在發送時才解密。

重要

對SSE啟用的主題的所有請求都必須使用HTTPS和簽名版本 4

如需有關其他服務與加密主題之間相容性的資訊,請參閱您的服務說明文件。

Amazon SNS 僅支持對稱加密密KMS鑰。您無法使用任何其他類型的KMS金鑰來加密服務資源。如需判斷金鑰是否為對稱加密金KMS鑰的說明,請參閱識別非對稱KMS金鑰

AWS KMS 結合安全、高可用性的硬體和軟體,提供專為雲端擴充的金鑰管理系統。SNS搭配使用 Amazon 時 AWS KMS,加密訊息資料的資料金鑰也會加密,並與其保護的資料一起存放。

以下為使用 AWS KMS的優點:

  • 您可以自行建立和管理 AWS KMS key 金鑰。

  • 您也可以使用 Amazon 的 AWS受管KMS金鑰SNS,每個帳戶和區域都是唯一的。

  • AWS KMS 安全標準可協助您符合與加密相關的合規性要求。

如需詳細資訊,請參閱什麼是 AWS Key Management Service?AWS Key Management Service 開發人員指南中。

加密範圍

SSE加密 Amazon SNS 主題中的訊息內文。

SSE 不會加密下列項目:

  • 主題中繼資料 (主題名稱和屬性)

  • 訊息中繼資料 (主旨、訊息 ID、時間戳記和屬性)

  • 資料保護政策

  • 每個主題指標

注意

  • 只有在啟用加密主題後傳送的訊息,才會對訊息進行加密。Amazon SNS 不會加密積壓的消息。

  • 即使已停用其主題的加密,已加密訊息仍會維持加密。

重要用語

下列主要術語可協助您更好地瞭解的功能SSE。如需詳細說明,請參閱 Amazon 簡易通知服務API參考

資料金鑰

負責加密 Amazon SNS 訊息內容的資料加密金鑰 (DEK)。

如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的資料金鑰,以及 AWS Encryption SDK 開發人員指南中的信封加密

AWS KMS key ID

您帳戶或其他帳戶 AWS KMS中ARN的別名ARN、別名 AWS KMS key、金鑰 ID 或金鑰,或自訂。雖然 Amazon AWS 管理 AWS KMS 的別名始終SNS是alias/aws/sns,例如,自定義的別名 AWS KMS 可以是alias/MyAlias。您可以使用這些 AWS KMS 金鑰來保護 Amazon SNS 主題中的訊息。

注意

請謹記以下幾點:

  • 當您第一次使用指 AWS Management Console 定主題KMS的 Amazon AWS SNS 受管時, AWS KMS 會KMS為 Amazon 建立 AWS 受管SNS。

  • 或者,當您第一次對SSE已啟用的主題使用Publish動作時, AWS KMS 會KMS為 Amazon 建立 AWS 受管SNS。

您可以建立 AWS KMS 金鑰、定義控制 AWS KMS 金鑰使用方式的策略,以及使 AWS KMS 用主控 AWS KMS 台AWS KMS keys區段或CreateKey AWS KMS 動作稽核使用情況。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的 AWS KMS keys建立金鑰。如需 AWS KMS 識別碼的更多範例,請參閱〈AWS Key Management Service API參考KeyId中的〈〉。如需尋找 AWS KMS 識別碼的相關資訊,請參閱尋找金鑰 ID 和AWS Key Management Service開發人員指南ARN中的。

重要

使用需支付額外費用 AWS KMS。如需詳細資訊,請參閱 估算成 AWS KMS 本AWS Key Management Service 定價