Amazon SNS SNS-Themenverschlüsselung mit serverseitiger Verschlüsselung einrichten - Amazon Simple Notification Service
Aktivieren Sie SSE mit dem AWS Management ConsoleOption 2: Aktivieren Sie die Verschlüsselung mit AWS CDKZusätzliche InformationenAuswirkungen auf die Verbraucher

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon SNS SNS-Themenverschlüsselung mit serverseitiger Verschlüsselung einrichten

Amazon SNS unterstützt serverseitige Verschlüsselung (SSE), um den Inhalt von Nachrichten mit AWS Key Management Service (AWS KMS) zu schützen. Folgen Sie den nachstehenden Anweisungen, um SSE über die Amazon SNS SNS-Konsole oder das CDK zu aktivieren.

Option 1: Aktivieren Sie die Verschlüsselung mit dem AWS Management Console

  1. Melden Sie sich bei der Amazon-SNS-Konsole an.

  2. Navigieren Sie zur Themenseite, wählen Sie Ihr Thema aus und klicken Sie auf Bearbeiten.

  3. Erweitern Sie den Abschnitt Encryption (Verschlüsselung) und gehen Sie wie folgt vor:

    • Schalten Sie die Verschlüsselung auf Aktivieren um.

    • Wählen Sie das verwaltete AWS SNS Schlüssel (alias/aws/sns) als Verschlüsselungsschlüssel. Diese Option ist standardmäßig aktiviert.

  4. Wählen Sie Änderungen speichern.

Anmerkung

  • Der Von AWS verwalteter Schlüssel wird automatisch erstellt, falls er noch nicht existiert.

  • Wenn Sie den Schlüssel nicht sehen oder nicht über ausreichende Berechtigungen verfügen, fragen Sie Ihren Administrator nach kms:ListAliases undkms:DescribeKey.

Option 2: Aktivieren Sie die Verschlüsselung mit AWS CDK

Um das verwaltete zu verwenden AWS SNS Geben Sie in Ihrer CDK-Anwendung den folgenden Codeausschnitt ein:

import software.amazon.awscdk.services.sns.*;
import software.amazon.awscdk.services.kms.*;
import software.amazon.awscdk.core.*;

public class SnsEncryptionExample extends Stack {
    public SnsEncryptionExample(final Construct scope, final String id) {
        super(scope, id);

        // Define the managed SNS key
        IKey snsKey = Alias.fromAliasName(this, "helloKey", "alias/aws/sns");

        // Create the SNS Topic with encryption enabled
        Topic.Builder.create(this, "MyEncryptedTopic")
            .masterKey(snsKey)
            .build();
    }
}

Zusätzliche Informationen

  • Benutzerdefinierter KMS-Schlüssel — Sie können bei Bedarf einen benutzerdefinierten Schlüssel angeben. Wählen Sie in der Amazon SNS SNS-Konsole Ihren benutzerdefinierten KMS-Schlüssel aus der Liste aus oder geben Sie den ARN ein.

  • Berechtigungen für benutzerdefinierte KMS-Schlüssel — Wenn Sie einen benutzerdefinierten KMS-Schlüssel verwenden, nehmen Sie Folgendes in die Schlüsselrichtlinie auf, damit Amazon SNS Nachrichten ver- und entschlüsseln kann:

{ 
    "Effect": "Allow", 
    "Principal": { 
        "Service": "sns.amazonaws.com" 
     },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": { 
            "aws:SourceArn": "arn:aws:service:region:customer-account-id:resource-type/customer-resource-id" 
        },
        "StringEquals": { 
            "kms:EncryptionContext:aws:sns:topicArn": "arn:aws:sns:your_region:customer-account-id:your_sns_topic_name" 
        }
    }
}

Auswirkungen auf die Verbraucher

Die Aktivierung von SSE ändert nichts daran, wie Abonnenten Nachrichten konsumieren. AWS verwaltet die Verschlüsselung und Entschlüsselung auf transparente Weise. Nachrichten bleiben im Ruhezustand verschlüsselt und werden vor der Zustellung an Abonnenten automatisch entschlüsselt. Für optimale Sicherheit AWS empfiehlt es sich, HTTPS für alle Endpunkte zu aktivieren, um eine sichere Übertragung von Nachrichten zu gewährleisten.