Configuración del cifrado de temas de Amazon SNS con cifrado del servidor - Amazon Simple Notification Service
Habilitación del SSE mediante la Consola de administración de AWSOpción 2: habilitación del cifrado mediante AWS CDKInformación adicionalImpacto en los consumidores

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del cifrado de temas de Amazon SNS con cifrado del servidor

Amazon SNS admite cifrado del servidor (SSE) para proteger el contenido de los mensajes mediante AWS Key Management Service (AWS KMS). Siga las instrucciones que aparecen a continuación para habilitar SSE mediante la consola de Amazon SNS o CDK.

Opción 1: habilitación del cifrado mediante la Consola de administración de AWS

  1. Inicie sesión en la consola de Amazon SNS.

  2. Navegue a la página de Temas, seleccione su tema y elija Editar.

  3. Expanda la sección Cifrado y haga lo siguiente:

    • Cambie el cifrado para Habilitar.

    • Seleccione la Clave de SNS administrada por AWS (alias/aws/sns) como clave de cifrado. Está seleccionada de manera predeterminada.

  4. Seleccione Save changes (Guardar cambios).

nota

  • La Clave administrada de AWS se crea automáticamente si no existe aún.

  • Si no ve la clave o no tiene permisos suficientes, pida al administrador que le proporcione kms:ListAliases y kms:DescribeKey.

Opción 2: habilitación del cifrado mediante AWS CDK

Para usar la clave de SNS administrada por AWS en su aplicación de CDK, añada el siguiente fragmento:

import software.amazon.awscdk.services.sns.*;
import software.amazon.awscdk.services.kms.*;
import software.amazon.awscdk.core.*;

public class SnsEncryptionExample extends Stack {
    public SnsEncryptionExample(final Construct scope, final String id) {
        super(scope, id);

        // Define the managed SNS key
        IKey snsKey = Alias.fromAliasName(this, "helloKey", "alias/aws/sns");

        // Create the SNS Topic with encryption enabled
        Topic.Builder.create(this, "MyEncryptedTopic")
            .masterKey(snsKey)
            .build();
    }
}

Información adicional

  • Clave de KMS personalizada: puede especificar una clave personalizada si es necesario. En la consola de Amazon SNS, seleccione su clave de KMS personalizada de la lista o escriba el ARN.

  • Permisos para claves de KMS personalizadas: si utiliza una clave de KMS personalizada, incluya lo siguiente en la política de claves para que Amazon SNS pueda cifrar y descifrar los mensajes:

{ 
    "Effect": "Allow", 
    "Principal": { 
        "Service": "sns.amazonaws.com" 
     },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": { 
            "aws:SourceArn": "arn:aws:service:region:customer-account-id:resource-type/customer-resource-id" 
        },
        "StringEquals": { 
            "kms:EncryptionContext:aws:sns:topicArn": "arn:aws:sns:your_region:customer-account-id:your_sns_topic_name" 
        }
    }
}

Impacto en los consumidores

La habilitación de SSE no cambia la forma en que los suscriptores consumen los mensajes. AWS administra el cifrado y el descifrado de forma transparente. Los mensajes permanecen cifrados en reposo y se descifran automáticamente antes de entregarlos a los suscriptores. Con el fin de garantizar una seguridad óptima, AWS recomienda habilitar HTTPS para todos los puntos de conexión con el fin de garantizar la transmisión segura de los mensajes.