Amazon SQSのインフラストラクチャセキュリティ
マネージドサービスである Amazon SQS は、ホワイトペーパー「アマゾンウェブサービス:セキュリティプロセスの概要
AWSが公開している API コールを使用し、ネットワーク経由で Amazon SQSにアクセスします。クライアントは、Transport Layer Security (TLS) 1.2 以降をサポートする必要があります。また、Ephemeral Diffie-Hellman (DHE)やElliptic Curve Ephemeral Diffie-Hellman(ECDHE)などの Perfect Forward Secrecy(PFS)を使用した暗号スイートもクライアントでサポートされている必要があります。
IAMプリンシパルに関連付けられているアクセスキー IDとシークレットアクセスキーを使用してリクエストに署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
これらの APIアクションは任意のネットワークの場所から呼び出すことができますが、Amazon SQSではリソースベースのアクセスポリシーがサポートされています。これには送信元IP アドレスに基づく制限を含めることができます。また、Amazon SQSポリシーを使用して、特定の AmazonVPCエンドポイントまたは特定のVPC からのアクセスを制御することもできます。これにより効果的に、AWSネットワーク内の特定の VPC から特定のAmazon SQSキューへのネットワークアクセスのみが分離されます。詳細については、「例5:VPC エンドポイントからではない場合はアクセスを拒否する」を参照してください。
