翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サーバー側の暗号化を使用した Amazon SNS データの保護
<a name="sns-server-side-encryption"></a>

サーバー側の暗号化 (SSE) では、 AWS Key Management Service () で管理されるキーを使用して Amazon SNS トピック内のメッセージの内容を保護することで、暗号化されたトピックに機密データを保存できますAWS KMS。

Amazon SNS が受信したメッセージはすぐに、SSE によって暗号化されます。メッセージは暗号化された形式で保存され、送信された場合のみ解読されます。
+  AWS マネジメントコンソール または ( `[CreateTopic](https://docs.aws.amazon.com/sns/latest/api/API_CreateTopic.html)`および `[SetTopicAttributes](https://docs.aws.amazon.com/sns/latest/api/API_SetTopicAttributes.html)` API アクションを使用して `KmsMasterKeyId` 属性を設定 AWS SDK for Java ) を使用して SSE を管理する方法については、「」を参照してください[サーバー側の暗号化を使用した Amazon SNS トピック暗号化のセットアップ](sns-enable-encryption-for-topic.md)。
+ ( `[AWS::SNS::Topic](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-sns-topic.html)`リソースを使用して `KmsMasterKeyId`プロパティを設定 CloudFormation して) を使用して暗号化されたトピックを作成する方法については、 *AWS CloudFormation ユーザーガイド*を参照してください。

**重要**  
SSE が有効なトピックへのリクエストでは必ず、HTTPS と[署名バージョン 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) を使用する必要があります。  
暗号化されたトピックとの他のサービスとの互換性については、サービスのドキュメントを参照してください。  
Amazon SNS は、対称暗号化 KMS キーのみをサポートします。他のタイプの KMS キーを使用してサービスリソースを暗号化することはできません。KMS キーが対称暗号化キーかどうかを判別するには、「[非対称 KMS キーを識別する](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html)」を参照してください。

AWS KMS は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けにスケーリングされたキー管理システムを提供します。で Amazon SNS を使用すると AWS KMS、メッセージデータを暗号化する[データキー](#sse-key-terms)も暗号化され、保護するデータとともに保存されます。

 AWS KMSを使用する利点は次のとおりです。
+ お客様自身で [AWS KMS key](#sse-key-terms) を作成および管理できます。
+ Amazon SNS には、アカウントとリージョンごとに一意の AWSマネージド KMS キーを使用することもできます。
+  AWS KMS セキュリティ標準は、暗号化関連のコンプライアンス要件を満たすのに役立ちます。

詳細については、「 *AWS Key Management Service デベロッパーガイド*」の[「What is AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)」を参照してください。

## 暗号化スコープ
<a name="what-does-sse-encrypt"></a>

SSE では、Amazon SNS トピック内のメッセージの本文が暗号化されます。

SSEでは、以下は暗号化されません。
+ トピックのメタデータ (トピック名と属性)
+ メッセージのメタデータ (件名、メッセージ ID、タイムスタンプ、属性)
+ データ保護ポリシー 
+ トピックごとのメトリクス

**注記**  
メッセージが暗号化されるのは、トピックの暗号化が有効になった後に送信される場合のみです。Amazon SNS は、バックログされたメッセージを暗号化しません。
トピックの暗号化が無効になっても、暗号化されたメッセージは暗号化された状態で維持されます。

## 重要な用語
<a name="sse-key-terms"></a>

以下の重要なキーは、SSEの機能を理解するうえで役立ちます。詳細については、「*[Amazon Simple Notification Service API リファレンス](https://docs.aws.amazon.com/sns/latest/api/)*」を参照してください。

**データキー**  
データ暗号化キー (DEK) は、Amazon SNS メッセージの内容を暗号化します。  
詳細については、『*AWS Key Management Service デベロッパーガイド*』の「[データキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys)」と、『*AWS Encryption SDK デベロッパーガイド*」の「[エンベロープ暗号化](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/how-it-works.html#envelope-encryption)」を参照してください。

**AWS KMS key ID**  
 AWS KMSアカウントまたは別のアカウントの またはカスタムのエイリアス、エイリアス ARN、キー ID AWS KMS key、またはキー ARN。Amazon SNS AWS KMS で AWS 管理される のエイリアスは常に ですが`alias/aws/sns`、カスタムのエイリアスは など AWS KMS です`alias/MyAlias`。これらの AWS KMS キーを使用して、Amazon SNS トピック内のメッセージを保護することができます。  
以下に留意してください。  
+  AWS マネジメントコンソール を使用してトピックの Amazon SNS の AWS マネージド KMS を初めて指定すると、 は Amazon SNS の AWS マネージド KMS AWS KMS を作成します。
+ または、SSE が有効になっているトピックで `Publish`アクションを初めて使用すると、 は Amazon SNS の AWS マネージド KMS AWS KMS を作成します。
 AWS KMS コンソールの **AWS KMS keys**セクション AWS KMS または `[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)` AWS KMS アクションを使用して、キーの作成、 AWS KMS キーの使用方法を制御するポリシーの定義、 AWS KMS 使用状況の監査を行うことができます。詳細については、「[AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)」および「*AWS Key Management Service デベロッパーガイド*」の「[キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。 AWS KMS 識別子のその他の例については、 *AWS Key Management Service API リファレンス*の[KeyId](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html#API_DescribeKey_RequestParameters)」を参照してください。 AWS KMS 識別子の検索の詳細については、「 *AWS Key Management Service デベロッパーガイド*[」の「キー ID と ARN](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html#find-cmk-id-arn) の検索」を参照してください。  
の使用には追加料金がかかります AWS KMS。詳細については、「[AWS KMS コストの見積もり](sns-key-management.md#sse-estimate-kms-usage-costs)」と「[AWS Key Management Service 料金表](https://aws.amazon.com/kms/pricing)」を参照してください。