Segurança dos dados do Amazon SNS com a criptografia do lado do servidor

Escopo de criptografia Principais termos

A criptografia do lado do servidor (SSE) permite armazenar dados sigilosos em tópicos criptografados protegendo o conteúdo das mensagens em filas em tópicos do Amazon SNS usando chaves gerenciadas no AWS Key Management Service (AWS KMS).

A SSE criptografa mensagens assim que o Amazon SNS as recebe. As mensagens são armazenadas no formato criptografado e são descriptografadas apenas quando são enviadas.

Para obter informações sobre como gerenciar a SSE usando o Console de gerenciamento da AWS ou o AWS SDK para Java (ao configurar o atributo KmsMasterKeyId usando as ações de API CreateTopic e SetTopicAttributes), consulte Configuração da criptografia de tópico do Amazon SNS com a criptografia do lado do servidor.
Para obter informações sobre como criar tópicos criptografados usando CloudFormation (ao definir a propriedade KmsMasterKeyId usando o recurso AWS::SNS::Topic), consulte o Manual do usuário do AWS CloudFormation.

Importante

Todas as solicitações para tópicos com SSE ativada devem usar HTTPS e o Signature versão 4.

Para obter informações sobre a compatibilidade de outros serviços com filas criptografadas, consulte a documentação do seu serviço.

O Amazon SNS só é compatível com chaves do KMS de criptografia simétrica. Você não pode usar nenhum outro tipo de chave do KMS para criptografar seus recursos de serviço. Para obter ajuda para determinar se uma chave do KMS é simétrica, consulte Identificar chaves assimétricas do KMS.

AWS KMSO combina hardware e software seguros e altamente disponíveis para fornecer um sistema de gerenciamento de chaves escalado para a nuvem. Quando você usa o Amazon SNS com o AWS KMS, as chaves de dados que criptografam os dados da mensagem também são criptografadas e armazenadas com os dados que protegem.

Os benefícios de usar o são os seguintes AWS KMS:

Você pode criar e gerenciar o AWS KMS key por conta própria.
Você também pode usar chaves do KMS gerenciadas pela AWS para o Amazon SNS, que são exclusivas para cada conta e região.
Os padrões de segurança do AWS KMS podem ajudá-lo a atender aos requisitos de compatibilidade relacionados à criptografia.

Para obter mais informações, consulte O que é o AWS Key Management Service? no Guia do desenvolvedor do AWS Key Management Service.

Escopo de criptografia

A SSE criptografa o corpo de uma mensagem em um tópico do Amazon SNS.

A SSE não criptografa o seguinte:

Metadados de tópico (nome e atributos do tópico)
Metadados de mensagens (assunto, ID de mensagem, carimbo de data/hora e atributos)
Política de proteção de dados
Métricas por tópico

nota

Uma mensagem só será criptografada se for enviada após a habilitação da criptografia de um tópico. O Amazon SNS não criptografa mensagens com lista de pendências.
Qualquer mensagem criptografada permanecerá dessa forma mesmo se a criptografia de seu tópico for desabilitada.

Principais termos

Os seguintes termos-chave podem ajudar você a entender melhor a funcionalidade da SSE. Para obter descrições detalhadas, consulte a Referência da API do Amazon Simple Notification Service.

Chave de dados

A chave de criptografia dos dados (DEK) responsável por criptografar o conteúdo de mensagens do Amazon SNS.

Para obter mais informações, consulte Chaves de dados no Guia do desenvolvedor do AWS Key Management Service e Criptografia envelopada no Guia do desenvolvedor do AWS Encryption SDK.

ID do AWS KMS key

O alias, o ARN do alias, o ID de chave ou o ARN de uma AWS KMS key ou um AWS KMS personalizado: em sua conta ou em outra. Embora o alias do AWS KMS gerenciado pela AWS para o Amazon SNS seja sempre alias/aws/sns, o alias de um AWS KMS personalizado pode, por exemplo, ser alias/MyAlias. Você pode usar essas chaves do AWS KMS para proteger as mensagens em tópicos do Amazon SNS.

nota

Lembre-se do seguinte:

Na primeira vez em que você usar o Console de gerenciamento da AWS para especificar o KMS gerenciado pela AWS para o Amazon SNS referente a um tópico, o AWS KMS criará o KMS gerenciado pela AWS para o Amazon SNS.
Como alternativa, na primeira vez em que você usar a ação Publish em um tópico com SSE habilitada, o AWS KMS criará o KMS gerenciado pela AWS para o Amazon SNS.

Você pode criar chaves do AWS KMS, definir as políticas que controlam como as chaves do AWS KMS podem ser usadas e auditar o uso do AWS KMS utilizando a seção AWS KMS keys do console do AWS KMS ou a ação AWS KMS do CreateKey. Para obter mais informações, consulte AWS KMS keys e Criação de chaves no Guia do desenvolvedor do AWS Key Management Service. Para obter mais exemplos de identificadores do AWS KMS, consulte KeyId na Referência da API do AWS Key Management Service. Para obter informações sobre como encontrar identificadores do AWS KMS, consulte Encontrar o ID da chave e o ARN no Guia do desenvolvedor do AWS Key Management Service.

Importante

Não há custos adicionais por usar o AWS KMS. Para obter mais informações, consulte Estimar os custos do AWS KMS e Definição de preço do AWS Key Management Service.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criptografia de dados

Gerenciamento de chaves