使用 SQS 托管的加密密钥为队列配置服务器端加密 - Amazon Simple Queue Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 SQS 托管的加密密钥为队列配置服务器端加密

除了默认 Amazon SQS 托管服务器端加密 (SSE) 选项外,Amazon SQS 托管 SSE (SSE-SQS) 还允许您创建自定义托管服务器端加密,以使用 SQS 托管加密密钥来保护通过消息队列发送的敏感数据。使用 SSE-SQS,您无需创建和管理加密密钥,也无需修改代码即可加密数据。SSE-SQS 可让您安全地传输数据,并帮助您满足严格的加密合规性和监管要求,而无需额外费用。

SSE-SQS 使用 256 位高级加密标准 (AES-256) 加密保护静态数据。一旦 Amazon SQS 收到消息,SSE 就会对消息进行加密。Amazon SQS 以加密形式存储消息,只有在将消息发送给授权使用者时才会将其解密。

注意

  • 默认 SSE 选项仅在不指定加密属性的情况下创建队列时才有效。

  • Amazon SQS 允许您关闭所有队列加密。因此,关闭 KMS-SSE 不会自动启用 SQS-SSE。如果您希望在关闭 KMS-SSE 后启用 SQS-SSE,则必须在请求中添加属性更改。

为队列配置 SSE-SQS 加密(控制台)
注意

默认情况下,使用 HTTP(非 TLS)端点创建的任何新队列都不会启用 SSE-SQS 加密。使用 HTTPS 或 Signature Version 4 端点创建 Amazon SQS 队列是一种安全最佳实践。

  1. 打开 Amazon SQS 控制台,网址为。https://console.aws.amazon.com/sqs/

  2. 在导航窗格中,选择 Queues (队列)。

  3. 选择队列,然后选择编辑

  4. 展开加密

  5. 对于服务器端加密,选择启用(默认)。

    注意

    启用 SSE 后,对加密队列的匿名 SendMessageReceiveMessage 请求将被拒绝。Amazon SQS 安全最佳实践建议不要使用匿名请求。如果您想向 Amazon SQS 队列发送匿名请求,请确保禁用 SSE。

  6. 选择 Amazon SQS 密钥 (SSE-SQS)。使用此选项不会产生额外费用。

  7. 选择保存