本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 SQS 托管的加密密钥为队列配置服务器端加密
除了默认 Amazon SQS 托管服务器端加密 (SSE) 选项外,Amazon SQS 托管 SSE (SSE-SQS) 还允许您创建自定义托管服务器端加密,以使用 SQS 托管加密密钥来保护通过消息队列发送的敏感数据。使用 SSE-SQS,您无需创建和管理加密密钥,也无需修改代码即可加密数据。SSE-SQS 可让您安全地传输数据,并帮助您满足严格的加密合规性和监管要求,而无需额外费用。
SSE-SQS 使用 256 位高级加密标准 (AES-256) 加密保护静态数据。一旦 Amazon SQS 收到消息,SSE 就会对消息进行加密。Amazon SQS 以加密形式存储消息,只有在将消息发送给授权使用者时才会将其解密。
注意
-
默认 SSE 选项仅在不指定加密属性的情况下创建队列时才有效。
-
Amazon SQS 允许您关闭所有队列加密。因此,关闭 KMS-SSE 不会自动启用 SQS-SSE。如果您希望在关闭 KMS-SSE 后启用 SQS-SSE,则必须在请求中添加属性更改。
为队列配置 SSE-SQS 加密(控制台)
注意
默认情况下,使用 HTTP(非 TLS)端点创建的任何新队列都不会启用 SSE-SQS 加密。使用 HTTPS 或 Signature Version 4 端点创建 Amazon SQS 队列是一种安全最佳实践。
通过以下网址打开 Amazon SQS 控制台:https://console.aws.amazon.com/sqs/
。 -
在导航窗格中,选择 Queues (队列)。
-
选择队列,然后选择编辑。
-
展开加密。
-
对于服务器端加密,选择启用(默认)。
注意
启用 SSE 后,对加密队列的匿名
SendMessage
和ReceiveMessage
请求将被拒绝。Amazon SQS 安全最佳实践建议不要使用匿名请求。如果您想向 Amazon SQS 队列发送匿名请求,请确保禁用 SSE。 -
选择 Amazon SQS 密钥 (SSE-SQS)。使用此选项不会产生额外费用。
-
选择保存。