本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 SQS 托管的加密密钥为队列配置服务器端加密
<a name="sqs-configure-sqs-sse-queue"></a>

除了[默认](creating-sqs-standard-queues.md#step-create-standard-queue) Amazon SQS 托管服务器端加密 (SSE) 选项外，Amazon SQS 托管 SSE (SSE-SQS) 还允许您创建自定义托管服务器端加密，以使用 SQS 托管加密密钥来保护通过消息队列发送的敏感数据。使用 SSE-SQS，您无需创建和管理加密密钥，也无需修改代码即可加密数据。SSE-SQS 可让您安全地传输数据，并帮助您满足严格的加密合规性和监管要求，而无需额外费用。

SSE-SQS 使用 256 位高级加密标准 (AES-256) 加密保护静态数据。一旦 Amazon SQS 收到消息，SSE 就会对消息进行加密。Amazon SQS 以加密形式存储消息，只有在将消息发送给授权使用者时才会将其解密。

**注意**  
默认 SSE 选项仅在不指定加密属性的情况下创建队列时才有效。
Amazon SQS 允许您关闭所有队列加密。因此，关闭 KMS-SSE 不会自动启用 SQS-SSE。如果您希望在关闭 KMS-SSE 后启用 SQS-SSE，则必须在请求中添加属性更改。

**为队列配置 SSE-SQS 加密（控制台）**
**注意**  
默认情况下，使用 HTTP（非 TLS）端点创建的任何新队列都不会启用 SSE-SQS 加密。使用 HTTPS 或 [Signature Version 4](https://docs.amazonaws.cn/general/latest/gr/signature-version-4.html) 端点创建 Amazon SQS 队列是一种安全最佳实践。

1. 打开 Amazon SQS 控制台，网址为。[https://console.aws.amazon.com/sqs/](https://console.amazonaws.cn/sqs/)

1. 在导航窗格中，选择**队列**。

1. 选择队列，然后选择**编辑**。

1. 展开**加密**。

1. 对于**服务器端加密**，选择**启用**（默认）。
**注意**  
启用 SSE 后，对加密队列的匿名 `SendMessage` 和 `ReceiveMessage` 请求将被拒绝。Amazon SQS 安全最佳实践建议不要使用匿名请求。如果您想向 Amazon SQS 队列发送匿名请求，请确保禁用 SSE。

1. 选择 **Amazon SQS 密钥 (SSE-SQS)**。使用此选项不会产生额外费用。

1. 选择**保存**。