使用 Amazon SQS 控制台为队列配置服务器端加密 - Amazon Simple Queue Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon SQS 控制台为队列配置服务器端加密

为了保护队列消息中的数据,Amazon SQS 默认为所有新创建的队列启用服务器端加密 (SSE)。Amazon SQS 与 Amazon Web Services Key Management Service (Amazon Web Services KMS) 集成,用于管理服务器端加密 (SSE) 的 KMS 密钥。有关使用 SSE 的信息,请参阅Amazon SQS 中的静态加密

您分配给队列的 KMS 密钥必须具有密钥政策,其中包括所有有权使用该队列的主体的权限。有关信息,请参阅密钥管理

如果您不是 KMS 密钥的拥有者,或者您登录的账户没有 kms:ListAliaseskms:DescribeKey 权限,则您无法在 Amazon SQS 控制台上查看有关 KMS 密钥的信息。要求 KMS 密钥的拥有者授予您这些权限。有关更多信息,请参阅密钥管理

创建编辑队列时,您可以配置 SSE-KMS。

为现有队列配置 SSE-KMS(控制台)

  1. 打开 Amazon SQS 控制台,网址为。https://console.aws.amazon.com/sqs/

  2. 在导航窗格中,选择 Queues (队列)。

  3. 选择队列,然后选择编辑

  4. 展开加密

  5. 对于服务器端加密,选择启用(默认)。

    注意

    启用 SSE 后,对加密队列的匿名 SendMessageReceiveMessage 请求将被拒绝。Amazon SQS 安全最佳实践建议不要使用匿名请求。如果您想向 Amazon SQS 队列发送匿名请求,请确保禁用 SSE。

  6. 选择 Amazon Key Management Service 密钥 (SSE-KMS)

    控制台会显示 KMS 密钥的描述账户KMS 密钥 ARN

  7. 为队列指定 KMS 密钥 ID。有关更多信息,请参阅 关键术语

    1. 选择选择 KMS 密钥别名选项。

    2. 默认密钥是 Amazon SQS 的 Amazon Web Services 托管 KMS 密钥。要使用此密钥,请从 KMS 密钥列表中选择它。

    3. 要使用您 Amazon Web Services 账户中的自定义 KMS 密钥,请从 KMS 密钥列表中选择该密钥。有关创建自定义 KMS 密钥的说明,请参阅《Amazon Web Services Key Management Service 开发人员指南》中的创建密钥

    4. 要使用不在列表中的自定义 KMS 密钥或来自其他 Amazon Web Services 账户的自定义 KMS 密钥,请选择输入 KMS 密钥别名,并输入 KMS 密钥 Amazon 资源名称 (ARN)。

  8. (可选)对于数据密钥重用周期,指定一个介于 1 分钟到 24 小时之间的值。默认值为 5 分钟。有关更多信息,请参阅 了解数据密钥重用周期

  9. 配置完 SSE-KMS 后,选择保存