亚马逊AWS官方博客

新增 – 适用于 Amazon Simple Queue Service (SQS) 的服务器端加密

作为 AWS 服务家族最老牌的成员, Amazon Simple Queue Service (SQS) 是许多应用程序的重要组成部分。Amazon SQS,实现更好的架构利用 Amazon SQS 和 Amazon DynamoDB 进行大规模消息处理等演示文稿说明了如何使用 SQS 构建恢复能力强且高度可扩展的应用程序。如今,我们为 SQS 增加了服务器端加密支持,使它变得更加有用。现在,您可以选择使用  AWS Key Management Service (KMS) 提供的加密密钥,将 SQS 加密消息存储于标准队列和 FIFO 队列中。您可以在创建队列时选择此选项,还可以为现有队列设置此选项。SSE 会加密消息正文,但不会影响队列元数据、消息元数据或队列指标。在现有队列中添加加密不会加密任何积压消息。同样,删除加密时也会将积压消息保持加密。

创建加密队列

最新版本的 AWS管理控制台 允许您使用方便的图形选择标准队列或 FIFO 队列:

您可以针对队列和可选的死信队列设置属性:

现在,您可以选中使用 SSE 并选择所需的密钥:

您可以使用由 AWS 托管的客户主密钥 (CMK),每个客户在每个区域只拥有唯一的客户主密钥;您还可以创建并管理您自己的密钥。如果您选择使用自己的密钥,不要忘了更新您的 KMS 密钥策略,允许对消息进行加密和解密。您还可以配置数据重用周期。此间隔控制 SQS 刷新来自 KMS 的加密信息的频率,范围在 1 分钟到 24 小时之间。使用较短的间隔可以改善安全性,但会提高 KMS 成本。要了解更多详情,请参阅 SQS SSE 常见问题服务器端加密的文档。

现已推出

服务器端加密现已在 美国西部(俄勒冈)和 美国东部(俄亥俄) 区域推出,支持运行中的其他内容。使用加密不收费,但 SQS 对 KMS 的调用需要收费。要了解与此有关的更多信息,请参阅我如何估算客户主密钥 (CMK) 使用成本

-Jeff