New – Amazon Simple Queue Service (SQS) でサーバー側の暗号化を導入

AWS シリーズの中でも尊敬に値するサービスの 1 つ、Amazon Simple Queue Service (SQS) は多くのアプリケーションにおいて欠かせない一部を担っています。「Amazon SQS でより優れたアーキテクチャを実現 (Amazon SQS for Better Architecture)」や「Amazon SQS と Amazon DynamoDB で大量のメッセージを処理する (Massive Message Processing with Amazon SQS and Amazon DynamoDB)」などのプレゼンテーションは、SQS をどのように使用すれば復元力とスケーラブルが高いアプリケーションを構築できるのか説明しています。そして今回、サーバー側の暗号化をサポートすることでその SQS がさらに便利になりました。今後は AWS Key Management Service (KMS) による暗号化キーを使用して、スタンダードと FIFO キューの両方で SQS 暗号化済みメッセージを保存するオプションが提供されます。このオプションはキューの作成時に選ぶことができます。また、同時に既存のキューで設定することも可能です。SSE はメッセージ本文を暗号化しますが、キューのメタデータやメッセージのメタデータまたはキューごとのメトリクスは対象外になります。既存のキューに暗号化を追加しても、過去のメッセージは暗号化の対象にはなりません。同様に、暗号化を解除しても過去のメッセージの暗号化がキャンセルされることはありません。

暗号化したキューを作成
新しいバージョンの AWS Management Console では、便利なグラフィックを使用してスタンダードと FIFO キューのどちらかを選択できます。

キューとオプションの Dead Letter Queue に属性を設定することができます。

Use SSE を確認し希望のキーを選択できるようになりました。

各顧客やリージョン独自の AWS マネージド型カスタマーマスターキー (CMK) を使用したり、ご自分のキーを作成して管理することができます。ご自分のキーを使用する場合は、メッセージの暗号化や複合化を許可するため、KMS キーポリシーを必ず更新してください。データ再利用期間を設定することもできます。この間隔は SQS がどれだけ頻繁に KMS からの暗号情報を更新するか、1 分から 24 時間の範囲でコントロールすることができます。間隔を短くすると、セキュリティプロフィールを向上させることができますが、KMS のコストは上昇します。詳細は「SQS SSE のよくある質問 (SQS SSE FAQ)」や「サーバー側の暗号化 (Server-Side Encryption)」のドキュメントをご覧ください。

今すぐ利用可能
サーバー側の暗号化は US West (Oregon) リージョンと US East (Ohio) リージョンで今すぐご利用いただけます。その他でも今後リリース予定です。暗号化の使用は無料となりますが、SQS が KMS に向けたコールを発信する場合は有料になります。詳細は「カスタマーマスターキー (CMK) 使用料の料金を推定するには (How do I Estimate My Customer Master Key (CMK) Usage Costs)」をご覧ください。

— Jeff;