作为 AWS 服务家族最老牌的成员， Amazon Simple Queue Service (SQS) 是许多应用程序的重要组成部分。Amazon SQS，实现更好的架构和利用 Amazon SQS 和 Amazon DynamoDB 进行大规模消息处理等演示文稿说明了如何使用 SQS 构建恢复能力强且高度可扩展的应用程序。如今，我们为 SQS 增加了服务器端加密支持，使它变得更加有用。现在，您可以选择使用 AWS Key Management Service (KMS) 提供的加密密钥，将 SQS 加密消息存储于标准队列和 FIFO 队列中。您可以在创建队列时选择此选项，还可以为现有队列设置此选项。SSE 会加密消息正文，但不会影响队列元数据、消息元数据或队列指标。在现有队列中添加加密不会加密任何积压消息。同样，删除加密时也会将积压消息保持加密。

创建加密队列

最新版本的 AWS管理控制台允许您使用方便的图形选择标准队列或 FIFO 队列：

您可以针对队列和可选的死信队列设置属性：

现在，您可以选中使用 SSE 并选择所需的密钥：

您可以使用由 AWS 托管的客户主密钥 (CMK)，每个客户在每个区域只拥有唯一的客户主密钥；您还可以创建并管理您自己的密钥。如果您选择使用自己的密钥，不要忘了更新您的 KMS 密钥策略，允许对消息进行加密和解密。您还可以配置数据重用周期。此间隔控制 SQS 刷新来自 KMS 的加密信息的频率，范围在 1 分钟到 24 小时之间。使用较短的间隔可以改善安全性，但会提高 KMS 成本。要了解更多详情，请参阅 SQS SSE 常见问题和服务器端加密的文档。

现已推出

服务器端加密现已在美国西部（俄勒冈）和美国东部（俄亥俄）区域推出，支持运行中的其他内容。使用加密不收费，但 SQS 对 KMS 的调用需要收费。要了解与此有关的更多信息，请参阅我如何估算客户主密钥 (CMK) 使用成本。

-Jeff

本文转载自AWS技术博客。

原文链接：
https://amazonaws-china.com/cn/blogs/china/new-server-side-encryption-for-amazon-simple-queue-service-sqs/

创作场景

适用于 Amazon Simple Queue Service (SQS) 的服务器端加密