Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Amazon SNS SNS-Themenverschlüsselung mit verschlüsseltem Amazon SQS SQS-Warteschlangenabonnement einrichten
<a name="sns-enable-encryption-for-topic-sqs-queue-subscriptions"></a>

Sie können die serverseitige Verschlüsselung (SSE) für ein Thema aktivieren, um die entsprechenden Daten zu schützen. Damit Amazon SNS Nachrichten an verschlüsselte Amazon-SQS-Warteschlangen senden kann, muss der mit der Amazon-SQS-Warteschlange verknüpfte verwaltete Schlüssel über eine Richtlinienanweisung verfügen, die dem Amazon-SNS-Dienstprinzipal Zugriff auf die AWS KMS -API-Aktionen `GenerateDataKey` und `Decrypt` gewährt. Weitere Informationen zur Verwendung von der SSE finden Sie unter [Sicherung von Amazon SNS SNS-Daten mit serverseitiger Verschlüsselung](sns-server-side-encryption.md).

In diesem Thema wird erklärt, wie Sie SSE für ein Amazon SNS SNS-Thema mit einem verschlüsselten Amazon SQS SQS-Warteschlangenabonnement mithilfe von aktivieren. AWS-Managementkonsole

## Schritt 1: Erstellen eines benutzerdefinierten KMS-Schlüssels
<a name="create-custom-cmk"></a>

1. Melden Sie sich bei der [AWS KMS -Konsole](https://console.aws.amazon.com/kms/) mit einem Benutzer an, der mindestens über die `AWSKeyManagementServicePowerUser`-Richtlinie verfügt.

1. Klicken Sie auf **Create a key**.

1. Um einen KMS-Schlüssel mit symmetrischer Verschlüsselung zu erstellen, wählen Sie für **Key type** (Schlüsseltyp) die Option **Symmetric** (Symmetrisch) aus.

   Weitere Informationen zum Erstellen eines asymmetrischen KMS-Schlüssels in der AWS KMS -Konsole finden Sie unter [Erstellen asymmetrischer KMS-Schlüssel (Konsole)](https://docs.aws.amazon.com/kms/latest/developerguide/asymm-create-key.html#create-asymmetric-keys-console).

1. Unter **Key usage** (Schlüsselverwendung) ist die Option **Encrypt and decrypt** (Verschlüsseln und Entschlüsseln) für Sie ausgewählt.

   Weitere Informationen wie Sie KMS-Schlüssel erstellen, die MAC-Codes generieren und überprüfen, finden Sie unter [Erstellen von HMAC-KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/hmac-create-key.html).

   Weitere Hinweise zu den **Erweiterten Optionen** finden Sie unter [Schlüssel für spezielle Zwecke](https://docs.aws.amazon.com/kms/latest/developerguide/key-types.html).

1. Wählen Sie **Weiter** aus.

1. Geben Sie einen Alias für den Replikatschlüssel ein. Der Aliasname darf nicht mit **aws/** beginnen. Das **aws/** Präfix ist von Amazon Web Services reserviert, um es Von AWS verwaltete Schlüssel in Ihrem Konto darzustellen.
**Anmerkung**  
Wenn Sie einen Alias hinzufügen, löschen oder aktualisieren, wird dadurch möglicherweise eine Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Einzelheiten finden Sie unter [ABAC für AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/abac.html) und [Verwenden von Aliassen zur Steuerung des Zugriffs auf KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#hmac-key-concept).

   Ein Alias ist ein Anzeigename, den Sie verwenden können, um einen KMS-Schlüssel zu identifizieren. Wir empfehlen, dass Sie einen Alias wählen, der auf die Art von Daten, die Sie schützen möchten, oder die Anwendung, die Sie mit dem KMS-Schlüssel verwenden möchten, hindeutet.

   Zum Erstellen eines KMS-Schlüssels in der Konsole benötigen Sie Aliase AWS-Managementkonsole. Sie sind optional, wenn Sie den [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang verwenden.

1. (Optional) Geben Sie eine Beschreibung für den KMS-Schlüssel ein.

   Sie können jetzt eine Beschreibung hinzufügen oder sie jederzeit aktualisieren, es sei denn, der [Schlüsselstatus](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) lautet `Pending Deletion` oder `Pending Replica Deletion`. Um die Beschreibung eines vorhandenen, vom Kunden verwalteten Schlüssels hinzuzufügen, zu ändern oder zu löschen, [bearbeiten Sie die Beschreibung](https://docs.aws.amazon.com/kms/latest/developerguide/editing-keys.html) im AWS-Managementkonsole oder verwenden Sie den [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)Vorgang.

1. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wählen Sie **Add tag (Tag hinzufügen)**, wenn Sie mehr als ein Tag zum KMS-Schlüssel hinzufügen möchten.
**Anmerkung**  
Wenn Sie einen KMS-Schlüssel markieren oder entmarkieren, wird dadurch möglicherweise die Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Einzelheiten finden Sie unter [ABAC für AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/abac.html) und [Verwenden von Tags zur Steuerung des Zugriffs auf KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/tag-authorization.html).

   Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter [Markieren von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) und [ABAC für AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/abac.html).

1. Wählen Sie **Weiter** aus.

1. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel verwalten können.
**Anmerkung**  
Diese Schlüsselrichtlinie ermöglicht die AWS-Konto vollständige Kontrolle über diesen KMS-Schlüssel. Kontoadministratoren können damit anderen Prinzipalen mithilfe von IAM-Richtlinien die Berechtigung zum Verwalten des KMS-Schlüssels erteilen. Details dazu finden Sie unter [Standardschlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html).  
   
Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im IAM-Benutzerhandbuch.

1. (Optional) Um zu verhindern, dass die ausgewählten IAM-Benutzer und -Rollen diesen KMS-Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt **Key deletion (Schlüssellöschung)** das Kontrollkästchen **Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen)**.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel für [kryptographische Operationen](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations) verwenden können. Wählen Sie **Weiter** aus.

1. Fügen Sie auf der Seite **Review and edit key policy (Schlüsselrichtlinie überprüfen und bearbeiten)** die folgende Anweisung zur Schlüsselrichtlinie hinzu. Wählen Sie anschließend **Finish (Fertig stellen)** aus.

   ```
   {
       "Sid": "Allow Amazon SNS to use this key",
       "Effect": "Allow",
       "Principal": {
           "Service": "sns.amazonaws.com"
       },
       "Action": [
           "kms:Decrypt",
           "kms:GenerateDataKey*"
       ],
       "Resource": "*"
   }
   ```

Ihr neues benutzerdefinierter kundenverwalteter Schlüssel wird in der Liste der Schlüssel angezeigt.

## Schritt 2: Erstellen eines verschlüsselten Amazon SNS-Themas
<a name="create-encrypted-topic"></a>

1. Melden Sie sich bei der [Amazon-SNS-Konsole](https://console.aws.amazon.com/sns/home) an.

1. Wählen Sie im Navigationsbereich **Topics** (Themen) aus.

1. Wählen Sie **Thema erstellen** aus.

1. Geben Sie auf der Seite **Create new topic (Neues Thema erstellen)** in **Topic name (Name des Themas)** einen Namen für das Thema ein (z. B. `MyEncryptedTopic`). Wählen Sie anschließend **Create topic (Thema erstellen)** aus.

1. Erweitern Sie den Abschnitt **Encryption (Verschlüsselung)** und gehen Sie wie folgt vor: 

   1. Wählen Sie **Enable server-side encryption**.

   1. Erstellen des kundenverwalteten Schlüssels. Weitere Informationen finden Sie unter [Wichtige Begriffe](sns-server-side-encryption.md#sse-key-terms).

      Für jeden kundenverwalteten Schlüsseltyp werden die **Beschreibung**, das **Konto** und der **ARN** des kundenverwalteten Schlüssels angezeigt.
**Wichtig**  
Wenn Sie nicht der Besitzer des kundenverwalteten Schlüssels sind oder wenn Sie sich mit einem Konto anmelden, das über keine `kms:ListAliases`- und `kms:DescribeKey`-Berechtigungen verfügt, können Sie auf der Amazon-SNS-Konsole keine Informationen über den kundenverwalteten Schlüssel aufrufen.  
Bitten Sie den Inhaber des kundenverwalteten Schlüssels, Ihnen diese Berechtigungen zu erteilen. Beispiele und weitere Informationen zu [AWS KMS -Berechtigungen finden Sie unter ](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) API-Berechtigungen: Referenztabelle für Aktionen und Ressourcen im *AWS Key Management Service Benutzerhandbuch*.

   1. Wählen Sie für den **vom Kunden verwalteten Schlüssel** den Schlüssel aus **MyCustomKey**[, den Sie zuvor erstellt haben](#create-custom-cmk), und wählen Sie dann **Serverseitige Verschlüsselung aktivieren** aus.

1. Wählen Sie **Änderungen speichern ** aus.

   SSE ist für Ihr Thema aktiviert und die **MyTopic**Seite wird angezeigt.

   Auf der Registerkarte **Verschlüsselung** werden der **Verschlüsselungsstatus** des Themas, das AWS -**Konto**, der **kundenverwaltete Schlüssel**, der **CMK-ARN** und die **Beschreibung** angezeigt.

Ihr neues verschlüsseltes Thema wird in der Themenliste angezeigt.

## Schritt 3: Erstellen und Abonnieren verschlüsselter Amazon-SQS-Warteschlangen
<a name="create-encrypted-queue"></a>

1. Melden Sie sich bei der [Amazon-SQS-Konsole](https://console.aws.amazon.com/sqs/) an.

1. Klicken Sie auf **Create New Queue (Neue Queue erstellen)**.

1. Führen Sie auf der Seite **Create New Queue (Neue Queue erstellen)** die folgenden Schritte aus:

   1. Geben Sie einen **Queue Name (Queuesname)** ein (z. B. `MyEncryptedQueue1`).

   1. Klicken Sie auf **Standard Queue (StandardQueue)** und wählen Sie dann **Configure Queue (Queue konfigurieren)** aus.

   1. Wählen Sie **Use SSE**.

   1. Wählen Sie für **AWS KMS key**, **MyCustomKey**[welches Sie zuvor erstellt haben](#create-custom-cmk), und wählen Sie dann **Warteschlange erstellen** aus.

1. Wiederholen Sie den Vorgang, um eine zweite Queue (z. B. namens ) zu erstellen. `MyEncryptedQueue2`).

   Ihre neuen verschlüsselten Queues werden in der Liste der Queues angezeigt.

1. Wählen Sie in der Amazon SQS-Konsole `MyEncryptedQueue1` und `MyEncryptedQueue2` aus. Wählen Sie anschließend **(Queuesaktionen)** und **Subscribe Queues to SNS Topic** (Abonniere SNS-Thema für Queues erstellen) aus.

1. Wählen **Sie im Dialogfeld „Thema abonnieren**“ die Option **Thema auswählen** aus und wählen Sie **MyEncryptedTopic**dann **Abonnieren** aus.

   Die Abonnements Ihrer verschlüsselten Queues für Ihr verschlüsseltes Thema werden im Dialogfeld **Topic Subscription Result (Ergebnis für Thema-Abonnement** angezeigt.

1. Wählen Sie **OK** aus.

## Schritt 4: Veröffentlichen einer Nachricht in Ihrem verschlüsselten Thema
<a name="publish-to-encrypted-topic"></a>

1. Melden Sie sich bei der [Amazon-SNS-Konsole](https://console.aws.amazon.com/sns/home) an.

1. Wählen Sie im Navigationsbereich **Topics** (Themen) aus.

1. Wählen Sie aus der Themenliste die Option Nachricht veröffentlichen aus **MyEncryptedTopic**und klicken Sie dann auf Nachricht **veröffentlichen**.

1. Führen Sie auf der Seite **Publish a message** (Ziel auswählen) folgende Schritte durch:

   1. (Optional) Geben Sie im Abschnitt **Message details (Nachrichtendetails)** den **Subject (Betreff)** ein (z. B. `Testing message publishing`).

   1. Geben Sie im Abschnitt **Message body (Nachrichtentext)** den Nachrichtentext ein (z. B. `My message body is encrypted at rest.`).

   1. Wählen Sie **Publish message (Nachricht veröffentlichen)** aus.

Ihre Nachricht wird in Ihren abonnierten verschlüsselten Queues veröffentlicht.

## Schritt 5: Überprüfen der Zustellung Ihrer Nachrichten
<a name="verify-message-delivery"></a>

1. Melden Sie sich bei der [Amazon-SQS-Konsole](https://console.aws.amazon.com/sqs/) an.

1. Wählen Sie aus der Liste der Warteschlangen **MyEncryptedQueue1** aus und wählen Sie dann Nachrichten **senden und empfangen** aus.

1. Wählen Sie auf der Seite **Nachrichten senden und empfangen in MyEncryptedQueue 1** die Option **Umfrage für Nachrichten** aus.

   Die Nachricht [die Sie zuvor gesendet haben](#publish-to-encrypted-topic) wird angezeigt.

1. Wählen Sie **Weitere Details,** um Ihre Nachricht anzuzeigen.

1. Wählen Sie **Close**, wenn Sie fertig sind.

1. Wiederholen Sie den Vorgang für **MyEncryptedQueue2.**