Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration du chiffrement des rubriques Amazon SNS avec un abonnement chiffré à la file d'attente Amazon SQS
<a name="sns-enable-encryption-for-topic-sqs-queue-subscriptions"></a>

Vous pouvez activer le chiffrement côté serveur (SSE) pour une rubrique afin de protéger ses données. Pour permettre à Amazon SNS d'envoyer des messages à des files d'attente Amazon SQS chiffrées, la clé gérée par le client associée à la file d'attente Amazon SQS doit avoir un énoncé de politique qui accorde l'accès au principal du service Amazon SNS aux actions d'API AWS KMS `GenerateDataKey` et `Decrypt`. Pour plus d'informations sur l'utilisation du chiffrement SSE, consultez la section [Sécurisation des données Amazon SNS grâce au chiffrement côté serveur](sns-server-side-encryption.md).

Cette rubrique explique comment activer SSE pour une rubrique Amazon SNS avec un abonnement à une file d'attente Amazon SQS chiffrée à l'aide du. AWS Management Console

## Étape 1 : Créer une clé KMS personnalisée
<a name="create-custom-cmk"></a>

1. Connectez-vous à la [console AWS KMS](https://console.aws.amazon.com/kms/) avec un utilisateur disposant au minimum de la politique `AWSKeyManagementServicePowerUser`.

1. Sélectionnez **Create a key (Créer une clé)**.

1. Pour créer une clé KMS de chiffrement symétrique, pour **Key type** (Type de clé), choisissez **Symmetric** (Symétrique).

   Pour de plus amples informations sur la création d'une clé KMS asymétrique dans la console AWS KMS , consultez [Création de clés KMS asymétriques (console)](https://docs.aws.amazon.com/kms/latest/developerguide/asymm-create-key.html#create-asymmetric-keys-console).

1. Dans **Key usage** (Utilisation de la clé), l'option **Encrypt and decrypt** (Chiffrer et déchiffrer) est sélectionnée pour vous.

   Pour plus d'informations sur la création de clés KMS qui génèrent et vérifient des codes MAC, consultez [Création de clés KMS HMAC](https://docs.aws.amazon.com/kms/latest/developerguide/hmac-create-key.html).

   Pour de plus amples informations sur les **Options avancées**, consultez [Clés à usage spécial](https://docs.aws.amazon.com/kms/latest/developerguide/key-types.html).

1. Choisissez **Suivant**.

1. Saisissez un alias pour la clé KMS. Le nom d'alias ne peut pas commencer par **aws/**. Le **aws/** préfixe est réservé par Amazon Web Services pour être représenté Clés gérées par AWS dans votre compte.
**Note**  
L'ajout, la suppression ou la mise à jour d'un alias peut permettre d'accorder ou de refuser l'autorisation d'utiliser la KMS. Pour plus de détails, consultez [ABAC pour AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/abac.html) et [Utilisation d'alias pour contrôler l'accès aux clés KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#hmac-key-concept).

   Un alias est un nom d'affichage que vous pouvez utiliser pour identifier facilement la clé KMS. Nous vous conseillons de choisir un alias qui indique le type de données que vous envisagez de protéger ou l'application que vous pensez utiliser avec la clé KMS.

   Les alias sont requis lorsque vous créez une clé KMS dans la AWS Management Console. Ils sont facultatifs lorsque vous utilisez l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération.

1. (Facultatif) Saisissez une description pour la clé KMS.

   Vous pouvez ajouter une description maintenant ou la mettre à jour à tout moment, sauf si l'[état de la clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) est `Pending Deletion` ou `Pending Replica Deletion`. Pour ajouter, modifier ou supprimer la description d'une clé gérée par le client existante, [modifiez la description](https://docs.aws.amazon.com/kms/latest/developerguide/editing-keys.html) dans l'opération AWS Management Console ou utilisez l'[UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)opération.

1. (Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour ajouter plus d'une balise à la clé KMS, sélectionnez **Add tag (Ajouter une balise)**.
**Note**  
L'étiquetage ou le désétiquetage d'une clé KMS permet d'accorder ou refuser l'autorisation d'utilisation de cette clé KMS. Pour plus de détails, consultez [ABAC pour AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/abac.html) et [Utilisation d'étiquettes pour contrôler l'accès aux clés KMS](https://docs.aws.amazon.com/kms/latest/developerguide/tag-authorization.html).

   Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter [Étiquetage de clés](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) et [ABAC pour AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/abac.html).

1. Choisissez **Suivant**.

1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé KMS.
**Note**  
Cette politique clé donne le contrôle Compte AWS total de cette clé KMS. Il permet aux administrateurs de compte d'utiliser des politiques IAM pour autoriser d'autres principals à gérer la clé KMS. Pour plus d'informations, consultez [Stratégie de clé par défaut](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html).  
   
Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le Guide de l'utilisateur IAM.

1. (Facultatif) Pour empêcher les utilisateurs et les rôles IAM sélectionnés de supprimer cette clé KMS, dans la section **Key deletion (Suppression de la clé)** en bas de la page, décochez la case **Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé)**.

1. Choisissez **Suivant**.

1. Sélectionnez les utilisateurs et les rôles IAM qui peuvent utiliser la clé dans les [opérations de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations). Choisissez **Suivant**.

1. Sur la page **Review and edit key policy (Vérifier et modifier la politique de clé)**, ajoutez l'instruction suivante dans la politique de clé, puis choisissez **Finish (Terminer)**.

   ```
   {
       "Sid": "Allow Amazon SNS to use this key",
       "Effect": "Allow",
       "Principal": {
           "Service": "sns.amazonaws.com"
       },
       "Action": [
           "kms:Decrypt",
           "kms:GenerateDataKey*"
       ],
       "Resource": "*"
   }
   ```

Votre nouvelle clé gérée par le client s'affiche dans la liste des clés.

## Étape 2 : Création d'une une rubrique Amazon SNS chiffrée
<a name="create-encrypted-topic"></a>

1. Connectez-vous à la [console Amazon SNS](https://console.aws.amazon.com/sns/home).

1. Dans le panneau de navigation, choisissez **Rubriques**.

1. Choisissez **Créer une rubrique**.

1. Sur la page **Create new topic (Créer une rubrique)**, dans **Name (Nom)**, tapez le nom de la rubrique (par exemple, `MyEncryptedTopic`), puis choisissez **Create topic (Créer une rubrique)**.

1. Développez la section **Encryption (Chiffrement)** et effectuez les opérations suivantes : 

   1. Choisissez **Enable server-side encryption (Activer le chiffrement côté serveur)**.

   1. Spécifiez la clé gérée par le client. Pour de plus amples informations, veuillez consulter [Termes clés](sns-server-side-encryption.md#sse-key-terms).

      Pour chaque type de clé gérée par le client, la **Description**, le **Compte** et l'**ARN** de la clé gérée par le client sont affichés.
**Important**  
Si vous n'êtes pas le propriétaire de la clé gérée par le client, ou si vous vous connectez avec un compte n'ayant pas les autorisations `kms:ListAliases` et `kms:DescribeKey`, vous ne pouvez pas afficher les informations relatives à la clé gérée par le client sur la console Amazon SNS.  
Demandez au propriétaire de la clé gérée par le client de vous accorder ces autorisations. Pour plus d'informations, consultez [Autorisations d'API AWS KMS  : référence des actions et ressources](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) dans le *Guide du développeur AWS Key Management Service *.

   1. Pour la **clé gérée par le client**, choisissez **MyCustomKey**[celle que vous avez créée précédemment](#create-custom-cmk), puis sélectionnez **Activer le chiffrement côté serveur.**

1. Sélectionnez **Enregistrer les modifications**.

   SSE est activé pour votre sujet et la **MyTopic**page s'affiche.

   Le statut **Chiffrement** de la rubrique, **Compte** AWS , **Clé gérée par le client**, l'**ARN** et la **Description** de la clé gérée par le client s’affichent dans l’onglet **Chiffrement**.

Votre nouvelle rubrique chiffrée apparaît dans la liste des rubriques.

## Étape 3 : Création et abonnement de files d'attente Amazon SQS chiffrées
<a name="create-encrypted-queue"></a>

1. Connectez-vous à la [console Amazon SQS](https://console.aws.amazon.com/sqs/).

1. Choisissez **Create New Queue (Créer une file d'attente)**.

1. Sur la page **Create New Queue (Créer une file d'attente)**, procédez comme suit :

   1. Saisissez un **nom de file d'attente** (par exemple, `MyEncryptedQueue1`).

   1. Sélectionnez **Standard Queue (File d'attente standard)**, puis **Configure Queue (Configurer la file d'attente)**.

   1. Sélectionnez **Use SSE (Utiliser le chiffrement SSE)**.

   1. Pour **AWS KMS key**, choisissez celui **MyCustomKey**[que vous avez créé précédemment](#create-custom-cmk), puis choisissez **Créer une file d'attente**.

1. Répétez l'opération pour créer une deuxième file d'attente (par exemple, `MyEncryptedQueue2`).

   Vos nouvelles files d'attente chiffrées s'affichent dans la liste des files d'attente.

1. Sur la console Amazon SQS, sélectionnez `MyEncryptedQueue1` et `MyEncryptedQueue2`, puis choisissez **Actions sur la file d'attente**, **Abonner la file d'attente à la rubrique SNS**.

1. Dans la boîte de dialogue **S'abonner à un sujet**, pour **Choisir un sujet **MyEncryptedTopic****, sélectionnez, puis choisissez **S'abonner**.

   Les abonnements de vos files d'attente chiffrées à votre rubrique chiffrée s'affichent dans la boîte de dialogue **Résultat de l'abonnement à la rubrique**.

1. Choisissez **OK**.

## Étape 4 : Publication d'un message dans votre rubrique chiffrée
<a name="publish-to-encrypted-topic"></a>

1. Connectez-vous à la [console Amazon SNS](https://console.aws.amazon.com/sns/home).

1. Dans le panneau de navigation, choisissez **Rubriques**.

1. Dans la liste des sujets, choisissez **MyEncryptedTopic**puis cliquez sur **Publier le message**.

1. Sur la page **Publier un message**, procédez comme suit :

   1. (Facultatif) Dans la section **Message details (Détails du message)**, saisissez le **Subject (Objet)** (for example, `Testing message publishing`).

   1. Dans la section **Message body (Corps du message)**, saisissez le corps du message (par exemple, `My message body is encrypted at rest.`).

   1. Choisissez **Publier le message**.

Votre message est publié dans vos files d'attente chiffrées souscrites.

## Étape 5 : Vérification de la livraison du message
<a name="verify-message-delivery"></a>

1. Connectez-vous à la [console Amazon SQS](https://console.aws.amazon.com/sqs/).

1. Dans la liste des files d'attente, choisissez **MyEncryptedQueue1**, puis sélectionnez **Envoyer et recevoir des messages**.

1. Sur la page **Envoyer et recevoir des messages en MyEncryptedQueue 1**, choisissez **Sondage pour les messages**.

   Le message [que vous avez envoyé précédemment](#publish-to-encrypted-topic) s'affiche.

1. Choisissez **Plus de détails** pour afficher votre message.

1. Lorsque vous avez terminé, choisissez **Fermer**.

1. Répétez le processus pour **MyEncryptedQueue2**.