Serverseitige Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS) in Tabellen-Buckets verwenden - Amazon Simple Storage Service
So funktioniert SSE-KMS für Tabellen und Tabellen-BucketsÜberwachung und Prüfung der SSE-KMS-Verschlüsselung für Tabellen und Tabellen-Buckets

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serverseitige Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS) in Tabellen-Buckets verwenden

Themen

Tabellen-Buckets haben eine Standardverschlüsselungskonfiguration, die Tabellen automatisch verschlüsselt, indem serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) verwendet wird. Diese Verschlüsselung gilt für alle Tabellen in Ihren S3-Tabellen-Buckets und ist für Sie kostenlos.

Wenn Sie mehr Kontrolle über Ihre Verschlüsselungsschlüssel benötigen, z. B. die Verwaltung der Schlüsselrotation und die Gewährung von Zugriffsrichtlinien, können Sie Ihre Tabellen-Buckets so konfigurieren, dass serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verwendet wird. Die darin enthaltenen Sicherheitskontrollen AWS KMS können Ihnen dabei helfen, die Compliance-Anforderungen im Zusammenhang mit der Verschlüsselung zu erfüllen. Weitere Informationen zu SSE-KMS finden Sie unter Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS).

So funktioniert SSE-KMS für Tabellen und Tabellen-Buckets

SSE-KMS mit Tabellen-Buckets unterscheidet sich von SSE-KMS bei Allzweck-Buckets in folgenden Punkten:

  • Sie können Verschlüsselungseinstellungen für Tabellen-Buckets und einzelne Tabellen angeben.

  • Sie können nur vom Kunden verwaltete Schlüssel mit SSE-KMS verwenden. AWS verwaltete Schlüssel werden nicht unterstützt.

  • Sie müssen bestimmten Rollen und AWS Service Principals Berechtigungen für den Zugriff auf Ihren AWS KMS Schlüssel gewähren. Weitere Informationen finden Sie unter Berechtigungsanforderungen für die SSE-KMS-Verschlüsselung von S3-Tabellen. Dies beinhaltet die Gewährung von Zugriff auf:

    • Der S3-Wartungsprinzipal — für die Durchführung der Tabellenverwaltung für verschlüsselte Tabellen

    • Ihre Rolle bei der Integration von S3-Tabellen — für die Arbeit mit verschlüsselten Tabellen in AWS Analysediensten

    • Ihre Client-Zugriffsrolle — für den direkten Zugriff von Apache Iceberg Clients auf verschlüsselte Tabellen

    • Der S3-Metadaten-Prinzipal — zum Aktualisieren verschlüsselter S3-Metadatentabellen

  • Verschlüsselte Tabellen verwenden Schlüssel auf Tabellenebene, die die Anzahl der Anfragen minimieren, AWS KMS um die Arbeit mit SSE-KMS-verschlüsselten Tabellen kostengünstiger zu gestalten.

SSE-KMS-Verschlüsselung für Tabellen-Buckets

Wenn Sie einen Tabellen-Bucket erstellen, können Sie SSE-KMS als Standardverschlüsselungstyp und einen bestimmten KMS-Schlüssel auswählen, der für die Verschlüsselung verwendet wird. Alle in diesem Bucket erstellten Tabellen erben diese Verschlüsselungseinstellungen automatisch von ihrem Tabellen-Bucket. Sie können die AWS CLI S3-API oder verwenden, AWS SDKs um die Standardverschlüsselungseinstellungen für einen Tabellen-Bucket jederzeit zu ändern oder zu entfernen. Wenn Sie Verschlüsselungseinstellungen in einem Tabellen-Bucket ändern, gelten diese Einstellungen nur für neue Tabellen, die in diesem Bucket erstellt wurden. Die Verschlüsselungseinstellungen für bereits bestehende Tabellen werden nicht geändert. Weitere Informationen finden Sie unter Verschlüsselung für Tabellen-Buckets angeben.

SSE-KMS-Verschlüsselung für Tabellen

Sie haben auch die Möglichkeit, eine einzelne Tabelle unabhängig von der Standardverschlüsselungskonfiguration des Buckets mit einem anderen KMS-Schlüssel zu verschlüsseln. Um die Verschlüsselung für eine einzelne Tabelle festzulegen, müssen Sie den gewünschten Verschlüsselungsschlüssel bei der Tabellenerstellung angeben. Wenn Sie die Verschlüsselung für eine bestehende Tabelle ändern möchten, müssen Sie eine Tabelle mit dem gewünschten Schlüssel erstellen und Daten aus der alten Tabelle in die neue kopieren. Weitere Informationen finden Sie unter Verschlüsselung für Tabellen angeben.

Wenn Sie AWS KMS Verschlüsselung verwenden, erstellt S3 Tables automatisch eindeutige Datenschlüssel auf Tabellenebene, die neue Objekte verschlüsseln, die jeder Tabelle zugeordnet sind. Diese Schlüssel werden für einen begrenzten Zeitraum verwendet, wodurch der Bedarf an zusätzlichen AWS KMS Anfragen bei Verschlüsselungsvorgängen minimiert und die Verschlüsselungskosten gesenkt werden. Das ist ähnlich wie. S3-Bucket-Schlüssel für SSE-KMS

Überwachung und Prüfung der SSE-KMS-Verschlüsselung für Tabellen und Tabellen-Buckets

Um die Verwendung Ihrer AWS KMS Schlüssel für Ihre SSE-KMS-verschlüsselten Daten zu überprüfen, können Sie Protokolle verwenden. AWS CloudTrail Sie können Einblick in Ihre kryptografischen Operationen wie und erhalten. GenerateDataKey Decrypt CloudTrail unterstützt zahlreiche Attributwerte zum Filtern Ihrer Suche, einschließlich Ereignisname, Benutzername und Ereignisquelle.

Sie können Anfragen zur Verschlüsselungskonfiguration für Amazon S3 S3-Tabellen und Tabellen-Buckets mithilfe von CloudTrail Ereignissen verfolgen. Die folgenden API-Ereignisnamen werden in CloudTrail Protokollen verwendet:

  • s3tables:PutTableBucketEncryption

  • s3tables:GetTableBucketEncryption

  • s3tables:DeleteTableBucketEncryption

  • s3tables:GetTableEncryption

  • s3tables:CreateTable

  • s3tables:CreateTableBucket

Anmerkung

EventBridge wird für Tabellen-Buckets nicht unterstützt.