Wie funktioniert SSE-KMS für Tabellen und Tabellen-Buckets Überwachen und Prüfen der SSE-KMS-Verschlüsselung für Tabellen und Tabellen-Buckets

Verwendung der serverseitigen Verschlüsselung mit AWS KMS-Schlüsseln (SSE-KMS) in Tabellen-Buckets

Themen

Wie funktioniert SSE-KMS für Tabellen und Tabellen-Buckets
Durchsetzung und Festlegung des Anwendungsbereichs von SSE-KMS für Tabellen und Tabellen-Buckets
Überwachen und Prüfen der SSE-KMS-Verschlüsselung für Tabellen und Tabellen-Buckets
Berechtigungsanforderungen für die SSE-KMS-Verschlüsselung von S3 Tables
Festlegen der serverseitigen Verschlüsselung mit AWS KMS-Schlüsseln (SSE-KMS) in Tabellen-Buckets

Tabellen-Buckets verfügen über eine Standardverschlüsselungskonfiguration, die Tabellen automatisch mithilfe der serverseitigen Verschlüsselung (SSE) mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verschlüsselt. Diese Verschlüsselung gilt für alle Tabellen in Ihren S3-Tabellen-Buckets und es fallen keine Kosten für Sie an.

Wenn Sie mehr Kontrolle über Ihre Verschlüsselungsschlüssel benötigen, beispielsweise die Verwaltung der Schlüsselrotation und der Zugriffsrichtlinien, können Sie Ihre Tabellen-Buckets so konfigurieren, dass sie die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS) verwenden. Die Sicherheitskontrollen in AWS KMS tragen dazu bei, dass Sie Ihre Compliance-Anforderungen bezüglich der Verschlüsselung erfüllen. Weitere Informationen zu SSE-KMS finden Sie unter Verwenden serverseitiger Verschlüsselung mit AWS KMS-Schlüsseln (SSE-KMS).

Wie funktioniert SSE-KMS für Tabellen und Tabellen-Buckets

SSE-KMS mit Tabellen-Buckets unterscheidet sich von SSE-KMS in Allzweck-Buckets in folgenden Punkten:

Sie können Verschlüsselungseinstellungen für Tabellen-Buckets und einzelne Tabellen angeben.
Sie können mit SSE-KMS ausschließlich kundenseitig verwaltete Schlüssel verwenden. AWS-verwaltete Schlüssel werden nicht unterstützt.
Sie müssen bestimmten Rollen und AWS-Service-Prinzipalen Berechtigungen für den Zugriff auf Ihren AWS KMS-Schlüssel erteilen. Weitere Informationen finden Sie unter Berechtigungsanforderungen für die SSE-KMS-Verschlüsselung von S3 Tables. Dies beinhaltet die Gewährung von Zugriff auf:
- Das S3-Wartungsprinzipal – zur Durchführung der Tabellenwartung bei verschlüsselten Tabellen
- Ihre S3 Tables-Integrationsrolle – für die Arbeit mit verschlüsselten Tabellen in AWS-Analytikservices
- Ihre Client-Zugriffsrolle – für den direkten Zugriff auf verschlüsselte Tabellen von Apache Iceberg-Clients aus
- Der S3-Metadaten-Prinzipal – zum Aktualisieren verschlüsselter S3-Metadatentabellen
Verschlüsselte Tabellen verwenden Schlüssel auf Tabellenebene, die die Anzahl der Anfragen an AWS KMS minimieren, um die Arbeit mit SSE-KMS-verschlüsselten Tabellen kosteneffizienter zu gestalten.

Die SSE-KMS-Verschlüsselung für Tabellen-Buckets: Wenn Sie einen Tabellen-Bucket erstellen, können Sie SSE-KMS als Standardverschlüsselungstyp und einen bestimmten KMS-Schlüssel auswählen, der für die Verschlüsselung verwendet wird. Alle in diesem Bucket erstellten Tabellen erben diese Verschlüsselungseinstellungen automatisch von ihrem Tabellen-Bucket. Sie können die AWS CLI S3-API oder AWS SDKs verwenden, um die Standardverschlüsselungseinstellungen für einen Tabellen-Bucket jederzeit zu ändern oder zu entfernen. Wenn Sie die Verschlüsselungseinstellungen in einem Tabellen-Bucket ändern, gelten diese Einstellungen nur für neue Tabellen, die in diesem Bucket erstellt wurden. Die Verschlüsselungseinstellungen für bereits bestehende Tabellen werden nicht geändert. Weitere Informationen finden Sie unter Verschlüsselung für Tabellen-Buckets angeben.
Die SSE-KMS-Verschlüsselung für Tabellen: Sie haben auch die Möglichkeit, eine einzelne Tabelle unabhängig von der Standardverschlüsselungskonfiguration des Buckets mit einem anderen KMS-Schlüssel zu verschlüsseln. Um die Verschlüsselung für eine einzelne Tabelle festzulegen, müssen Sie den gewünschten Verschlüsselungsschlüssel bei der Tabellenerstellung angeben. Wenn Sie die Verschlüsselung für eine bestehende Tabelle ändern möchten, müssen Sie eine Tabelle mit dem gewünschten Schlüssel erstellen und Daten aus der alten Tabelle in die neue kopieren. Weitere Informationen finden Sie unter Verschlüsselung für Tabellen angeben.

Wenn Sie AWS KMS Verschlüsselung verwenden, erstellt S3 Tables automatisch eindeutige Datenschlüssel auf Tabellenebene, die neue Objekte verschlüsseln, die jeder Tabelle zugeordnet sind. Diese Schlüssel werden für einen begrenzten Zeitraum verwendet, wodurch der Bedarf an zusätzlichen AWS KMS Anfragen bei Verschlüsselungsvorgängen minimiert und die Verschlüsselungskosten gesenkt werden. Dies ist vergleichbar mit S3-Bucket-Schlüssel für SSE-KMS.

Überwachen und Prüfen der SSE-KMS-Verschlüsselung für Tabellen und Tabellen-Buckets

Um die Verwendung Ihrer AWS KMS-Schlüssel für Ihre SSE-KMS-verschlüsselten Daten zu überprüfen, können Sie AWS CloudTrail-Protokolle verwenden. Sie können Einblicke in Ihre kryptografischen Operationen wieGenerateDataKey und Decrypt erhalten. CloudTrail unterstützt zahlreiche Attributwerte für die Filterung Ihrer Suche, darunter den Ereignisnamen, den Benutzernamen und die Ereignisquelle.

Sie können Anfragen zur Verschlüsselungskonfiguration für Amazon-S3-Tabellen und Tabellen-Bucket mithilfe von CloudTrail-Ereignissen verfolgen. Die folgenden API-Ereignisnamen werden in CloudTrail-Protokollen verwendet:

s3tables:PutTableBucketEncryption
s3tables:GetTableBucketEncryption
s3tables:DeleteTableBucketEncryption
s3tables:GetTableEncryption
s3tables:CreateTable
s3tables:CreateTableBucket

Anmerkung

EventBridge wird für Tabellen-Buckets nicht unterstützt.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verschlüsselung

Durchsetzen von SSE-KMS