Serverseitige Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS) in Tabellen-Buckets angeben - Amazon Simple Storage Service
Verschlüsselung für Tabellen-Buckets angebenVerschlüsselung für Tabellen angeben

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serverseitige Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS) in Tabellen-Buckets angeben

Für alle Amazon S3 S3-Tabellen-Buckets ist die Verschlüsselung standardmäßig konfiguriert, und alle neuen Tabellen, die in einem Tabellen-Bucket erstellt werden, werden im Ruhezustand automatisch verschlüsselt. Die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) ist die Standardverschlüsselungskonfiguration für jeden Tabellen-Bucket. Wenn Sie einen anderen Verschlüsselungstyp angeben möchten, können Sie die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verwenden.

Sie können die SSE-KMS-Verschlüsselung in Ihren CreateTable OR-Anfragen angeben, CreateTableBucket oder Sie können die Standardverschlüsselungskonfiguration im Tabellen-Bucket in einer Anfrage festlegen. PutTableBucketEncryption

Wichtig

Um die automatische Wartung von SSE-KMS-verschlüsselten Tabellen und Tabellen-Buckets zu ermöglichen, müssen Sie dem Service-Principal maintenance.s3tables.amazonaws.com die Erlaubnis erteilen, Ihren KMS-Schlüssel zu verwenden. Weitere Informationen finden Sie unter Berechtigungsanforderungen für die SSE-KMS-Verschlüsselung von S3-Tabellen.

Verschlüsselung für Tabellen-Buckets angeben

Sie können SSE-KMS als Standardverschlüsselungstyp angeben, wenn Sie einen neuen Tabellen-Bucket erstellen. Beispiele finden Sie unter. Erstellen eines Tabellen-Buckets Nachdem Sie einen Tabellen-Bucket erstellt haben, können Sie mithilfe von REST-API-Operationen,, und () die Verwendung von SSE-KMS als Standardverschlüsselungseinstellung angeben. AWS SDKs AWS Command Line Interface AWS CLI

Anmerkung

Wenn Sie SSE-KMS als Standardverschlüsselungstyp angeben, muss der Schlüssel, den Sie für die Verschlüsselung verwenden, den Zugriff auf den Wartungsdienstprinzipal für S3-Tabellen ermöglichen. Wenn der Maintenance Service Principal keinen Zugriff hat, können Sie in diesem Tabellen-Bucket keine Tabellen erstellen. Weitere Informationen finden Sie unter Erteilen Sie dem Wartungsdienst S3 Tables Prinzipalberechtigungen für Ihren KMS-Schlüssel .

Um den folgenden AWS CLI Beispielbefehl zu verwenden, ersetzen Sie den user input placeholders durch Ihre eigenen Informationen.


aws s3tables put-table-bucket-encryption \
    --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket; \
    --encryption-configuration '{
        "sseAlgorithm": "aws:kms",
        "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }' \
    --region us-east-1

Sie können die Standardverschlüsselungseinstellung für einen Tabellen-Bucket mithilfe der DeleteTableBucketEncryptionAPI-Operation entfernen. Wenn Sie die Verschlüsselungseinstellungen entfernen, verwenden neue Tabellen, die im Tabellen-Bucket erstellt wurden, die standardmäßige SSE-S3-Verschlüsselung.

Verschlüsselung für Tabellen angeben

Sie können die SSE-KMS-Verschlüsselung auf eine neue Tabelle anwenden, wenn Sie sie mithilfe von Abfrage-Engines, REST-API-Operationen und AWS Command Line Interface ()AWS CLI erstellen. AWS SDKs Die Verschlüsselungseinstellungen, die Sie beim Erstellen einer Tabelle angeben, haben Vorrang vor den Standardverschlüsselungseinstellungen des Tabellen-Buckets.

Anmerkung

Wenn Sie die SSE-KMS-Verschlüsselung für eine Tabelle verwenden, muss der Schlüssel, den Sie für die Verschlüsselung verwenden, dem S3-Tabelles-Wartungsdienstprinzipal den Zugriff darauf ermöglichen. Wenn der Maintenance Service Principal keinen Zugriff hat, können Sie die Tabelle nicht erstellen. Weitere Informationen finden Sie unter Erteilen Sie dem Wartungsdienst S3 Tables Prinzipalberechtigungen für Ihren KMS-Schlüssel .

Erforderliche -Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um verschlüsselte Tabellen zu erstellen

  • s3tables:CreateTable

  • s3tables:PutTableEncryption

Im folgenden AWS CLI Beispiel wird eine neue Tabelle mit einem Basisschema erstellt und mit einem vom Kunden verwalteten AWS KMS Schlüssel verschlüsselt. Um den Befehl zu verwenden, ersetzen Sie den user input placeholders durch Ihre eigenen Informationen.

aws s3tables create-table \
  --table-bucket-arn "arn:aws:s3tables:Region:ownerAccountId:bucket/amzn-s3-demo-table-bucket" \
  --namespace "mydataset" \
  --name "orders" \
  --format "ICEBERG" \
  --encryption-configuration '{
    "sseAlgorithm": "aws:kms",
    "kmsKeyArn": "arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  }' \
  --metadata '{
    "iceberg": {
      "schema": {
        "fields": [
          {
            "name": "order_id",
            "type": "string",
            "required": true
          },
          {
            "name": "order_date",
            "type": "timestamp",
            "required": true
          },
          {
            "name": "total_amount",
            "type": "decimal(10,2)",
            "required": true
          }
        ]
      }
    }
  }'