Erzwingung und Festlegung des Geltungsbereichs der SSE-KMS-Verwendung für Tabellen und Tabellen-Buckets - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erzwingung und Festlegung des Geltungsbereichs der SSE-KMS-Verwendung für Tabellen und Tabellen-Buckets

Sie können ressourcenbasierte Richtlinien für S3-Tabellen, KMS-Schlüsselrichtlinien, identitätsbasierte IAM-Richtlinien oder eine beliebige Kombination davon verwenden, um die Verwendung von SSE-KMS für S3-Tabellen und Tabellen-Buckets durchzusetzen. Weitere Informationen zu Identitäts- und Ressourcenrichtlinien für Tabellen finden Sie unter. Zugriffsverwaltung für S3 Tables Informationen zum Schreiben wichtiger Richtlinien finden Sie unter Wichtige Richtlinien im AWS Key Management Service Entwicklerhandbuch. Die folgenden Beispiele zeigen, wie Sie mithilfe von Richtlinien SSE-KMS durchsetzen können.

Dies ist ein Beispiel für eine Tabellen-Bucket-Richtlinie, die verhindert, dass Benutzer Tabellen in einem bestimmten Tabellen-Bucket erstellen, es sei denn, sie verschlüsseln Tabellen mit einem bestimmten Schlüssel. AWS KMS Um diese Richtlinie zu verwenden, ersetzen Sie die user input placeholders durch Ihre eigenen Informationen: 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceKMSEncryption",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3tables:CreateTable"
      ],
      "Resource": [
        "<table-bucket-arn>/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "s3tables:sseAlgorithm": "aws:kms",
          "s3tables:kmsKeyArn": "<kms-key-arn>"
        }
      }
    }
  ]
}

Diese IAM-Identitätsrichtlinie verlangt von Benutzern, bei der Erstellung oder Konfiguration von S3-Tabellenressourcen einen bestimmten AWS KMS Schlüssel für die Verschlüsselung zu verwenden. Um diese Richtlinie zu verwenden, ersetzen Sie die user input placeholders durch Ihre eigenen Informationen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RequireKMSKeyOnTables",
      "Action": [
          "s3tables:CreateTableBucket",
          "s3tables:PutTableBucketEncryption",
          "s3tables:CreateTable"
      ]
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "s3tables:sseAlgorithm": "aws:kms",
            "s3tables:kmsKeyArn": "<key_arn>"
        }
      }
    }
  ]
}

Dieses Beispiel für eine KMS-Schlüsselrichtlinie ermöglicht, dass der Schlüssel von einem bestimmten Benutzer nur für Verschlüsselungsvorgänge in einem bestimmten Tabellen-Bucket verwendet wird. Diese Art von Richtlinie ist nützlich, um den Zugriff auf einen Schlüssel in kontenübergreifenden Szenarien einzuschränken. Um diese Richtlinie zu verwenden, ersetzen Sie die user input placeholders durch Ihre eigenen Informationen: 

{
  "Version": "2012-10-17",
  "Id": "Id",
  "Statement": [
    {
      "Sid": "AllowPermissionsToKMS",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
        }
      }
    }
  ]
}