Cómo funciona SSE-KMS para tablas y buckets de tablas Supervisión y auditoría del cifrado SSE-KMS para tablas y buckets de tablas

Uso del cifrado del servidor con claves de AWS KMS (SSE-KMS) en buckets de tablas

Temas

Los bucket de las tablas tienen una configuración de cifrado predeterminada que cifra automáticamente tablas mediante el cifrado del servidor con claves administradas por Amazon S3 (SSE-S3). Este cifrado se aplica a todas las tablas de los buckets de tablas de S3 y no tiene ningún costo para usted.

Si necesita más control sobre las claves de cifrado, por ejemplo, administrar la rotación de claves y las concesiones de las políticas de acceso, puede configurar los buckets de las tablas para usar el cifrado del servidor con claves de AWS Key Management Service (AWS KMS) (SSE-KMS). Los controles de seguridad de AWS KMS pueden ayudarlo a cumplir los requisitos de conformidad relacionados con el cifrado. Para obtener más información sobre SSE-KMS, consulte Uso del cifrado del servidor con claves de AWS KMS (SSE-KMS).

Cómo funciona SSE-KMS para tablas y buckets de tablas

SSE-KMS con buckets de tablas se diferencia de SSE-KMS en los buckets de uso general de las siguientes maneras:

Puede especificar la configuración de cifrado para los buckets de tablas y las tablas individuales.
Solo puede usar claves administradas por el cliente con SSE-KMS. No se admiten las claves administradas por AWS.
Debe conceder permisos para determinados roles y entidades principales de servicio de AWS para acceder a la clave de AWS KMS. Para obtener más información, consulte Requisitos de permiso para el cifrado SSE-KMS de tablas de S3. Esto incluye conceder acceso a:
- La entidad principal de mantenimiento de S3: para realizar el mantenimiento de tablas en tablas cifradas
- El rol de integración de tablas de S3: para trabajar con tablas cifradas en los servicios de análisis de AWS
- El rol de acceso de cliente: para el acceso directo a las tablas cifradas de los clientes de Apache Iceberg
- La entidad principal de metadatos de S3: para actualizar las tablas de metadatos de S3 cifradas
Las tablas cifradas utilizan claves en el nivel de tabla que minimizan la cantidad de solicitudes realizadas a AWS KMS para hacer que el trabajo con tablas cifradas con SSE-KMS sea más rentable.

Cifrado SSE-KMS para buckets de tablas: Al crear un bucket de tabla, puede elegir SSE-KMS como el tipo de cifrado predeterminado y seleccionar una clave de KMS específica que se utilizará para el cifrado. Todas las tablas que se creen dentro de ese bucket heredarán automáticamente esta configuración de cifrado del bucket de tablas. Puede usar la AWS CLI, la API de S3 o los SDK de AWS para modificar o eliminar la configuración de cifrado predeterminada en un bucket de tabla en cualquier momento. Cuando modifica la configuración de cifrado en un bucket de tabla, esa configuración solo se aplica a las nuevas tablas creadas en ese bucket. La configuración de cifrado de las tablas preexistentes no se modifica. Para obtener más información, consulte Especificación del cifrado de los buckets de tablas.
Cifrado SSE-KMS para tablas: También tiene la opción de cifrar una tabla individual con una clave de KMS diferente, independientemente de la configuración de cifrado predeterminada del bucket. Para configurar el cifrado de una tabla individual, debe especificar la clave de cifrado deseada en el momento de crear la tabla. Si desea cambiar el cifrado de una tabla existente, tendrá que crear una tabla con la clave deseada y copiar los datos de la tabla anterior en la nueva. Para obtener más información, consulte Especificación del cifrado para tablas.

Al utilizar el cifrado de AWS KMS, las tablas de S3 crean automáticamente claves de datos únicas en el nivel de tabla que cifran los nuevos objetos asociados a cada tabla. Estas claves se utilizan durante un periodo de tiempo limitado, lo que minimiza la necesidad de solicitudes de AWS KMS adicionales durante las operaciones de cifrado y reduce el costo del cifrado. Esto es similar a Claves de bucket de S3 para SSE-KMS.

Supervisión y auditoría del cifrado SSE-KMS para tablas y buckets de tablas

Para auditar el uso de las claves de AWS KMS para los datos cifrados con SSE-KMS, puede utilizar los registros de AWS CloudTrail. Puede obtener información sobre las operaciones de cifrado, como, por ejemplo, GenerateDataKey y Decrypt. CloudTrail admite numerosos valores de atributos para filtrar la búsqueda, incluidos el nombre del evento, el nombre de usuario y la fuente del evento.

Puede realizar un seguimiento de las solicitudes de configuración de cifrado para las tablas de Amazon S3 y los buckets de tablas mediante eventos de CloudTrail. Los siguientes nombres de eventos de API se utilizan en los registros de CloudTrail:

s3tables:PutTableBucketEncryption
s3tables:GetTableBucketEncryption
s3tables:DeleteTableBucketEncryption
s3tables:GetTableEncryption
s3tables:CreateTable
s3tables:CreateTableBucket

nota

EventBridge no es compatible con los buckets de tablas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cifrado

Aplicación de SSE-KMS