Aplicación y delimitación del uso de SSE-KMS para tablas y buckets de tablas - Amazon Simple Storage Service

Aplicación y delimitación del uso de SSE-KMS para tablas y buckets de tablas

Puede usar las políticas basadas en recursos de tablas de S3, las políticas de claves de KMS, las políticas basadas en identidades de IAM o cualquier combinación de estas para imponer el uso de SSE-KMS en las tablas y buckets de tablas de S3. Para obtener más información sobre las políticas de identidad y recursos para tablas, consulte Administración de acceso para Tablas de S3. Para obtener información sobre la escritura de políticas de claves, consulte Políticas de claves en la Guía para desarrolladores de AWS Key Management Service. Los siguientes ejemplos muestran cómo puede utilizar políticas para aplicar SSE-KMS.

Este es un ejemplo de una política de bucket de tabla que impide a los usuarios crear tablas en un bucket de tabla específico a menos que las cifren con una clave de AWS KMS específica. Para utilizar esta política, sustituya los marcadores de posición de entrada de usuario por información propia: 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceKMSEncryption",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3tables:CreateTable"
      ],
      "Resource": [
        "<table-bucket-arn>/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "s3tables:sseAlgorithm": "aws:kms",
          "s3tables:kmsKeyArn": "<kms-key-arn>"
        }
      }
    }
  ]
}

Esta política de identidades de IAM exige que los usuarios utilicen una clave de AWS KMS específica para el cifrado al crear o configurar los recursos de tablas de S3. Para utilizar esta política, sustituya los marcadores de posición de entrada de usuario por información propia:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RequireKMSKeyOnTables",
      "Action": [
          "s3tables:CreateTableBucket",
          "s3tables:PutTableBucketEncryption",
          "s3tables:CreateTable"
      ]
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "s3tables:sseAlgorithm": "aws:kms",
            "s3tables:kmsKeyArn": "<key_arn>"
        }
      }
    }
  ]
}

Este ejemplo de política de claves de KMS permite que un usuario específico utilice la clave solo para operaciones de cifrado en un bucket de tabla específico. Este tipo de política resulta útil para limitar el acceso a una clave en escenarios entre cuentas. Para utilizar esta política, sustituya los marcadores de posición de entrada de usuario por información propia: 

{
  "Version": "2012-10-17",
  "Id": "Id",
  "Statement": [
    {
      "Sid": "AllowPermissionsToKMS",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
        }
      }
    }
  ]
}