Utilisation du chiffrement côté serveur avec des AWS KMS clés (SSE-KMS) dans des compartiments de tables - Amazon Simple Storage Service
Comment fonctionne SSE-KMS pour les tables et les seaux de tableSurveillance et audit du chiffrement SSE-KMS pour les tables et les compartiments de tables

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du chiffrement côté serveur avec des AWS KMS clés (SSE-KMS) dans des compartiments de tables

Rubriques

Les compartiments de tables ont une configuration de chiffrement par défaut qui chiffre automatiquement les tables en utilisant le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3). Ce chiffrement s'applique à toutes les tables de vos compartiments de tables S3 et est gratuit pour vous.

Si vous avez besoin d'un contrôle accru sur vos clés de chiffrement, par exemple pour gérer la rotation des clés et l'attribution des politiques d'accès, vous pouvez configurer vos compartiments de table pour utiliser le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS). Les contrôles de sécurité intégrés AWS KMS peuvent vous aider à respecter les exigences de conformité liées au chiffrement. Pour en savoir plus sur SSE-KMS, consultez Utilisation du chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS).

Comment fonctionne SSE-KMS pour les tables et les seaux de table

Le SSE-KMS avec compartiments de table se distingue du SSE-KMS en ce qui concerne les compartiments à usage général des manières suivantes :

  • Vous pouvez définir les paramètres de chiffrement pour les compartiments de tables et les tables individuelles.

  • Vous ne pouvez utiliser des clés gérées par le client qu'avec SSE-KMS. AWS les clés gérées ne sont pas prises en charge.

  • Vous devez accorder des autorisations à certains rôles et à certains responsables AWS de service pour accéder à votre AWS KMS clé. Pour de plus amples informations, veuillez consulter Exigences d'autorisation pour le chiffrement SSE-KMS des tables S3. Cela inclut l'octroi de l'accès à :

    • Le principe de maintenance S3 : pour effectuer la maintenance des tables sur des tables chiffrées

    • Votre rôle d'intégration des tables S3 : pour travailler avec des tables chiffrées dans les services AWS d'analyse

    • Votre rôle d'accès client : pour un accès direct aux tables chiffrées des Apache Iceberg clients

    • Le principe des métadonnées S3 : pour mettre à jour les tables de métadonnées S3 cryptées

  • Les tables chiffrées utilisent des clés au niveau des tables qui minimisent le nombre de demandes afin de AWS KMS rendre l'utilisation des tables chiffrées SSE-KMS plus rentable.

Chiffrement SSE-KMS pour les compartiments de tables

Lorsque vous créez un bucket de table, vous pouvez choisir SSE-KMS comme type de chiffrement par défaut et sélectionner une clé KMS spécifique qui sera utilisée pour le chiffrement. Toutes les tables créées dans ce compartiment hériteront automatiquement de ces paramètres de chiffrement de leur compartiment de table. Vous pouvez utiliser l' AWS CLI API S3 ou modifier ou AWS SDKs supprimer les paramètres de chiffrement par défaut d'un bucket de table à tout moment. Lorsque vous modifiez les paramètres de chiffrement d'un compartiment de tables, ces paramètres s'appliquent uniquement aux nouvelles tables créées dans ce compartiment. Les paramètres de chiffrement des tables préexistantes ne sont pas modifiés. Pour de plus amples informations, veuillez consulter Spécification du chiffrement pour les compartiments de tables.

Chiffrement SSE-KMS pour les tables

Vous avez également la possibilité de chiffrer une table individuelle avec une clé KMS différente, quelle que soit la configuration de chiffrement par défaut du compartiment. Pour définir le chiffrement d'une table individuelle, vous devez spécifier la clé de chiffrement souhaitée au moment de la création de la table. Si vous souhaitez modifier le chiffrement d'une table existante, vous devez créer une table avec la clé souhaitée et copier les données de l'ancienne table vers la nouvelle. Pour de plus amples informations, veuillez consulter Spécification du chiffrement pour les tables.

Lorsque AWS KMS le chiffrement est utilisé, S3 Tables crée automatiquement des clés de données uniques au niveau des tables qui chiffrent les nouveaux objets associés à chaque table. Ces clés sont utilisées pendant une période limitée, ce qui permet de minimiser le besoin de AWS KMS demandes supplémentaires lors des opérations de chiffrement et de réduire le coût du chiffrement. Ceci est similaire àClés de compartiment S3 pour SSE-KMS.

Surveillance et audit du chiffrement SSE-KMS pour les tables et les compartiments de tables

Pour vérifier l'utilisation de vos AWS KMS clés pour vos données cryptées SSE-KMS, vous pouvez utiliser AWS CloudTrail des journaux. Vous pouvez obtenir un aperçu de vos opérations cryptographiques, telles que GenerateDataKey etDecrypt. CloudTrail prend en charge de nombreuses valeurs d'attribut pour filtrer votre recherche, notamment le nom de l'événement, le nom d'utilisateur et la source de l'événement.

Vous pouvez suivre les demandes de configuration de chiffrement pour les tables et les compartiments de tables Amazon S3 à l'aide d' CloudTrail événements. Les noms d'événements d'API suivants sont utilisés dans CloudTrail les journaux :

  • s3tables:PutTableBucketEncryption

  • s3tables:GetTableBucketEncryption

  • s3tables:DeleteTableBucketEncryption

  • s3tables:GetTableEncryption

  • s3tables:CreateTable

  • s3tables:CreateTableBucket

Note

EventBridge n'est pas compatible avec les compartiments de table.