View a markdown version of this page

Utilisation du chiffrement côté serveur avec AWS KMS clés (SSE-KMS) dans des seaux de table - Amazon Simple Storage Service
Comment SSE-KMS fonctionne pour les tables et les seaux de tableSurveillance et audit du SSE-KMS chiffrement des tables et des compartiments de tables

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du chiffrement côté serveur avec AWS KMS clés (SSE-KMS) dans des seaux de table

Rubriques

Les compartiments de tables ont une configuration de chiffrement par défaut qui chiffre automatiquement les tables en utilisant le chiffrement côté serveur avec les clés gérées par Amazon S3 (). SSE-S3 Ce chiffrement s’applique à tous les tables figurant dans vos compartiments de table S3 et ne vous coûte rien.

Si vous avez besoin d'un contrôle accru sur vos clés de chiffrement, par exemple pour gérer la rotation des clés et l'attribution des politiques d'accès, vous pouvez configurer vos compartiments de table pour utiliser le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) keys (). SSE-KMS Les contrôles de sécurité intégrés AWS KMS peuvent vous aider à respecter les exigences de conformité liées au chiffrement. Pour plus d'informations sur SSE-KMS, voirUtilisation du chiffrement côté serveur avec AWS KMS clés (SSE-KMS).

Comment SSE-KMS fonctionne pour les tables et les seaux de table

SSE-KMS avec seaux de table se distingue des seaux SSE-KMS à usage général des manières suivantes :

  • Vous pouvez définir les paramètres de chiffrement pour les compartiments de table et les tables individuelles.

  • Vous ne pouvez utiliser les clés gérées par le client qu'avec SSE-KMS. AWS les clés gérées ne sont pas prises en charge.

  • Vous devez accorder des autorisations à certains rôles et à certains responsables AWS de service pour accéder à votre AWS KMS clé. Pour de plus amples informations, veuillez consulter Exigences d'autorisation pour le SSE-KMS chiffrement des tables S3. Cela inclut l’octroi de l’accès :

    • Au principal de maintenance S3 : pour effectuer la maintenance des tables sur des tables chiffrées

    • Votre rôle d'intégration des tables S3 : pour travailler avec des tables chiffrées dans les services AWS d'analyse

    • À votre rôle d’accès client : pour un accès direct aux tables chiffrées des clients Apache Iceberg

    • Au principal des métadonnées S3 : pour mettre à jour les tables de métadonnées S3 chiffrées

  • Les tables chiffrées utilisent des clés au niveau des tables qui minimisent le nombre de demandes afin de AWS KMS rendre l'utilisation de tables SSE-KMS chiffrées plus rentable.

SSE-KMS chiffrement pour les compartiments de table

Lorsque vous créez un bucket de table, vous pouvez choisir SSE-KMS le type de chiffrement par défaut et sélectionner une clé KMS spécifique qui sera utilisée pour le chiffrement. Toutes les tables créées dans ce compartiment héritent automatiquement de ces paramètres de chiffrement de leur compartiment de table. Vous pouvez utiliser l' AWS CLI API S3 ou AWS les SDK pour modifier ou supprimer les paramètres de chiffrement par défaut d'un bucket de table à tout moment. Lorsque vous modifiez les paramètres de chiffrement d’un compartiment de table, ces paramètres s’appliquent uniquement aux nouvelles tables créées dans ce compartiment. Les paramètres de chiffrement des tables préexistantes ne sont pas modifiés. Pour de plus amples informations, veuillez consulter Spécification du chiffrement pour les compartiments de table.

SSE-KMS chiffrement pour les tables

Vous avez également la possibilité de chiffrer une table individuelle avec une clé KMS différente, quelle que soit la configuration de chiffrement par défaut du compartiment. Pour définir le chiffrement d’une table individuelle, vous devez spécifier la clé de chiffrement souhaitée au moment de la création de la table. Si vous souhaitez modifier le chiffrement d’une table existante, vous devez créer une table avec la clé souhaitée et copier les données de l’ancienne table vers la nouvelle. Pour de plus amples informations, veuillez consulter Spécification du chiffrement pour les tables.

Lorsque AWS KMS le chiffrement est utilisé, S3 Tables crée automatiquement des clés de données uniques au niveau des tables qui chiffrent les nouveaux objets associés à chaque table. Ces clés sont utilisées pendant une période limitée, ce qui permet de minimiser le besoin de AWS KMS demandes supplémentaires lors des opérations de chiffrement et de réduire le coût du chiffrement. Cela est similaire aux Clés de compartiment S3 pour SSE-KMS.

Surveillance et audit du SSE-KMS chiffrement des tables et des compartiments de tables

Pour vérifier l'utilisation de vos AWS KMS clés pour vos données SSE-KMS cryptées, vous pouvez utiliser AWS CloudTrail des journaux. Vous pouvez obtenir un aperçu de vos opérations cryptographiques, telles que GenerateDataKey etDecrypt. CloudTrail prend en charge de nombreuses valeurs d'attribut pour filtrer votre recherche, notamment le nom de l'événement, le nom d'utilisateur et la source de l'événement.

Vous pouvez suivre les demandes de configuration de chiffrement pour les tables et les compartiments de tables Amazon S3 à l'aide d' CloudTrail événements. Les noms d'événements d'API suivants sont utilisés dans CloudTrail les journaux :

  • s3tables:PutTableBucketEncryption

  • s3tables:GetTableBucketEncryption

  • s3tables:DeleteTableBucketEncryption

  • s3tables:GetTableEncryption

  • s3tables:CreateTable

  • s3tables:CreateTableBucket

Note

EventBridge n'est pas compatible avec les compartiments de table.