Utilisation du chiffrement côté serveur avec des clés AWS KMS (SSE-KMS) dans les compartiments de table - Amazon Simple Storage Service
Comment fonctionne SSE-KMS pour les tables et les compartiments de tableSurveillance et audit du chiffrement SSE-KMS pour les tables et compartiments de table

Utilisation du chiffrement côté serveur avec des clés AWS KMS (SSE-KMS) dans les compartiments de table

Rubriques

Les compartiments de table ont le chiffrement configuré par défaut et les objets sont automatiquement chiffrés à l’aide du chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3). Ce chiffrement s’applique à tous les tables figurant dans vos compartiments de table S3 et ne vous coûte rien.

Si vous avez besoin de plus de contrôle sur vos clés de chiffrement, notamment pour gérer la rotation des clés et l’octroi de stratégies d’accès, vous pouvez configurer vos compartiments de table pour utiliser le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS). Les contrôles de sécurité intégrés à AWS KMS peuvent vous aider à respecter les exigences de conformité liées au chiffrement. Pour en savoir plus sur SSE-KMS, consultez Utilisation du chiffrement côté serveur avec des clés AWS KMS (SSE-KMS).

Comment fonctionne SSE-KMS pour les tables et les compartiments de table

Le chiffrement SSE-KMS avec les compartiments de table diffère du chiffrement SSE-KMS dans les compartiments à usage général sur les points suivants :

  • Vous pouvez définir les paramètres de chiffrement pour les compartiments de table et les tables individuelles.

  • Vous ne pouvez utiliser des clés gérées par le client qu’avec SSE-KMS. Les clés gérées par AWS ne sont pas prises en charge.

  • Vous devez accorder des autorisations à certains rôles et à certains principaux de service AWS pour accéder à votre clé AWS KMS. Pour plus d’informations, consultez Exigences d’autorisation pour le chiffrement SSE-KMS de S3 Tables. Cela inclut l’octroi de l’accès :

    • Au principal de maintenance S3 : pour effectuer la maintenance des tables sur des tables chiffrées

    • À votre rôle d’intégration de S3 Tables : pour utiliser des tables chiffrées dans les services d’analytique AWS

    • À votre rôle d’accès client : pour un accès direct aux tables chiffrées des clients Apache Iceberg

    • Au principal des métadonnées S3 : pour mettre à jour les tables de métadonnées S3 chiffrées

  • Les tables chiffrées utilisent des clés au niveau des tables qui minimisent le nombre de demandes faites à AWS KMS pour rendre l’utilisation des tables chiffrées SSE-KMS plus rentable.

Chiffrement SSE-KMS pour les compartiments de table

Lorsque vous créez un compartiment de table, vous pouvez choisir SSE-KMS comme type de chiffrement par défaut et sélectionner une clé KMS spécifique qui sera utilisée pour le chiffrement. Toutes les tables créées dans ce compartiment héritent automatiquement de ces paramètres de chiffrement de leur compartiment de table. Vous pouvez utiliser l’AWS CLI, l’API S3 ou les kits AWS SDK pour modifier ou supprimer les paramètres de chiffrement par défaut d’un compartiment de table à tout moment. Lorsque vous modifiez les paramètres de chiffrement d’un compartiment de table, ces paramètres s’appliquent uniquement aux nouvelles tables créées dans ce compartiment. Les paramètres de chiffrement des tables préexistantes ne sont pas modifiés. Pour plus d’informations, consultez Spécification du chiffrement pour les compartiments de table.

Chiffrement SSE-KMS pour les tables

Vous avez également la possibilité de chiffrer une table individuelle avec une clé KMS différente, quelle que soit la configuration de chiffrement par défaut du compartiment. Pour définir le chiffrement d’une table individuelle, vous devez spécifier la clé de chiffrement souhaitée au moment de la création de la table. Si vous souhaitez modifier le chiffrement d’une table existante, vous devez créer une table avec la clé souhaitée et copier les données de l’ancienne table vers la nouvelle. Pour plus d’informations, consultez Spécification du chiffrement pour les tables.

Lorsque le chiffrement AWS KMS est utilisé, S3 Tables crée automatiquement des clés de données uniques au niveau des tables qui chiffrent les nouveaux objets associés à chaque table. Ces clés sont utilisées pendant une période limitée, ce qui permet de minimiser le besoin de demandes AWS KMS supplémentaires lors des opérations de chiffrement et de réduire le coût du chiffrement. Cela est similaire aux Clés de compartiment S3 pour SSE-KMS.

Surveillance et audit du chiffrement SSE-KMS pour les tables et compartiments de table

Pour auditer l’utilisation de vos clés AWS KMS pour les données chiffrées SSE-KMS, vous pouvez utiliser les journaux AWS CloudTrail. Vous pouvez obtenir un aperçu de vos opérations cryptographiques, telles que GenerateDataKey et Decrypt. CloudTrail prend en charge de nombreuses valeurs d’attribut pour filtrer votre recherche, notamment le nom de l’événement, le nom d’utilisateur et la source de l’événement.

Vous pouvez suivre les demandes de configuration de chiffrement par défaut pour les tables Amazon S3 et les compartiments de table à l’aide d’événements CloudTrail. Les noms d’événements API suivants sont utilisés dans les journaux CloudTrail :

  • s3tables:PutTableBucketEncryption

  • s3tables:GetTableBucketEncryption

  • s3tables:DeleteTableBucketEncryption

  • s3tables:GetTableEncryption

  • s3tables:CreateTable

  • s3tables:CreateTableBucket

Note

EventBridge n’est pas pris en charge pour les compartiments de table.