Spécification du chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS) dans des compartiments de table - Amazon Simple Storage Service
Spécification du chiffrement pour les compartiments de tablesSpécification du chiffrement pour les tables

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Spécification du chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS) dans des compartiments de table

Le chiffrement est configuré par défaut pour tous les compartiments de table Amazon S3, et toutes les nouvelles tables créées dans un compartiment de table sont automatiquement chiffrées au repos. Le chiffrement côté serveur avec les clés gérées Amazon S3 (SSE-S3) est la configuration de chiffrement par défaut pour chaque compartiment de table. Si vous souhaitez spécifier un autre type de chiffrement, vous pouvez utiliser le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS).

Vous pouvez spécifier le chiffrement SSE-KMS dans vos CreateTable demandes CreateTableBucket or, ou vous pouvez définir la configuration de chiffrement par défaut dans le compartiment de table d'une PutTableBucketEncryption demande.

Important

Pour autoriser la maintenance automatique des tables et des compartiments de tables chiffrés SSE-KMS, vous devez accorder au principal du service maintenance.s3tables.amazonaws.com l'autorisation d'utiliser votre clé KMS. Pour de plus amples informations, veuillez consulter Exigences d'autorisation pour le chiffrement SSE-KMS des tables S3.

Spécification du chiffrement pour les compartiments de tables

Vous pouvez spécifier SSE-KMS comme type de chiffrement par défaut lorsque vous créez un nouveau bucket de table, voir par exemple. Création d’un compartiment de tables Après avoir créé un bucket de table, vous pouvez spécifier l'utilisation de SSE-KMS comme paramètre de chiffrement par défaut à l'aide des opérations de l'API REST AWS SDKs, et du AWS Command Line Interface ()AWS CLI.

Note

Lorsque vous spécifiez SSE-KMS comme type de chiffrement par défaut, la clé que vous utilisez pour le chiffrement doit autoriser l'accès au principal du service de maintenance des tables S3. Si le principal du service de maintenance n'y a pas accès, vous ne pourrez pas créer de tables dans ce bucket de tables. Pour de plus amples informations, veuillez consulter Octroi des autorisations principales au service de maintenance S3 Tables sur votre clé KMS .

Pour utiliser l'exemple de AWS CLI commande suivant, remplacez le user input placeholders par vos propres informations.


aws s3tables put-table-bucket-encryption \
    --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket; \
    --encryption-configuration '{
        "sseAlgorithm": "aws:kms",
        "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }' \
    --region us-east-1

Vous pouvez supprimer le paramètre de chiffrement par défaut pour un bucket de table à l'aide de l'opération DeleteTableBucketEncryptiond'API. Lorsque vous supprimez les paramètres de chiffrement, les nouvelles tables créées dans le compartiment de tables utilisent le chiffrement SSE-S3 par défaut.

Spécification du chiffrement pour les tables

Vous pouvez appliquer le chiffrement SSE-KMS à une nouvelle table lorsque vous la créez à l'aide de moteurs de requêtes, d'opérations d'API REST et du AWS Command Line Interface ()AWS CLI. AWS SDKs Les paramètres de chiffrement que vous spécifiez lors de la création d'une table ont priorité sur le paramètre de chiffrement par défaut du compartiment de table.

Note

Lorsque vous utilisez le chiffrement SSE-KMS pour une table, la clé que vous utilisez pour le chiffrement doit autoriser le principal du service de maintenance des tables S3 à y accéder. Si le directeur du service de maintenance n'y a pas accès, vous ne pourrez pas créer la table. Pour de plus amples informations, veuillez consulter Octroi des autorisations principales au service de maintenance S3 Tables sur votre clé KMS .

Autorisations nécessaires

Les autorisations suivantes sont requises pour créer des tables chiffrées

  • s3tables:CreateTable

  • s3tables:PutTableEncryption

L' AWS CLI exemple suivant crée une nouvelle table avec un schéma de base et la chiffre à l'aide d'une AWS KMS clé gérée par le client. Pour utiliser la commande, remplacez-la user input placeholders par vos propres informations.

aws s3tables create-table \
  --table-bucket-arn "arn:aws:s3tables:Region:ownerAccountId:bucket/amzn-s3-demo-table-bucket" \
  --namespace "mydataset" \
  --name "orders" \
  --format "ICEBERG" \
  --encryption-configuration '{
    "sseAlgorithm": "aws:kms",
    "kmsKeyArn": "arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  }' \
  --metadata '{
    "iceberg": {
      "schema": {
        "fields": [
          {
            "name": "order_id",
            "type": "string",
            "required": true
          },
          {
            "name": "order_date",
            "type": "timestamp",
            "required": true
          },
          {
            "name": "total_amount",
            "type": "decimal(10,2)",
            "required": true
          }
        ]
      }
    }
  }'