Application et définition de l’utilisation du SSE-KMS pour les tables et les compartiments de table - Amazon Simple Storage Service

Application et définition de l’utilisation du SSE-KMS pour les tables et les compartiments de table

Vous pouvez utiliser les politiques basées sur les ressources de S3 Tables, les stratégies de clé KMS, les politiques basées sur l’identité IAM, ou toute combinaison de celles-ci, pour imposer l’utilisation de SSE-KMS pour les tables S3 et les compartiments de table. Pour plus d’informations sur les politiques d’identité et de ressources pour les tables, consultez Gestion des accès pour S3 Tables. Pour en savoir plus sur l’écriture des stratégie de clé, consultez Stratégies de clé dans le Guide du développeur AWS Key Management Service. Les exemples suivants montrent comment vous pouvez utiliser les stratégies pour appliquer SSE-KMS.

Il s’agit d’un exemple de stratégie de compartiment de table qui empêche les utilisateurs de créer des tables dans un compartiment de table spécifique à moins qu’ils ne chiffrent les tables avec une clé AWS KMS spécifique. Pour utiliser cette stratégie, remplacez les espaces réservés à la saisie utilisateur par vos propres informations :

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceKMSEncryption",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3tables:CreateTable"
      ],
      "Resource": [
        "arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "s3tables:sseAlgorithm": "aws:kms",
          "s3tables:kmsKeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
      }
    }
  ]
}

Cette politique d’identité IAM oblige les utilisateurs à utiliser une clé AWS KMS spécifique pour le chiffrement lors de la création ou de la configuration des ressources de S3 Tables. Pour utiliser cette stratégie, remplacez les espaces réservés à la saisie utilisateur par vos propres informations :

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "RequireKMSKeyOnTables",
      "Action": [
          "s3tables:CreateTableBucket",
          "s3tables:PutTableBucketEncryption",
          "s3tables:CreateTable"
      ]
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "s3tables:sseAlgorithm": "aws:kms",
            "s3tables:kmsKeyArn": "<key_arn>"
        }
      }
    }
  ]
}

Cet exemple de stratégie de clé KMS permet à un utilisateur spécifique d’utiliser la clé uniquement pour les opérations de chiffrement dans un compartiment de table spécifique. Ce type de stratégie est utile pour limiter l’accès à une clé dans les scénarios entre comptes. Pour utiliser cette stratégie, remplacez les espaces réservés à la saisie utilisateur par vos propres informations :

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Id": "Id",
  "Statement": [
    {
      "Sid": "AllowPermissionsToKMS",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
        }
      }
    }
  ]
}