Application et définition de l'utilisation du SSE-KMS pour les tables et les compartiments de tables - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Application et définition de l'utilisation du SSE-KMS pour les tables et les compartiments de tables

Vous pouvez utiliser les politiques basées sur les ressources de S3 Tables, les politiques clés KMS, les politiques basées sur l'identité IAM, ou toute combinaison de celles-ci, pour imposer l'utilisation de SSE-KMS pour les tables S3 et les compartiments de tables. Pour plus d'informations sur les politiques d'identité et de ressources pour les tables, consultezGestion des accès pour S3 Tables. Pour plus d'informations sur la rédaction de politiques clés, consultez la section Politiques clés du Guide du AWS Key Management Service développeur. Les exemples suivants montrent comment vous pouvez utiliser des politiques pour appliquer le SSE-KMS.

Il s'agit d'un exemple de politique de compartiment de tables qui empêche les utilisateurs de créer des tables dans un compartiment de tables spécifique à moins qu'ils ne chiffrent les tables avec une AWS KMS clé spécifique. Pour utiliser cette politique, remplacez-la user input placeholders par vos propres informations :

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceKMSEncryption",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3tables:CreateTable"
      ],
      "Resource": [
        "arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "s3tables:sseAlgorithm": "aws:kms",
          "s3tables:kmsKeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
      }
    }
  ]
}

Cette politique d'identité IAM oblige les utilisateurs à utiliser une AWS KMS clé spécifique pour le chiffrement lors de la création ou de la configuration des ressources des tables S3. Pour utiliser cette politique, remplacez-la user input placeholders par vos propres informations :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RequireKMSKeyOnTables",
      "Action": [
          "s3tables:CreateTableBucket",
          "s3tables:PutTableBucketEncryption",
          "s3tables:CreateTable"
      ]
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "s3tables:sseAlgorithm": "aws:kms",
            "s3tables:kmsKeyArn": "<key_arn>"
        }
      }
    }
  ]
}

Cet exemple de politique de clé KMS permet à un utilisateur spécifique d'utiliser la clé uniquement pour les opérations de chiffrement dans un compartiment de table spécifique. Ce type de politique est utile pour limiter l'accès à une clé dans les scénarios entre comptes. Pour utiliser cette politique, remplacez-la user input placeholders par vos propres informations :

JSON
{
  "Version": "2012-10-17",
  "Id": "Id",
  "Statement": [
    {
      "Sid": "AllowPermissionsToKMS",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
        }
      }
    }
  ]
}