Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) di bucket tabel - Amazon Simple Storage Service
Cara kerja SSE-KMS untuk tabel dan ember mejaPemantauan dan Audit enkripsi SSE-KMS untuk tabel dan bucket tabel

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) di bucket tabel

Topik

Bucket tabel memiliki konfigurasi enkripsi default yang secara otomatis mengenkripsi tabel dengan menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3). Enkripsi ini berlaku untuk semua tabel di bucket tabel S3 Anda, dan tidak dikenakan biaya kepada Anda.

Jika Anda memerlukan kontrol lebih besar atas kunci enkripsi, seperti mengelola rotasi kunci dan hibah kebijakan akses, Anda dapat mengonfigurasi bucket tabel untuk menggunakan enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) (SSE-KMS). Kontrol keamanan AWS KMS dapat membantu Anda memenuhi persyaratan kepatuhan terkait enkripsi. Untuk informasi lebih lanjut tentang SSE-KMS, lihat Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS).

Cara kerja SSE-KMS untuk tabel dan ember meja

SSE-KMS dengan ember meja berbeda dari SSE-KMS dalam ember tujuan umum dengan cara berikut:

  • Anda dapat menentukan pengaturan enkripsi untuk bucket tabel dan tabel individual.

  • Anda hanya dapat menggunakan kunci yang dikelola pelanggan dengan SSE-KMS. AWS kunci terkelola tidak didukung.

  • Anda harus memberikan izin untuk peran dan prinsip AWS layanan tertentu untuk mengakses kunci Anda. AWS KMS Untuk informasi selengkapnya, lihat Persyaratan izin untuk enkripsi SSE-KMS Tabel S3. Ini termasuk pemberian akses ke:

    • Prinsip pemeliharaan S3 — untuk melakukan pemeliharaan meja pada tabel terenkripsi

    • Peran integrasi Tabel S3 Anda — untuk bekerja dengan tabel terenkripsi dalam layanan analitik AWS

    • Peran akses klien Anda — untuk akses langsung ke tabel terenkripsi dari klien Apache Iceberg

    • Prinsipal Metadata S3 — untuk memperbarui tabel metadata S3 terenkripsi

  • Tabel terenkripsi menggunakan kunci tingkat tabel yang meminimalkan jumlah permintaan yang dibuat AWS KMS untuk membuat bekerja dengan tabel terenkripsi SSE-KMS lebih hemat biaya.

Enkripsi SSE-KMS untuk bucket tabel

Saat membuat bucket tabel, Anda dapat memilih SSE-KMS sebagai jenis enkripsi default dan memilih kunci KMS tertentu yang akan digunakan untuk enkripsi. Setiap tabel yang dibuat dalam bucket itu akan secara otomatis mewarisi pengaturan enkripsi ini dari keranjang tabelnya. Anda dapat menggunakan AWS CLI, S3 API, atau AWS SDKs untuk memodifikasi atau menghapus pengaturan enkripsi default pada keranjang tabel kapan saja. Saat Anda mengubah setelan enkripsi pada keranjang tabel, pengaturan tersebut hanya berlaku untuk tabel baru yang dibuat di bucket tersebut. Pengaturan enkripsi untuk tabel yang sudah ada sebelumnya tidak diubah. Untuk informasi selengkapnya, lihat Menentukan enkripsi untuk bucket tabel.

Enkripsi SSE-KMS untuk tabel

Anda juga memiliki opsi untuk mengenkripsi tabel individual dengan kunci KMS yang berbeda terlepas dari konfigurasi enkripsi default bucket. Untuk mengatur enkripsi untuk tabel individual, Anda harus menentukan kunci enkripsi yang diinginkan pada saat pembuatan tabel. Jika Anda ingin mengubah enkripsi untuk tabel yang ada, maka Anda harus membuat tabel dengan kunci yang diinginkan dan menyalin data dari tabel lama ke yang baru. Untuk informasi selengkapnya, lihat Menentukan enkripsi untuk tabel.

Saat menggunakan AWS KMS enkripsi, Tabel S3 secara otomatis membuat kunci data tingkat tabel unik yang mengenkripsi objek baru yang terkait dengan setiap tabel. Kunci ini digunakan untuk jangka waktu terbatas, meminimalkan kebutuhan akan AWS KMS permintaan tambahan selama operasi enkripsi dan mengurangi biaya enkripsi. Ini mirip denganKunci Bucket S3 untuk SSE-KMS.

Pemantauan dan Audit enkripsi SSE-KMS untuk tabel dan bucket tabel

Untuk mengaudit penggunaan AWS KMS kunci Anda untuk data terenkripsi SSE-KMS Anda, Anda dapat menggunakan log. AWS CloudTrail Anda bisa mendapatkan wawasan tentang operasi kriptografi Anda, seperti GenerateDataKey danDecrypt. CloudTrail mendukung banyak nilai atribut untuk memfilter pencarian Anda, termasuk nama acara, nama pengguna, dan sumber acara.

Anda dapat melacak permintaan konfigurasi enkripsi untuk tabel Amazon S3 dan bucket tabel dengan menggunakan peristiwa. CloudTrail Nama peristiwa API berikut digunakan dalam CloudTrail log:

  • s3tables:PutTableBucketEncryption

  • s3tables:GetTableBucketEncryption

  • s3tables:DeleteTableBucketEncryption

  • s3tables:GetTableEncryption

  • s3tables:CreateTable

  • s3tables:CreateTableBucket

catatan

EventBridge tidak didukung untuk ember meja.