Menentukan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) di bucket tabel - Amazon Simple Storage Service
Menentukan enkripsi untuk bucket tabelMenentukan enkripsi untuk tabel

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menentukan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) di bucket tabel

Semua bucket tabel Amazon S3 memiliki enkripsi yang dikonfigurasi secara default, dan semua tabel baru yang dibuat dalam keranjang tabel secara otomatis dienkripsi saat istirahat. Enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) adalah konfigurasi enkripsi default untuk setiap bucket tabel. Jika Anda ingin menentukan jenis enkripsi yang berbeda, Anda dapat menggunakan enkripsi sisi server dengan AWS Key Management Service (AWS KMS) kunci (SSE-KMS).

Anda dapat menentukan enkripsi SSE-KMS dalam CreateTable permintaan CreateTableBucket atau Anda, atau Anda dapat mengatur konfigurasi enkripsi default di keranjang tabel dalam permintaan. PutTableBucketEncryption

penting

Untuk mengizinkan pemeliharaan otomatis pada tabel terenkripsi SSE-KMS dan bucket tabel, Anda harus memberikan izin utama layanan maintenance.s3tables.amazonaws.com untuk menggunakan kunci KMS Anda. Untuk informasi selengkapnya, lihat Persyaratan izin untuk enkripsi SSE-KMS Tabel S3.

Menentukan enkripsi untuk bucket tabel

Anda dapat menentukan SSE-KMS sebagai jenis enkripsi default saat membuat bucket tabel baru, misalnya, lihat. Membuat ember meja Setelah membuat bucket tabel, Anda dapat menentukan penggunaan SSE-KMS sebagai pengaturan enkripsi default menggunakan operasi REST API AWS SDKs, dan (). AWS Command Line Interface AWS CLI

catatan

Saat Anda menentukan SSE-KMS sebagai tipe enkripsi default, kunci yang Anda gunakan untuk enkripsi harus mengizinkan akses ke prinsipal layanan pemeliharaan Tabel S3. Jika kepala layanan pemeliharaan tidak memiliki akses, Anda tidak akan dapat membuat tabel di keranjang meja itu. Untuk informasi selengkapnya, lihat Memberikan izin utama layanan pemeliharaan Tabel S3 ke kunci KMS Anda .

Untuk menggunakan AWS CLI perintah contoh berikut, ganti user input placeholders dengan informasi Anda sendiri.


aws s3tables put-table-bucket-encryption \
    --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket; \
    --encryption-configuration '{
        "sseAlgorithm": "aws:kms",
        "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }' \
    --region us-east-1

Anda dapat menghapus setelan enkripsi default untuk bucket tabel menggunakan operasi DeleteTableBucketEncryptionAPI. Saat Anda menghapus pengaturan enkripsi, tabel baru yang dibuat di bucket tabel akan menggunakan enkripsi SSE-S3 default.

Menentukan enkripsi untuk tabel

Anda dapat menerapkan enkripsi SSE-KMS ke tabel baru saat Anda membuatnya menggunakan mesin kueri, operasi REST API AWS SDKs, dan (). AWS Command Line Interface AWS CLI Pengaturan enkripsi yang Anda tentukan saat membuat tabel lebih diutamakan daripada setelan enkripsi default bucket tabel.

catatan

Saat Anda menggunakan enkripsi SSE-KMS untuk tabel, kunci yang Anda gunakan untuk enkripsi harus mengizinkan prinsipal layanan pemeliharaan Tabel S3 untuk mengaksesnya. Jika kepala layanan pemeliharaan tidak memiliki akses, Anda tidak akan dapat membuat tabel. Untuk informasi selengkapnya, lihat Memberikan izin utama layanan pemeliharaan Tabel S3 ke kunci KMS Anda .

Izin yang diperlukan

Izin berikut diperlukan untuk membuat tabel terenkripsi

  • s3tables:CreateTable

  • s3tables:PutTableEncryption

AWS CLI Contoh berikut membuat tabel baru dengan skema dasar, dan mengenkripsi dengan kunci yang dikelola pelanggan. AWS KMS Untuk menggunakan perintah, ganti user input placeholders dengan informasi Anda sendiri.

aws s3tables create-table \
  --table-bucket-arn "arn:aws:s3tables:Region:ownerAccountId:bucket/amzn-s3-demo-table-bucket" \
  --namespace "mydataset" \
  --name "orders" \
  --format "ICEBERG" \
  --encryption-configuration '{
    "sseAlgorithm": "aws:kms",
    "kmsKeyArn": "arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  }' \
  --metadata '{
    "iceberg": {
      "schema": {
        "fields": [
          {
            "name": "order_id",
            "type": "string",
            "required": true
          },
          {
            "name": "order_date",
            "type": "timestamp",
            "required": true
          },
          {
            "name": "total_amount",
            "type": "decimal(10,2)",
            "required": true
          }
        ]
      }
    }
  }'