View a markdown version of this page

Menentukan enkripsi sisi server dengan AWS KMS keys (SSE-KMS) dalam ember meja - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menentukan enkripsi sisi server dengan AWS KMS keys (SSE-KMS) dalam ember meja

Semua bucket tabel Amazon S3 memiliki enkripsi yang dikonfigurasi secara default, dan semua tabel baru yang dibuat dalam keranjang tabel secara otomatis dienkripsi saat istirahat. Server-side enkripsi dengan kunci terkelola Amazon S3 (SSE-S3) adalah konfigurasi enkripsi default untuk setiap bucket tabel. Jika Anda ingin menentukan jenis enkripsi yang berbeda, Anda dapat menggunakan enkripsi sisi server dengan AWS Key Management Service (AWS KMS) keys (). SSE-KMS

Anda dapat menentukan SSE-KMS enkripsi dalam CreateTable permintaan CreateTableBucket atau Anda, atau Anda dapat mengatur konfigurasi enkripsi default di keranjang tabel dalam PutTableBucketEncryption permintaan.

penting

Untuk mengizinkan pemeliharaan otomatis pada tabel SSE-KMS terenkripsi dan bucket tabel, Anda harus memberikan izin utama layanan maintenance.s3tables.amazonaws.com untuk menggunakan kunci KMS Anda. Untuk informasi selengkapnya, lihat Persyaratan izin untuk enkripsi Tabel SSE-KMS S3.

Menentukan enkripsi untuk bucket tabel

Anda dapat menentukan SSE-KMS sebagai jenis enkripsi default saat membuat bucket tabel baru, misalnya, lihatMembuat ember meja. Setelah membuat bucket tabel, Anda dapat menentukan penggunaan SSE-KMS sebagai setelan enkripsi default menggunakan operasi REST API, AWS SDK, dan AWS Command Line Interface (AWS CLI).

catatan

Saat Anda menentukan SSE-KMS sebagai jenis enkripsi default, kunci yang Anda gunakan untuk enkripsi harus mengizinkan akses ke prinsipal layanan pemeliharaan Tabel S3. Jika kepala layanan pemeliharaan tidak memiliki akses, Anda tidak akan dapat membuat tabel di keranjang meja itu. Untuk informasi selengkapnya, lihat Memberikan izin utama layanan pemeliharaan Tabel S3 ke kunci KMS Anda.

Untuk menggunakan AWS CLI perintah contoh berikut, ganti user input placeholders dengan informasi Anda sendiri.

aws s3tables put-table-bucket-encryption \ --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket; \ --encryption-configuration '{ "sseAlgorithm": "aws:kms", "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }' \ --region us-east-1

Anda dapat menghapus setelan enkripsi default untuk bucket tabel menggunakan operasi DeleteTableBucketEncryptionAPI. Saat Anda menghapus pengaturan enkripsi, tabel baru yang dibuat di keranjang tabel akan menggunakan SSE-S3 enkripsi default.

Menentukan enkripsi untuk tabel

Anda dapat menerapkan SSE-KMS enkripsi ke tabel baru saat membuatnya menggunakan mesin kueri, operasi REST API, AWS SDK, dan AWS Command Line Interface (AWS CLI). Pengaturan enkripsi yang Anda tentukan saat membuat tabel lebih diutamakan daripada setelan enkripsi default bucket tabel.

catatan

Saat Anda menggunakan SSE-KMS enkripsi untuk tabel, kunci yang Anda gunakan untuk enkripsi harus mengizinkan prinsipal layanan pemeliharaan Tabel S3 untuk mengaksesnya. Jika kepala layanan pemeliharaan tidak memiliki akses, Anda tidak akan dapat membuat tabel. Untuk informasi selengkapnya, lihat Memberikan izin utama layanan pemeliharaan Tabel S3 ke kunci KMS Anda.

Izin yang diperlukan

Izin berikut diperlukan untuk membuat tabel terenkripsi

  • s3tables:CreateTable

  • s3tables:PutTableEncryption

AWS CLI Contoh berikut membuat tabel baru dengan skema dasar, dan mengenkripsi dengan kunci yang dikelola pelanggan. AWS KMS Untuk menggunakan perintah, ganti user input placeholders dengan informasi Anda sendiri.

aws s3tables create-table \ --table-bucket-arn "arn:aws:s3tables:Region:ownerAccountId:bucket/amzn-s3-demo-table-bucket" \ --namespace "mydataset" \ --name "orders" \ --format "ICEBERG" \ --encryption-configuration '{ "sseAlgorithm": "aws:kms", "kmsKeyArn": "arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }' \ --metadata '{ "iceberg": { "schema": { "fields": [ { "name": "order_id", "type": "string", "required": true }, { "name": "order_date", "type": "timestamp", "required": true }, { "name": "total_amount", "type": "decimal(10,2)", "required": true } ] } } }'