Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menegakkan dan melingkupi penggunaan SSE-KMS untuk tabel dan bucket meja
Anda dapat menggunakan kebijakan berbasis sumber daya Tabel S3, kebijakan kunci KMS, kebijakan berbasis identitas IAM, atau kombinasi lainnya, untuk menerapkan penggunaan SSE-KMS untuk tabel S3 dan bucket tabel. Untuk informasi selengkapnya tentang identitas dan kebijakan sumber daya untuk tabel, lihat[Manajemen akses untuk Tabel S3](s3-tables-setting-up.md). Untuk informasi tentang menulis kebijakan utama, lihat [Kebijakan utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di *Panduan AWS Key Management Service Pengembang*. Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kebijakan untuk menegakkan SSE-KMS.
## Menegakkan penggunaan SSE-KMS untuk semua tabel dengan kebijakan bucket tabel
Ini adalah contoh kebijakan bucket tabel yang mencegah pengguna membuat tabel di keranjang tabel tertentu kecuali mereka mengenkripsi tabel dengan AWS KMS kunci tertentu. Untuk menggunakan kebijakan ini, ganti {{user input placeholders}} dengan informasi Anda sendiri:
------
#### [ JSON ]
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceKMSEncryptionAlgorithm",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3tables:CreateTable"
],
"Resource": [
"{{arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket}}/*"
],
"Condition": {
"StringNotEquals": {
"s3tables:sseAlgorithm": "aws:kms"
}
}
},
{
"Sid": "EnforceKMSEncryptionKey",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3tables:CreateTable"
],
"Resource": [
"{{arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket}}/*"
],
"Condition": {
"StringNotEquals": {
"s3tables:kmsKeyArn": "{{arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab}}"
}
}
}
]
}
```
------
## Mewajibkan pengguna untuk menggunakan enkripsi SSE-KMS dengan kebijakan IAM
Kebijakan identitas IAM ini mengharuskan pengguna untuk menggunakan AWS KMS kunci khusus untuk enkripsi saat membuat atau mengonfigurasi sumber daya Tabel S3. Untuk menggunakan kebijakan ini, ganti {{user input placeholders}} dengan informasi Anda sendiri:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RequireSSEKMSOnTables",
"Action": [
"s3tables:CreateTableBucket",
"s3tables:PutTableBucketEncryption",
"s3tables:CreateTable"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3tables:sseAlgorithm": "aws:kms"
}
}
},
{
"Sid": "RequireKMSKeyOnTables",
"Action": [
"s3tables:CreateTableBucket",
"s3tables:PutTableBucketEncryption",
"s3tables:CreateTable"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3tables:kmsKeyArn": "{{}}"
}
}
}
]
}
```
## Membatasi penggunaan kunci ke keranjang tabel tertentu dengan kebijakan kunci KMS
Contoh kebijakan kunci KMS ini memungkinkan kunci untuk digunakan oleh pengguna tertentu hanya untuk operasi enkripsi dalam keranjang tabel tertentu. Jenis kebijakan ini berguna untuk membatasi akses ke kunci dalam skenario lintas akun. Untuk menggunakan kebijakan ini, ganti {{user input placeholders}} dengan informasi Anda sendiri:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Id",
"Statement": [
{
"Sid": "AllowPermissionsToKMS",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "{{}}/*"
}
}
}
]
}
```
------