Funzionamento di SSE-KMS per tabelle e bucket di tabelle Monitoraggio e controllo della crittografia SSE-KMS per tabelle e bucket di tabelle

Utilizzo della crittografia lato server con chiavi AWS KMS (SSE-KMS) nei bucket di tabelle

Argomenti

I bucket di tabelle hanno una configurazione di crittografia predefinita che crittografa automaticamente le tabelle utilizzando la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). Questa crittografia si applica a tutte le tabelle nei bucket di tabelle S3 e non comporta costi aggiuntivi.

Se è necessario un maggiore controllo sulle chiavi di crittografia, ad esempio per gestire la rotazione delle chiavi e le concessioni delle policy di accesso, è possibile configurare i bucket di tabelle per utilizzare la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS). I controlli della sicurezza in AWS KMS possono essere d'aiuto per soddisfare i requisiti di conformità correlati alla crittografia. Per ulteriori informazioni su SSE-KMS, consulta Utilizzo della crittografia lato server con chiavi AWS KMS (SSE-KMS).

Funzionamento di SSE-KMS per tabelle e bucket di tabelle

SSE-KMS con bucket di tabelle si differenzia da SSE-KMS con bucket per uso generico per i seguenti aspetti:

È possibile specificare le impostazioni di crittografia per i bucket di tabelle e le singole tabelle.
È possibile utilizzare solo chiavi gestite dal cliente con SSE-KMS. Le chiavi gestite da AWS non sono supportate.
È necessario fornire le autorizzazioni per determinati ruoli e principali del servizio AWS per accedere alla chiave AWS KMS. Per ulteriori informazioni, consulta Requisiti di autorizzazione per la crittografia SSE-KMS di Tabelle S3. Sono incluse le concessione di accesso a:
- Il principale di manutenzione S3: per eseguire la manutenzione delle tabelle crittografate
- Il ruolo di integrazione Tabelle S3: per utilizzare le tabelle crittografate nei servizi di analisi AWS
- Il ruolo di accesso client: per l’accesso diretto alle tabelle crittografate dai client Apache Iceberg
- Il principale di S3 Metadata: per l’aggiornamento delle tabelle di metadati S3 crittografate
Le tabelle crittografate utilizzano chiavi a livello di tabella che riducono al minimo il numero di richieste effettuate ad AWS KMS rendere più conveniente l’utilizzo delle tabelle crittografate SSE-KMS.

Crittografia SSE-KMS per bucket di tabelle: Quando si crea un bucket di tabelle, è possibile scegliere SSE-KMS come tipo di crittografia predefinito e selezionare una chiave KMS specifica che verrà utilizzata per la crittografia. Tutte le tabelle create all’interno di quel bucket erediteranno automaticamente queste impostazioni di crittografia dal relativo bucket di tabelle. È possibile utilizzare AWS CLI, API S3 o AWS SDK per modificare o rimuovere in qualsiasi momento le impostazioni di crittografia predefinite su un bucket di tabelle. Quando si modificano le impostazioni di crittografia su un bucket di tabelle, tali impostazioni si applicano solo alle nuove tabelle create nel bucket. Le impostazioni di crittografia delle tabelle preesistenti non vengono modificate. Per ulteriori informazioni, consulta Specifica della crittografia per bucket di tabelle.
Crittografia SSE-KMS per tabelle: È anche possibile crittografare una singola tabella con una chiave KMS diversa, indipendentemente dalla configurazione di crittografia predefinita del bucket. Per impostare la crittografia per una singola tabella, è necessario specificare la chiave di crittografia desiderata al momento della creazione della tabella. Per modificare la crittografia di una tabella esistente, è necessario creare una tabella con la chiave desiderata e copiare i dati dalla vecchia tabella a quella nuova. Per ulteriori informazioni, consulta Specifica della crittografia per tabelle.

Quando si utilizza la crittografia AWS KMS, Tabelle S3 crea automaticamente chiavi di dati univoche a livello di tabella che crittografano i nuovi oggetti associati a ciascuna tabella. Queste chiavi vengono utilizzate per un periodo di tempo limitato, riducendo al minimo la necessità di richieste AWS KMS aggiuntive durante le operazioni di crittografia e contenendo i costi della crittografia. analogamente a Chiavi bucket S3 per SSE-KMS.

Monitoraggio e controllo della crittografia SSE-KMS per tabelle e bucket di tabelle

Per verificare l'utilizzo delle chiavi AWS KMS per i dati crittografati SSE-KMS, è possibile utilizzare i log di AWS CloudTrail. È possibile ottenere approfondimenti sulle operazioni crittografiche, come ad esempio GenerateDataKey e Decrypt. CloudTrail supporta numerosi valori di attributo per filtrare la ricerca, tra cui nome dell'evento, nome utente e origine dell'evento.

È possibile monitorare le richieste di configurazione di crittografia per le tabelle e i bucket di tabelle Amazon S3 utilizzando gli eventi CloudTrail. I seguenti nomi di eventi API vengono utilizzati nei registri di CloudTrail:

s3tables:PutTableBucketEncryption
s3tables:GetTableBucketEncryption
s3tables:DeleteTableBucketEncryption
s3tables:GetTableEncryption
s3tables:CreateTable
s3tables:CreateTableBucket

Nota

EventBridge non è supportato per i bucket di tabelle.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Crittografia

Applicazione di SSE-KMS