Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella - Amazon Simple Storage Service
Funzionamento di SSE-KMS per tabelle e bucket di tabelleMonitoraggio e controllo della crittografia SSE-KMS per tabelle e bucket di tabelle

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella

Argomenti

I bucket di tabelle hanno una configurazione di crittografia predefinita che crittografa automaticamente le tabelle utilizzando la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). Questa crittografia si applica a tutte le tabelle nei bucket di tabelle S3 e non comporta costi aggiuntivi.

Se hai bisogno di un maggiore controllo sulle chiavi di crittografia, ad esempio per gestire la rotazione delle chiavi e le concessioni delle policy di accesso, puoi configurare i table bucket in modo che utilizzino la crittografia lato server con AWS Key Management Service (AWS KMS) chiavi (SSE-KMS). I controlli di sicurezza inclusi AWS KMS possono aiutarti a soddisfare i requisiti di conformità relativi alla crittografia. Per ulteriori informazioni su SSE-KMS, consulta Utilizzo della crittografia lato server con chiavi (SSE-KMS) AWS KMS.

Funzionamento di SSE-KMS per tabelle e bucket di tabelle

SSE-KMS con bucket di tabelle si differenzia da SSE-KMS con bucket per uso generico per i seguenti aspetti:

  • È possibile specificare le impostazioni di crittografia per i bucket di tabelle e le singole tabelle.

  • Puoi utilizzare solo chiavi gestite dal cliente con SSE-KMS. AWS le chiavi gestite non sono supportate.

  • È necessario concedere le autorizzazioni per determinati ruoli e responsabili AWS del servizio per accedere AWS KMS alla chiave. Per ulteriori informazioni, consulta Requisiti di autorizzazione per la crittografia SSE-KMS di Tabelle S3. Sono incluse le concessione di accesso a:

    • Il principale di manutenzione S3: per eseguire la manutenzione delle tabelle crittografate

    • Il tuo ruolo di integrazione con S3 Tables: per lavorare con tabelle crittografate nei servizi di analisi AWS

    • Il ruolo di accesso client: per l’accesso diretto alle tabelle crittografate dai client Apache Iceberg

    • Il principale di S3 Metadata: per l’aggiornamento delle tabelle di metadati S3 crittografate

  • Le tabelle crittografate utilizzano chiavi a livello di tabella che riducono al minimo il numero di richieste effettuate per AWS KMS rendere più conveniente l'utilizzo delle tabelle crittografate SSE-KMS.

Crittografia SSE-KMS per bucket di tabelle

Quando si crea un bucket di tabelle, è possibile scegliere SSE-KMS come tipo di crittografia predefinito e selezionare una chiave KMS specifica che verrà utilizzata per la crittografia. Tutte le tabelle create all’interno di quel bucket erediteranno automaticamente queste impostazioni di crittografia dal relativo bucket di tabelle. Puoi utilizzare l' AWS CLI API S3 o modificare o rimuovere le impostazioni AWS SDKs di crittografia predefinite su un table bucket in qualsiasi momento. Quando si modificano le impostazioni di crittografia su un bucket di tabelle, tali impostazioni si applicano solo alle nuove tabelle create nel bucket. Le impostazioni di crittografia delle tabelle preesistenti non vengono modificate. Per ulteriori informazioni, consulta Specifica della crittografia per bucket di tabelle.

Crittografia SSE-KMS per tabelle

È anche possibile crittografare una singola tabella con una chiave KMS diversa, indipendentemente dalla configurazione di crittografia predefinita del bucket. Per impostare la crittografia per una singola tabella, è necessario specificare la chiave di crittografia desiderata al momento della creazione della tabella. Per modificare la crittografia di una tabella esistente, è necessario creare una tabella con la chiave desiderata e copiare i dati dalla vecchia tabella a quella nuova. Per ulteriori informazioni, consulta Specifica della crittografia per tabelle.

Quando si utilizza AWS KMS la crittografia, S3 Tables crea automaticamente chiavi dati uniche a livello di tabella che crittografano i nuovi oggetti associati a ciascuna tabella. Queste chiavi vengono utilizzate per un periodo di tempo limitato, riducendo al minimo la necessità di AWS KMS richieste aggiuntive durante le operazioni di crittografia e riducendo il costo della crittografia. analogamente a Chiavi bucket S3 per SSE-KMS.

Monitoraggio e controllo della crittografia SSE-KMS per tabelle e bucket di tabelle

Per verificare l'utilizzo delle AWS KMS chiavi per i dati crittografati SSE-KMS, è possibile utilizzare i log. AWS CloudTrail Puoi ottenere informazioni dettagliate sulle tue operazioni crittografiche, ad esempio e. GenerateDataKey Decrypt CloudTrail supporta numerosi valori di attributo per filtrare la ricerca, tra cui il nome dell'evento, il nome utente e l'origine dell'evento.

Puoi tenere traccia delle richieste di configurazione della crittografia per le tabelle e i bucket di tabelle Amazon S3 utilizzando gli eventi. CloudTrail I seguenti nomi di eventi API vengono utilizzati nei CloudTrail log:

  • s3tables:PutTableBucketEncryption

  • s3tables:GetTableBucketEncryption

  • s3tables:DeleteTableBucketEncryption

  • s3tables:GetTableEncryption

  • s3tables:CreateTable

  • s3tables:CreateTableBucket

Nota

EventBridge non è supportato per i bucket da tabella.