Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella - Amazon Simple Storage Service
Come funziona SSE-KMS per tabelle e table bucketMonitoraggio e verifica della crittografia SSE-KMS per tabelle e bucket di tabelle

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella

Argomenti

I table bucket hanno una configurazione di crittografia predefinita che crittografa automaticamente le tabelle utilizzando la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3). Questa crittografia si applica a tutte le tabelle nei table bucket S3 e non comporta alcun costo per te.

Se hai bisogno di un maggiore controllo sulle chiavi di crittografia, ad esempio per gestire la rotazione delle chiavi e la concessione delle policy di accesso, puoi configurare i table bucket in modo che utilizzino la crittografia lato server con chiavi AWS Key Management Service () (AWS KMS SSE-KMS). I controlli di sicurezza inclusi AWS KMS possono aiutarti a soddisfare i requisiti di conformità relativi alla crittografia. Per ulteriori informazioni su SSE-KMS, consulta Utilizzo della crittografia lato server con chiavi (SSE-KMS) AWS KMS.

Come funziona SSE-KMS per tabelle e table bucket

SSE-KMS con bucket da tabella si differenzia da SSE-KMS nei bucket generici nei seguenti modi:

  • È possibile specificare le impostazioni di crittografia per i bucket da tabella e le singole tabelle.

  • È possibile utilizzare solo chiavi gestite dal cliente con SSE-KMS. AWS le chiavi gestite non sono supportate.

  • È necessario concedere le autorizzazioni per determinati ruoli e responsabili AWS del servizio per accedere AWS KMS alla chiave. Per ulteriori informazioni, consulta Requisiti di autorizzazione per la crittografia SSE-KMS di S3 Tables. Ciò include la concessione dell'accesso a:

    • Il principale di manutenzione di S3: per eseguire la manutenzione delle tabelle su tabelle crittografate

    • Il tuo ruolo di integrazione con S3 Tables: per lavorare con tabelle crittografate nei AWS servizi di analisi

    • Il tuo ruolo di accesso client: per l'accesso diretto alle tabelle crittografate dai Apache Iceberg clienti

    • Il principale di S3 Metadata: per l'aggiornamento delle tabelle di metadati S3 crittografate

  • Le tabelle crittografate utilizzano chiavi a livello di tabella che riducono al minimo il numero di richieste effettuate per AWS KMS rendere più conveniente l'utilizzo delle tabelle crittografate SSE-KMS.

Crittografia SSE-KMS per bucket da tabella

Quando crei un table bucket, puoi scegliere SSE-KMS come tipo di crittografia predefinito e selezionare una chiave KMS specifica che verrà utilizzata per la crittografia. Tutte le tabelle create all'interno di quel bucket erediteranno automaticamente queste impostazioni di crittografia dal relativo bucket di tabella. Puoi utilizzare l' AWS CLI API S3 o modificare o AWS SDKs rimuovere le impostazioni di crittografia predefinite su un table bucket in qualsiasi momento. Quando modifichi le impostazioni di crittografia su un bucket di tabella, tali impostazioni si applicano solo alle nuove tabelle create in quel bucket. Le impostazioni di crittografia per le tabelle preesistenti non vengono modificate. Per ulteriori informazioni, consulta Specificare la crittografia per i bucket da tabella.

Crittografia SSE-KMS per tabelle

Hai anche la possibilità di crittografare una singola tabella con una chiave KMS diversa indipendentemente dalla configurazione di crittografia predefinita del bucket. Per impostare la crittografia per una singola tabella, è necessario specificare la chiave di crittografia desiderata al momento della creazione della tabella. Se desideri modificare la crittografia di una tabella esistente, dovrai creare una tabella con la chiave desiderata e copiare i dati dalla vecchia tabella a quella nuova. Per ulteriori informazioni, consulta Specificare la crittografia per le tabelle.

Quando si utilizza AWS KMS la crittografia, S3 Tables crea automaticamente chiavi di dati uniche a livello di tabella che crittografano i nuovi oggetti associati a ciascuna tabella. Queste chiavi vengono utilizzate per un periodo di tempo limitato, riducendo al minimo la necessità di AWS KMS richieste aggiuntive durante le operazioni di crittografia e riducendo il costo della crittografia. analogamente a Chiavi bucket S3 per SSE-KMS.

Monitoraggio e verifica della crittografia SSE-KMS per tabelle e bucket di tabelle

Per verificare l'utilizzo delle AWS KMS chiavi per i dati crittografati SSE-KMS, è possibile utilizzare i log. AWS CloudTrail Puoi ottenere informazioni dettagliate sulle tue operazioni crittografiche, ad esempio e. GenerateDataKey Decrypt CloudTrail supporta numerosi valori di attributo per filtrare la ricerca, tra cui il nome dell'evento, il nome utente e l'origine dell'evento.

Puoi tenere traccia delle richieste di configurazione della crittografia per le tabelle e i bucket di tabelle Amazon S3 utilizzando gli eventi. CloudTrail I seguenti nomi di eventi API vengono utilizzati nei CloudTrail log:

  • s3tables:PutTableBucketEncryption

  • s3tables:GetTableBucketEncryption

  • s3tables:DeleteTableBucketEncryption

  • s3tables:GetTableEncryption

  • s3tables:CreateTable

  • s3tables:CreateTableBucket

Nota

EventBridge non è supportato per i bucket da tabella.