Concessione delle autorizzazioni principali del servizio di manutenzione di S3 Tables per la chiave KMS Concessione ai dirigenti IAM delle autorizzazioni per l'utilizzo di tabelle crittografate nei servizi di analisi integrati AWS Concessione ai principali IAM delle autorizzazioni per lavorare direttamente con tabelle crittografate Concessione al servizio S3 Metadata delle autorizzazioni principali per l'utilizzo della chiave KMS

Requisiti di autorizzazione per la crittografia SSE-KMS di S3 Tables

Quando utilizzi la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS) per le tabelle nei bucket di tabelle S3, devi concedere le autorizzazioni per le diverse identità del tuo account. Almeno la tua identità di accesso e il responsabile della manutenzione di S3 Tables devono accedere alla tua chiave, le altre autorizzazioni richieste dipendono dal tuo caso d'uso.

Autorizzazioni richieste

Per accedere a una tabella crittografata con una chiave KMS, sono necessarie le seguenti autorizzazioni su quella chiave:

kms:GenerateDataKey
kms:Decrypt

Importante

Per utilizzare SSE-KMS sulle tabelle, il principale del servizio di manutenzione di Amazon S3 Tables (maintenance.s3tables.amazonaws.com) ha bisogno delle autorizzazioni kms:GenerateDataKey e kms:Decrypt delle autorizzazioni sulla chiave.

Autorizzazioni aggiuntive

Queste autorizzazioni aggiuntive sono necessarie a seconda del caso d'uso:

Autorizzazioni per l'integrazione dei servizi di AWS analisi: se lavori con tabelle crittografate SSE-KMS nei servizi di AWS analisi, il tuo ruolo di integrazione necessita dell'autorizzazione per utilizzare la tua chiave KMS.
Autorizzazioni per l'accesso diretto: se lavori direttamente con tabelle crittografate SSE-KMS, tramite metodi come l'endpoint Amazon S3 Tables o Iceberg REST Amazon S3 Tables Catalog forApache Iceberg, devi concedere al ruolo IAM utilizzato dal tuo cliente l'accesso alla tua chiave.
Autorizzazioni per le tabelle di metadati S3: se utilizzi la crittografia SSE-KMS per le tabelle di metadati S3, devi fornire l'accesso principale del servizio S3 Metadata (metadata.s3.amazonaws.com) alla tua chiave KMS. Ciò consente a S3 Metadata di aggiornare le tabelle crittografate in modo che riflettano le ultime modifiche ai dati.

Nota

Per le chiavi KMS su più account, il tuo ruolo IAM richiede sia l'autorizzazione di accesso alle chiavi che l'autorizzazione esplicita nella policy chiave. Per ulteriori informazioni sulle autorizzazioni tra account per le chiavi KMS, consulta Consentire agli AWS account esterni di utilizzare una chiave KMS nella Service Developer Guide.AWS Key Management Service

Argomenti

Concessione delle autorizzazioni principali del servizio di manutenzione di S3 Tables per la chiave KMS
Concessione ai dirigenti IAM delle autorizzazioni per l'utilizzo di tabelle crittografate nei servizi di analisi integrati AWS
Concessione ai principali IAM delle autorizzazioni per lavorare direttamente con tabelle crittografate
Concessione al servizio S3 Metadata delle autorizzazioni principali per l'utilizzo della chiave KMS

Concessione delle autorizzazioni principali del servizio di manutenzione di S3 Tables per la chiave KMS

Questa autorizzazione è necessaria per creare tabelle crittografate SSE-KMS e per consentire la manutenzione automatica delle tabelle, ad esempio la compattazione, la gestione delle istantanee e la rimozione di file senza riferimenti sulle tabelle crittografate.

Nota

Ogni volta che effettui una richiesta per creare una tabella crittografata SSE-KMS, S3 Tables verifica che il principale abbia accesso alla tua chiave KMS. maintenance.s3tables.amazonaws.com Per eseguire questo controllo, viene creato temporaneamente un oggetto a zero byte nel bucket della tabella, che verrà rimosso automaticamente dalle operazioni di manutenzione per la rimozione dei file senza riferimenti. Se la chiave KMS specificata per la crittografia non dispone dell'accesso di manutenzione, l'operazione CreateTable avrà esito negativo.

Per concedere l'accesso di manutenzione alle tabelle crittografate SSE-KMS, puoi utilizzare il seguente esempio di politica chiave. In questa politica, al responsabile del maintenance.s3tables.amazonaws.com servizio viene concessa l'autorizzazione a utilizzare una chiave KMS specifica per crittografare e decrittografare le tabelle in un bucket di tabelle specifico. Per utilizzare la politica, sostituiscila con le user input placeholders tue informazioni:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "maintenance.s3tables.amazonaws.com"            
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "<kms-key-arn>",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn":"<table-or-table-bucket-arn>/*"
                }
            }
        }
    ]
}

Concessione ai dirigenti IAM delle autorizzazioni per l'utilizzo di tabelle crittografate nei servizi di analisi integrati AWS

Per utilizzare le tabelle S3 nei servizi di AWS analisi, integra i bucket da tavolo con Amazon SageMaker Lakehouse. Questa integrazione consente ai servizi di AWS analisi di scoprire e accedere automaticamente ai dati delle tabelle. Per ulteriori informazioni sull'integrazione, consultaUtilizzo di Amazon S3 Tables con AWS servizi di analisi.

Quando lavori con tabelle crittografate SSE-KMS in questi servizi, il ruolo che utilizzi deve avere l'autorizzazione a usare la tua AWS KMS chiave per le operazioni di crittografia. Puoi applicare queste autorizzazioni al S3TablesRoleForLakeFormation ruolo creato durante l'integrazione o al tuo ruolo IAM.

Il seguente esempio di policy IAM in linea può essere utilizzato per concedere al ruolo di S3TablesRoleForLakeFormation servizio l'autorizzazione a utilizzare una chiave KMS specifica nell'account per le operazioni di crittografia. Per utilizzare la policy, sostituiscila input placeholder values con la tua.


{
  "Sid": "AllowTableRoleAccess",
  "Effect": "Allow",
  "Principal": {
	"AWS": "arn:aws:iam::111122223333:role/service-role/S3TablesRoleForLakeFormation"
  },
  "Action": [
      "kms:GenerateDataKey", 
      "kms:Decrypt"
  ],
  "Resource": "<kms-key-arn>"
}

Concessione ai principali IAM delle autorizzazioni per lavorare direttamente con tabelle crittografate

Quando lavori con tabelle crittografate utilizzando metodi di accesso diretto o di terze parti, devi concedere al ruolo che utilizzi l'accesso alla tua chiave KMS. Gli esempi seguenti mostrano come concedere l'accesso tramite una policy IAM o una policy chiave KMS.

Concessione al servizio S3 Metadata delle autorizzazioni principali per l'utilizzo della chiave KMS

Per consentire ad Amazon S3 di aggiornare le tabelle di metadati crittografate SSE-KMS ed eseguire la manutenzione su tali tabelle di metadati, puoi utilizzare la seguente policy chiave di esempio. In questa politica, consenti ai responsabili del maintenance.s3tables.amazonaws.com servizio di crittografare metadata.s3.amazonaws.com e decrittografare le tabelle in un bucket di tabelle specifico utilizzando una chiave specifica. Per utilizzare la politica, sostituiscila con le user input placeholders tue informazioni:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "maintenance.s3tables.amazonaws.com",
                    "metadata.s3.amazonaws.com"
                ]           
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "<kms-key-arn>",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn":"<table-or-table-bucket-arn>/*"
                }
            }
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Applicazione di SSE-KMS

Specifica di SSE-KMS