Specificazione della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella - Amazon Simple Storage Service
Specificare la crittografia per i bucket da tabellaSpecificare la crittografia per le tabelle

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Specificazione della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella

Tutti i table bucket Amazon S3 hanno la crittografia configurata di default e tutte le nuove tabelle create in un table bucket vengono crittografate automaticamente quando sono inutilizzate. La crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) è la configurazione di crittografia predefinita per ogni table bucket. Se desideri specificare un tipo di crittografia diverso, puoi utilizzare la crittografia lato server con () chiavi (SSE-KMS). AWS Key Management Service AWS KMS

Puoi specificare la crittografia SSE-KMS nelle tue CreateTable richieste CreateTableBucket or oppure puoi impostare la configurazione di crittografia predefinita nel bucket di tabella in una richiesta. PutTableBucketEncryption

Importante

Per consentire la manutenzione automatica delle tabelle e dei bucket di tabelle crittografati SSE-KMS, devi concedere al servizio maintenance.s3tables.amazonaws.com l'autorizzazione principale per utilizzare la tua chiave KMS. Per ulteriori informazioni, consulta Requisiti di autorizzazione per la crittografia SSE-KMS di S3 Tables.

Specificare la crittografia per i bucket da tabella

È possibile specificare SSE-KMS come tipo di crittografia predefinito quando si crea un nuovo bucket da tabella, ad esempio, vedere. Creazione di un bucket di tabelle Dopo aver creato un table bucket, è possibile specificare l'uso di SSE-KMS come impostazione di crittografia predefinita utilizzando le operazioni dell'API REST e il (). AWS SDKs AWS Command Line Interface AWS CLI

Nota

Quando specifichi SSE-KMS come tipo di crittografia predefinito, la chiave utilizzata per la crittografia deve consentire l'accesso al responsabile del servizio di manutenzione di S3 Tables. Se il responsabile del servizio di manutenzione non ha accesso, non sarà possibile creare tabelle in quel bucket di tabelle. Per ulteriori informazioni, consulta Concessione delle autorizzazioni principali del servizio di manutenzione di S3 Tables per la chiave KMS .

Per utilizzare il AWS CLI comando di esempio seguente, user input placeholders sostituiscilo con le tue informazioni.


aws s3tables put-table-bucket-encryption \
    --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket; \
    --encryption-configuration '{
        "sseAlgorithm": "aws:kms",
        "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }' \
    --region us-east-1

È possibile rimuovere l'impostazione di crittografia predefinita per un bucket di tabella utilizzando l'operazione DeleteTableBucketEncryptionAPI. Quando rimuovi le impostazioni di crittografia, le nuove tabelle create nel bucket di tabella utilizzeranno la crittografia SSE-S3 predefinita.

Specificare la crittografia per le tabelle

Puoi applicare la crittografia SSE-KMS a una nuova tabella quando la crei utilizzando motori di query AWS SDKs, operazioni API REST e (). AWS Command Line Interface AWS CLI Le impostazioni di crittografia specificate durante la creazione di una tabella hanno la precedenza sull'impostazione di crittografia predefinita del bucket di tabella.

Nota

Quando si utilizza la crittografia SSE-KMS per una tabella, la chiave utilizzata per la crittografia deve consentire al responsabile del servizio di manutenzione di S3 Tables di accedervi. Se il responsabile del servizio di manutenzione non ha accesso, non sarà possibile creare la tabella. Per ulteriori informazioni, consulta Concessione delle autorizzazioni principali del servizio di manutenzione di S3 Tables per la chiave KMS .

Autorizzazioni richieste

Per creare tabelle crittografate sono necessarie le seguenti autorizzazioni

  • s3tables:CreateTable

  • s3tables:PutTableEncryption

L' AWS CLI esempio seguente crea una nuova tabella con uno schema di base e la crittografa con una AWS KMS chiave gestita dal cliente. Per utilizzare il comando, sostituiscilo user input placeholders con le tue informazioni.

aws s3tables create-table \
  --table-bucket-arn "arn:aws:s3tables:Region:ownerAccountId:bucket/amzn-s3-demo-table-bucket" \
  --namespace "mydataset" \
  --name "orders" \
  --format "ICEBERG" \
  --encryption-configuration '{
    "sseAlgorithm": "aws:kms",
    "kmsKeyArn": "arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  }' \
  --metadata '{
    "iceberg": {
      "schema": {
        "fields": [
          {
            "name": "order_id",
            "type": "string",
            "required": true
          },
          {
            "name": "order_date",
            "type": "timestamp",
            "required": true
          },
          {
            "name": "total_amount",
            "type": "decimal(10,2)",
            "required": true
          }
        ]
      }
    }
  }'