View a markdown version of this page

Specificare la crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella - Amazon Simple Storage Service
Specifica della crittografia per bucket di tabelleSpecifica della crittografia per tabelle

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Specificare la crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella

Tutti i table bucket di Amazon S3 hanno la crittografia configurata di default e tutte le nuove tabelle create in un table bucket vengono crittografate automaticamente quando sono inattive. Server-side la crittografia con chiavi gestite di Amazon S3 (SSE-S3) è la configurazione di crittografia predefinita per ogni table bucket. Se desideri specificare un tipo di crittografia diverso, puoi utilizzare la crittografia lato server con AWS Key Management Service (AWS KMS) keys (). SSE-KMS

Puoi specificare la SSE-KMS crittografia nelle tue CreateTable richieste CreateTableBucket o puoi impostare la configurazione di crittografia predefinita nel bucket di tabella in una richiesta. PutTableBucketEncryption

Importante

Per consentire la manutenzione automatica delle tabelle e dei table bucket SSE-KMS crittografati, devi concedere al servizio maintenance.s3tables.amazonaws.com l'autorizzazione principale per utilizzare la tua chiave KMS. Per ulteriori informazioni, consulta Requisiti di autorizzazione per la crittografia di S3 Tables SSE-KMS.

Specifica della crittografia per bucket di tabelle

Puoi specificare SSE-KMS come tipo di crittografia predefinito quando crei un nuovo table bucket, ad esempio, vedi. Creazione di un bucket di tabelle Dopo aver creato un bucket di tabella, puoi specificare l'utilizzo di SSE-KMS come impostazione di crittografia predefinita utilizzando le operazioni dell'API REST, AWS gli SDK e (). AWS Command Line Interface AWS CLI

Nota

Quando si specifica SSE-KMS come tipo di crittografia predefinito, la chiave utilizzata per la crittografia deve consentire l'accesso al responsabile del servizio di manutenzione di S3 Tables. Se il principale del servizio di manutenzione non dispone dell’accesso, non sarà possibile creare tabelle in quel bucket di tabelle. Per ulteriori informazioni, consulta Concessione delle autorizzazioni per la chiave KMS al principale del servizio di manutenzione di Tabelle S3.

Per utilizzare il seguente AWS CLI comando di esempio, sostituiscilo user input placeholders con le tue informazioni.


aws s3tables put-table-bucket-encryption \
    --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket; \
    --encryption-configuration '{
        "sseAlgorithm": "aws:kms",
        "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }' \
    --region us-east-1

È possibile rimuovere l'impostazione di crittografia predefinita per un bucket di tabella utilizzando l'operazione DeleteTableBucketEncryptionAPI. Quando rimuovi le impostazioni di crittografia, le nuove tabelle create nel table bucket utilizzeranno la crittografia predefinita SSE-S3.

Specifica della crittografia per tabelle

Puoi applicare SSE-KMS la crittografia a una nuova tabella quando la crei utilizzando motori di query, operazioni API REST, AWS SDK e AWS Command Line Interface ()AWS CLI. Le impostazioni di crittografia specificate durante la creazione di una tabella hanno la precedenza sull’impostazione di crittografia predefinita del bucket di tabelle.

Nota

Quando si utilizza la SSE-KMS crittografia per una tabella, la chiave utilizzata per la crittografia deve consentire al responsabile del servizio di manutenzione di S3 Tables di accedervi. Se il principale del servizio di manutenzione non dispone dell’accesso, non sarà possibile creare la tabella. Per ulteriori informazioni, consulta Concessione delle autorizzazioni per la chiave KMS al principale del servizio di manutenzione di Tabelle S3.

Autorizzazioni richieste

Per creare tabelle crittografate sono necessarie le seguenti autorizzazioni:

  • s3tables:CreateTable

  • s3tables:PutTableEncryption

L' AWS CLI esempio seguente crea una nuova tabella con uno schema di base e la crittografa con una chiave gestita AWS KMS dal cliente. Per utilizzare il comando, sostituisci user input placeholders con le informazioni appropriate.

aws s3tables create-table \
  --table-bucket-arn "arn:aws:s3tables:Region:ownerAccountId:bucket/amzn-s3-demo-table-bucket" \
  --namespace "mydataset" \
  --name "orders" \
  --format "ICEBERG" \
  --encryption-configuration '{
    "sseAlgorithm": "aws:kms",
    "kmsKeyArn": "arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  }' \
  --metadata '{
    "iceberg": {
      "schema": {
        "fields": [
          {
            "name": "order_id",
            "type": "string",
            "required": true
          },
          {
            "name": "order_date",
            "type": "timestamp",
            "required": true
          },
          {
            "name": "total_amount",
            "type": "decimal(10,2)",
            "required": true
          }
        ]
      }
    }
  }'