Applicazione e ambito dell’utilizzo di SSE-KMS per tabelle e bucket di tabelle
È possibile utilizzare le policy basate sulle risorse di Tabelle S3, le policy della chiave KMS, le policy basate su identità IAM o qualsiasi combinazione di queste per applicare l’uso di SSE-KMS per tabelle e bucket di tabelle S3. Per ulteriori informazioni sulle policy di identità e risorse per le tabelle, consulta Gestione degli accessi per Tabelle S3. Per ulteriori informazioni sulle policy della chiave, consulta Policy della chiave nella Guida per gli sviluppatori di AWS Key Management Service. Di seguito sono riportati esempi che mostrano come è possibile utilizzare le policy per applicare SSE-KMS.
Questo è un esempio di policy di bucket di tabelle che impedisce agli utenti di creare tabelle in uno specifico bucket di tabelle a meno che non crittografino le tabelle con una chiave AWS KMS specifica. Per utilizzare questa policy, sostituisci i segnaposto per l’input dell’utente con le informazioni appropriate.
Questa policy di identità IAM richiede agli utenti di utilizzare una chiave AWS KMS specifica per la crittografia durante la creazione o la configurazione delle risorse di Tabelle S3. Per utilizzare questa policy, sostituisci i segnaposto per l’input dell’utente con le informazioni appropriate.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RequireKMSKeyOnTables", "Action": [ "s3tables:CreateTableBucket", "s3tables:PutTableBucketEncryption", "s3tables:CreateTable" ] "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "s3tables:sseAlgorithm": "aws:kms", "s3tables:kmsKeyArn": "<key_arn>" } } } ] }
Questo esempio di policy della chiave KMS consente l’utilizzo della chiave solo da parte di un utente specifico per operazioni di crittografia in un bucket di tabella specifico. Questo tipo di policy è utile per limitare l’accesso a una chiave in scenari multi-account. Per utilizzare questa policy, sostituisci i segnaposto per l’input dell’utente con le informazioni appropriate.
