Applicazione e ambito dell’utilizzo di SSE-KMS per tabelle e bucket di tabelle - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Applicazione e ambito dell’utilizzo di SSE-KMS per tabelle e bucket di tabelle

È possibile utilizzare le policy basate sulle risorse di Tabelle S3, le policy della chiave KMS, le policy basate su identità IAM o qualsiasi combinazione di queste per applicare l’uso di SSE-KMS per tabelle e bucket di tabelle S3. Per ulteriori informazioni sulle policy di identità e risorse per le tabelle, consulta Gestione degli accessi per Tabelle S3. Per ulteriori informazioni sulle policy della chiave, consulta Policy della chiave nella Guida per gli sviluppatori di AWS Key Management Service . Di seguito sono riportati esempi che mostrano come è possibile utilizzare le policy per applicare SSE-KMS.

Questo è un esempio di policy di bucket di tabelle che impedisce agli utenti di creare tabelle in uno specifico bucket di tabelle a meno che non crittografino le tabelle con una chiave AWS KMS specifica. Per utilizzare questa politica, sostituiscila user input placeholders con le tue informazioni:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceKMSEncryption",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3tables:CreateTable"
      ],
      "Resource": [
        "arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "s3tables:sseAlgorithm": "aws:kms",
          "s3tables:kmsKeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
      }
    }
  ]
}

Questa policy di identità IAM richiede agli utenti di utilizzare una AWS KMS chiave specifica per la crittografia durante la creazione o la configurazione delle risorse S3 Tables. Per utilizzare questa politica, sostituiscila user input placeholders con le tue informazioni:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "RequireKMSKeyOnTables",
      "Action": [
          "s3tables:CreateTableBucket",
          "s3tables:PutTableBucketEncryption",
          "s3tables:CreateTable"
      ]
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "s3tables:sseAlgorithm": "aws:kms",
            "s3tables:kmsKeyArn": "<key_arn>"
        }
      }
    }
  ]
}

Questo esempio di policy della chiave KMS consente l’utilizzo della chiave solo da parte di un utente specifico per operazioni di crittografia in un bucket di tabella specifico. Questo tipo di policy è utile per limitare l’accesso a una chiave in scenari multi-account. Per utilizzare questa politica, sostituiscila user input placeholders con le tue informazioni:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Id": "Id",
  "Statement": [
    {
      "Sid": "AllowPermissionsToKMS",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
        }
      }
    }
  ]
}