Applicazione e definizione dell'utilizzo di SSE-KMS per tabelle e table bucket - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Applicazione e definizione dell'utilizzo di SSE-KMS per tabelle e table bucket

Puoi utilizzare le policy basate sulle risorse di S3 Tables, le policy chiave KMS, le policy basate sull'identità IAM o qualsiasi combinazione di queste per imporre l'uso di SSE-KMS per tabelle e bucket di tabelle S3. Per ulteriori informazioni sulle politiche Gestione degli accessi per Tabelle S3 di identità e risorse per le tabelle, consulta. Per informazioni sulla scrittura delle politiche chiave, consulta le politiche chiave nella Guida per gli AWS Key Management Service sviluppatori. Gli esempi seguenti mostrano come utilizzare le policy per applicare SSE-KMS.

Questo è un esempio di policy table bucket che impedisce agli utenti di creare tabelle in uno specifico table bucket a meno che non crittografino le tabelle con una chiave specifica. AWS KMS Per utilizzare questa politica, sostituiscila user input placeholders con le tue informazioni:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceKMSEncryption",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3tables:CreateTable"
      ],
      "Resource": [
        "arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "s3tables:sseAlgorithm": "aws:kms",
          "s3tables:kmsKeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
      }
    }
  ]
}

Questa policy di identità IAM richiede agli utenti di utilizzare una AWS KMS chiave specifica per la crittografia durante la creazione o la configurazione delle risorse S3 Tables. Per utilizzare questa politica, sostituiscila user input placeholders con le tue informazioni:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RequireKMSKeyOnTables",
      "Action": [
          "s3tables:CreateTableBucket",
          "s3tables:PutTableBucketEncryption",
          "s3tables:CreateTable"
      ]
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "s3tables:sseAlgorithm": "aws:kms",
            "s3tables:kmsKeyArn": "<key_arn>"
        }
      }
    }
  ]
}

Questo esempio di politica chiave KMS consente di utilizzare la chiave da un utente specifico solo per operazioni di crittografia in un bucket di tabella specifico. Questo tipo di policy è utile per limitare l'accesso a una chiave in scenari che coinvolgono più account. Per utilizzare questa politica, sostituiscila user input placeholders con le tue informazioni:

JSON
{
  "Version": "2012-10-17",
  "Id": "Id",
  "Statement": [
    {
      "Sid": "AllowPermissionsToKMS",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
        }
      }
    }
  ]
}