View a markdown version of this page

Imposizione e definizione dell'ambito dell' SSE-KMS utilizzo di tabelle e table bucket - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Imposizione e definizione dell'ambito dell' SSE-KMS utilizzo di tabelle e table bucket

Puoi utilizzare le politiche basate sulle risorse di S3 Tables, le politiche chiave KMS, le politiche basate sull'identità IAM o qualsiasi combinazione di queste per imporre l'uso di tabelle e bucket di tabelle S3. SSE-KMS Per ulteriori informazioni sulle policy di identità e risorse per le tabelle, consulta Gestione degli accessi per Tabelle S3. Per ulteriori informazioni sulle policy della chiave, consulta Policy della chiave nella Guida per gli sviluppatori di AWS Key Management Service . Gli esempi seguenti mostrano come è possibile utilizzare le politiche per applicarle. SSE-KMS

Questo è un esempio di policy di bucket di tabelle che impedisce agli utenti di creare tabelle in uno specifico bucket di tabelle a meno che non crittografino le tabelle con una chiave AWS KMS specifica. Per utilizzare questa politica, sostituiscila user input placeholders con le tue informazioni:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceKMSEncryptionAlgorithm",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3tables:CreateTable"
      ],
      "Resource": [
        "arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "s3tables:sseAlgorithm": "aws:kms"
        }
      }
    },
    {
      "Sid": "EnforceKMSEncryptionKey",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3tables:CreateTable"
      ],
      "Resource": [
        "arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "s3tables:kmsKeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
      }
    }
  ]
}

Questa policy di identità IAM richiede agli utenti di utilizzare una AWS KMS chiave specifica per la crittografia durante la creazione o la configurazione delle risorse S3 Tables. Per utilizzare questa politica, sostituiscila user input placeholders con le tue informazioni:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RequireSSEKMSOnTables",
      "Action": [
          "s3tables:CreateTableBucket",
          "s3tables:PutTableBucketEncryption",
          "s3tables:CreateTable"
      ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "s3tables:sseAlgorithm": "aws:kms"
        }
      }
    },
    {
      "Sid": "RequireKMSKeyOnTables",
      "Action": [
          "s3tables:CreateTableBucket",
          "s3tables:PutTableBucketEncryption",
          "s3tables:CreateTable"
      ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "s3tables:kmsKeyArn": "<key_arn>"
        }
      }
    }
  ]
}

Questo esempio di policy della chiave KMS consente l’utilizzo della chiave solo da parte di un utente specifico per operazioni di crittografia in un bucket di tabella specifico. Questo tipo di policy è utile per limitare l’accesso a una chiave in scenari multi-account. Per utilizzare questa politica, sostituiscila user input placeholders con le tue informazioni:

JSON
{
  "Version":"2012-10-17",
  "Id": "Id",
  "Statement": [
    {
      "Sid": "AllowPermissionsToKMS",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
        }
      }
    }
  ]
}