Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Applicazione e ambito dell’utilizzo di SSE-KMS per tabelle e bucket di tabelle
È possibile utilizzare le policy basate sulle risorse di Tabelle S3, le policy della chiave KMS, le policy basate su identità IAM o qualsiasi combinazione di queste per applicare l’uso di SSE-KMS per tabelle e bucket di tabelle S3. Per ulteriori informazioni sulle policy di identità e risorse per le tabelle, consulta [Gestione degli accessi per Tabelle S3](s3-tables-setting-up.md). Per ulteriori informazioni sulle policy della chiave, consulta [Policy della chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *. Di seguito sono riportati esempi che mostrano come è possibile utilizzare le policy per applicare SSE-KMS.
## Applicazione dell’uso di SSE-KMS per tutte le tabelle con una policy di bucket di tabelle
Questo è un esempio di policy di bucket di tabelle che impedisce agli utenti di creare tabelle in uno specifico bucket di tabelle a meno che non crittografino le tabelle con una chiave AWS KMS specifica. Per utilizzare questa politica, sostituiscila *user input placeholders* con le tue informazioni:
------
#### [ JSON ]
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceKMSEncryptionAlgorithm",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3tables:CreateTable"
],
"Resource": [
"arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3tables:sseAlgorithm": "aws:kms"
}
}
},
{
"Sid": "EnforceKMSEncryptionKey",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3tables:CreateTable"
],
"Resource": [
"arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3tables:kmsKeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
]
}
```
------
## Richiesta per gli utenti di utilizzare la crittografia SSE-KMS con una policy IAM
Questa policy di identità IAM richiede agli utenti di utilizzare una AWS KMS chiave specifica per la crittografia durante la creazione o la configurazione delle risorse S3 Tables. Per utilizzare questa politica, sostituiscila *user input placeholders* con le tue informazioni:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RequireSSEKMSOnTables",
"Action": [
"s3tables:CreateTableBucket",
"s3tables:PutTableBucketEncryption",
"s3tables:CreateTable"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3tables:sseAlgorithm": "aws:kms"
}
}
},
{
"Sid": "RequireKMSKeyOnTables",
"Action": [
"s3tables:CreateTableBucket",
"s3tables:PutTableBucketEncryption",
"s3tables:CreateTable"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3tables:kmsKeyArn": ""
}
}
}
]
}
```
## Limitazione dell’uso di una chiave a un bucket di tabelle specifico con una policy della chiave KMS
Questo esempio di policy della chiave KMS consente l’utilizzo della chiave solo da parte di un utente specifico per operazioni di crittografia in un bucket di tabella specifico. Questo tipo di policy è utile per limitare l’accesso a una chiave in scenari multi-account. Per utilizzare questa politica, sostituiscila *user input placeholders* con le tue informazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Id",
"Statement": [
{
"Sid": "AllowPermissionsToKMS",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "/*"
}
}
}
]
}
```
------