Como o SSE-KMS funciona para tabelas e buckets de tabela Monitorar e auditor da criptografia SSE-KMS para tabelas e buckets de tabela

Usar a criptografia do lado do servidor com chaves do AWS KMS (SSE-KMS) em buckets de tabela

Tópicos

Os buckets de tabela têm uma configuração de criptografia padrão que automaticamente criptografa tabelas usando criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3). Essa criptografia se aplica a todas as tabelas nos buckets de tabela do S3 e não tem custo para você.

Se precisar de maior controle sobre suas chaves de criptografia, como gerenciar a alternância de chaves e as concessões de política de acesso, poderá configurar os buckets de tabela para usar a criptografia do lado do servidor com chaves do AWS Key Management Service (AWS KMS) (SSE-KMS). Os controles de segurança do AWS KMS podem ajudá-lo a satisfazer os requisitos de conformidade relacionados à criptografia. Para obter mais informações sobre SSE-KMS, consulte Usar criptografia do lado do servidor com o AWS KMS (SSE-KMS).

Como o SSE-KMS funciona para tabelas e buckets de tabela

O SSE-KMS com buckets de tabela difere do SSE-KMS em buckets de uso geral nos seguintes aspectos:

Você pode especificar configurações de criptografia para buckets de tabela e tabelas individuais.
Você só pode usar chaves gerenciadas pelo cliente com o SSE-KMS. Não são permitidas chaves gerenciadas pela AWS.
Você deve conceder permissões a determinados perfis e entidades principais de serviço da AWS para acessarem sua chave do AWS KMS. Para obter mais informações, consulte Requisitos de permissão para criptografia SSE-KMS da funcionalidade Tabelas do S3. Isso inclui conceder acesso a:
- Entidade principal de manutenção do S3: para realizar a manutenção em tabelas criptografadas.
- Perfil de integração da funcionalidade Tabelas do S3: para trabalhar com tabelas criptografadas em serviços de analytics da AWS.
- Perfil de acesso ao cliente: para acesso direto a tabelas criptografadas de clientes Apache Iceberg.
- Entidade principal do S3 Metadata: para atualizar tabelas de metadados criptografadas do S3.
As tabelas criptografadas usam chaves em nível de tabela que minimizam o número de solicitações feitas ao AWS KMS para tornar o trabalho com tabelas criptografadas com SSE-KMS mais econômico.

Criptografia SSE-KMS para buckets de tabela: Ao criar um bucket de tabela, você pode escolher o SSE-KMS como o tipo de criptografia padrão e selecionar uma chave do KMS específica para ser usada na criptografia. Todas as tabelas criadas nesse bucket herdarão automaticamente essas configurações de criptografia do bucket de tabela. A qualquer momento, você pode usar o AWS CLI, a API do S3 ou os SDKs da AWS para modificar ou remover as configurações de criptografia padrão em um bucket de tabela. Ao modificar as configurações de criptografia em um bucket de tabela, essas configurações se aplicam somente às novas tabelas criadas nesse bucket. As configurações de criptografia para tabelas preexistentes não são alteradas. Para obter mais informações, consulte Especificar criptografia para buckets de tabela.
Criptografia SSE-KMS para tabelas: Você também tem a opção de criptografar uma tabela individual com uma chave do KMS diferente, independentemente da configuração de criptografia padrão do bucket. Para definir a criptografia para uma tabela individual, você deve especificar a chave de criptografia desejada ao criar a tabela. Se quiser alterar a criptografia de uma tabela existente, precisará criar uma tabela com a chave desejada e copiar os dados da tabela antiga para a nova. Para obter mais informações, consulte Especificar criptografia para tabelas.

Ao usar a criptografia do AWS KMS, a funcionalidade Tabelas do S3 cria automaticamente chaves de dados exclusivas em nível de tabela que criptografam novos objetos associados a cada tabela. Essas chaves são usadas por um período limitado, minimizando a necessidade de solicitações adicionais ao AWS KMS durante as operações de criptografia e reduzindo o custo da criptografia. Isso é semelhante a Chaves de bucket S3 para SSE-KMS.

Monitorar e auditor da criptografia SSE-KMS para tabelas e buckets de tabela

Para auditar o uso das chaves do AWS KMS para seus dados criptografados por SSE-KMS, você pode usar logs do AWS CloudTrail. Você pode obter informações sobre suas operações criptográficas, como GenerateDataKey e Decrypt. O CloudTrail oferece suporte a vários valores de atributos para filtrar a pesquisa, como nome do evento, nome de usuário e origem do evento.

Você pode rastrear solicitações de configuração de criptografia para tabelas e buckets de tabela do Amazon S3 usando eventos do CloudTrail. Os seguintes nomes de eventos de API são usados nos logs do CloudTrail:

s3tables:PutTableBucketEncryption
s3tables:GetTableBucketEncryption
s3tables:DeleteTableBucketEncryption
s3tables:GetTableEncryption
s3tables:CreateTable
s3tables:CreateTableBucket

nota

Não é possível usar buckets de tabela no EventBridge.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criptografia

Impor o uso do SSE-KMS