本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
針對資料表和資料表儲存貯體強制執行和調整 SSE-KMS 使用範圍
您可以使用 S3 Tables 資源型政策、KMS 金鑰政策、IAM 身分型政策或這些政策的任意組合,強制執行 S3 資料表和資料表儲存貯體的 SSE-KMS 使用。如需資料表的身分和資源政策的詳細資訊,請參閱 S3 Tables 的存取管理。如需撰寫金鑰政策的資訊,請參閱《 AWS Key Management Service 開發人員指南》中的金鑰政策。下列範例示範如何使用 政策來強制執行 SSE-KMS。
這是資料表儲存貯體政策的範例,可防止使用者在特定資料表儲存貯體中建立資料表,除非使用者使用特定 AWS KMS 金鑰加密資料表。若要使用此政策,請以您自己的資訊取代使用者輸入預留位置:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceKMSEncryption", "Effect": "Deny", "Principal": "*", "Action": [ "s3tables:CreateTable" ], "Resource": [ "<table-bucket-arn>/*" ], "Condition": { "StringNotEquals": { "s3tables:sseAlgorithm": "aws:kms", "s3tables:kmsKeyArn": "<kms-key-arn>" } } } ] }
此 IAM 身分政策要求使用者在建立或設定 S3 Tables 資源時使用特定 AWS KMS 金鑰進行加密。若要使用此政策,請以您自己的資訊取代使用者輸入預留位置:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RequireKMSKeyOnTables", "Action": [ "s3tables:CreateTableBucket", "s3tables:PutTableBucketEncryption", "s3tables:CreateTable" ] "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "s3tables:sseAlgorithm": "aws:kms", "s3tables:kmsKeyArn": "<key_arn>" } } } ] }
此範例 KMS 金鑰政策僅允許特定使用者將金鑰用於特定資料表儲存貯體中的加密操作。這種類型的政策適用於在跨帳戶案例中限制對金鑰的存取。若要使用此政策,請以您自己的資訊取代使用者輸入預留位置:
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Sid": "AllowPermissionsToKMS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*" } } } ] }
