Serverseitige Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS) in Tabellen-Buckets verwenden - Amazon Simple Storage Service
Wie funktioniert SSE-KMS für Tabellen und Tabellen-BucketsÜberwachen und Prüfen der SSE-KMS-Verschlüsselung für Tabellen und Tabellen-Buckets

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serverseitige Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS) in Tabellen-Buckets verwenden

Themen

Tabellen-Buckets verfügen über eine Standardverschlüsselungskonfiguration, die Tabellen automatisch mithilfe der serverseitigen Verschlüsselung (SSE) mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verschlüsselt. Diese Verschlüsselung gilt für alle Tabellen in Ihren S3-Tabellen-Buckets und es fallen keine Kosten für Sie an.

Wenn Sie mehr Kontrolle über Ihre Verschlüsselungsschlüssel benötigen, z. B. die Verwaltung der Schlüsselrotation und der Zuweisung von Zugriffsrichtlinien, können Sie Ihre Tabellen-Buckets so konfigurieren, dass serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verwendet wird. Die darin enthaltenen Sicherheitskontrollen AWS KMS können Ihnen dabei helfen, die Compliance-Anforderungen im Zusammenhang mit der Verschlüsselung zu erfüllen. Weitere Informationen zu SSE-KMS finden Sie unter Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS).

Wie funktioniert SSE-KMS für Tabellen und Tabellen-Buckets

SSE-KMS mit Tabellen-Buckets unterscheidet sich von SSE-KMS in Allzweck-Buckets in folgenden Punkten:

  • Sie können Verschlüsselungseinstellungen für Tabellen-Buckets und einzelne Tabellen angeben.

  • Sie können mit SSE-KMS nur vom Kunden verwaltete Schlüssel verwenden. AWS verwaltete Schlüssel werden nicht unterstützt.

  • Sie müssen bestimmten Rollen und AWS Service Principals Berechtigungen für den Zugriff auf Ihren AWS KMS Schlüssel gewähren. Weitere Informationen finden Sie unter Berechtigungsanforderungen für die SSE-KMS-Verschlüsselung von S3 Tables. Dies beinhaltet die Gewährung von Zugriff auf:

    • Das S3-Wartungsprinzipal – zur Durchführung der Tabellenwartung bei verschlüsselten Tabellen

    • Ihre S3-Tabelles-Integrationsrolle — für die Arbeit mit verschlüsselten Tabellen in AWS Analysediensten

    • Ihre Client-Zugriffsrolle – für den direkten Zugriff auf verschlüsselte Tabellen von Apache Iceberg-Clients aus

    • Der S3-Metadaten-Prinzipal – zum Aktualisieren verschlüsselter S3-Metadatentabellen

  • Verschlüsselte Tabellen verwenden Schlüssel auf Tabellenebene, die die Anzahl der Anfragen minimieren, AWS KMS um die Arbeit mit SSE-KMS-verschlüsselten Tabellen kostengünstiger zu gestalten.

Die SSE-KMS-Verschlüsselung für Tabellen-Buckets

Wenn Sie einen Tabellen-Bucket erstellen, können Sie SSE-KMS als Standardverschlüsselungstyp und einen bestimmten KMS-Schlüssel auswählen, der für die Verschlüsselung verwendet wird. Alle in diesem Bucket erstellten Tabellen erben diese Verschlüsselungseinstellungen automatisch von ihrem Tabellen-Bucket. Sie können die AWS CLI S3-API oder verwenden, AWS SDKs um die Standardverschlüsselungseinstellungen für einen Tabellen-Bucket jederzeit zu ändern oder zu entfernen. Wenn Sie die Verschlüsselungseinstellungen in einem Tabellen-Bucket ändern, gelten diese Einstellungen nur für neue Tabellen, die in diesem Bucket erstellt wurden. Die Verschlüsselungseinstellungen für bereits bestehende Tabellen werden nicht geändert. Weitere Informationen finden Sie unter Verschlüsselung für Tabellen-Buckets angeben.

Die SSE-KMS-Verschlüsselung für Tabellen

Sie haben auch die Möglichkeit, eine einzelne Tabelle unabhängig von der Standardverschlüsselungskonfiguration des Buckets mit einem anderen KMS-Schlüssel zu verschlüsseln. Um die Verschlüsselung für eine einzelne Tabelle festzulegen, müssen Sie den gewünschten Verschlüsselungsschlüssel bei der Tabellenerstellung angeben. Wenn Sie die Verschlüsselung für eine bestehende Tabelle ändern möchten, müssen Sie eine Tabelle mit dem gewünschten Schlüssel erstellen und Daten aus der alten Tabelle in die neue kopieren. Weitere Informationen finden Sie unter Verschlüsselung für Tabellen angeben.

Bei Verwendung der AWS KMS Verschlüsselung erstellt S3 Tables automatisch eindeutige Datenschlüssel auf Tabellenebene, die neue Objekte verschlüsseln, die jeder Tabelle zugeordnet sind. Diese Schlüssel werden für einen begrenzten Zeitraum verwendet, wodurch der Bedarf an zusätzlichen AWS KMS Anfragen bei Verschlüsselungsvorgängen minimiert und die Verschlüsselungskosten gesenkt werden. Dies ist vergleichbar mit S3-Bucket-Schlüssel für SSE-KMS.

Überwachen und Prüfen der SSE-KMS-Verschlüsselung für Tabellen und Tabellen-Buckets

Um die Verwendung Ihrer AWS KMS Schlüssel für Ihre SSE-KMS-verschlüsselten Daten zu überprüfen, können Sie Protokolle verwenden AWS CloudTrail . Sie können Einblick in Ihre kryptografischen Operationen wie und erhalten. GenerateDataKey Decrypt CloudTrail unterstützt zahlreiche Attributwerte zum Filtern Ihrer Suche, einschließlich Ereignisname, Benutzername und Ereignisquelle.

Sie können Anfragen zur Verschlüsselungskonfiguration für Amazon S3 S3-Tabellen und Tabellen-Buckets mithilfe von CloudTrail Ereignissen verfolgen. Die folgenden API-Ereignisnamen werden in CloudTrail Protokollen verwendet:

  • s3tables:PutTableBucketEncryption

  • s3tables:GetTableBucketEncryption

  • s3tables:DeleteTableBucketEncryption

  • s3tables:GetTableEncryption

  • s3tables:CreateTable

  • s3tables:CreateTableBucket

Anmerkung

EventBridge wird für Tabellen-Buckets nicht unterstützt.