View a markdown version of this page

Verwenden der serverseitigen Verschlüsselung mit AWS KMS keys (SSE-KMS) in Tabellen-Buckets - Amazon Simple Storage Service
Wie SSE-KMS funktioniert das mit Tabellen und Tabellen-BucketsÜberwachung und Prüfung der SSE-KMS Verschlüsselung für Tabellen und Tabellen-Buckets

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der serverseitigen Verschlüsselung mit AWS KMS keys (SSE-KMS) in Tabellen-Buckets

Themen

Tabellen-Buckets haben eine Standardverschlüsselungskonfiguration, die Tabellen automatisch verschlüsselt, indem serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln () verwendet wird. SSE-S3 Diese Verschlüsselung gilt für alle Tabellen in Ihren S3-Tabellen-Buckets und es fallen keine Kosten für Sie an.

Wenn Sie mehr Kontrolle über Ihre Verschlüsselungsschlüssel benötigen, z. B. die Verwaltung der Schlüsselrotation und die Gewährung von Zugriffsrichtlinien, können Sie Ihre Tabellen-Buckets so konfigurieren, dass serverseitige Verschlüsselung mit AWS Key Management Service () keys ()AWS KMS verwendet wird. SSE-KMS Die darin enthaltenen Sicherheitskontrollen AWS KMS können Ihnen dabei helfen, die Compliance-Anforderungen im Zusammenhang mit der Verschlüsselung zu erfüllen. Weitere Informationen zu finden Sie SSE-KMS unter. Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüssel () SSE-KMS

Wie SSE-KMS funktioniert das mit Tabellen und Tabellen-Buckets

SSE-KMS mit Tabellen-Buckets unterscheidet sich SSE-KMS in folgenden Punkten von Buckets für allgemeine Zwecke:

  • Sie können Verschlüsselungseinstellungen für Tabellen-Buckets und einzelne Tabellen angeben.

  • Sie können vom Kunden verwaltete Schlüssel nur mit verwenden. SSE-KMS AWS verwaltete Schlüssel werden nicht unterstützt.

  • Sie müssen bestimmten Rollen und AWS Service Principals Berechtigungen für den Zugriff auf Ihren AWS KMS Schlüssel gewähren. Weitere Informationen finden Sie unter Berechtigungsanforderungen für die Verschlüsselung von S3-Tabellen SSE-KMS. Dies beinhaltet die Gewährung von Zugriff auf:

    • Das S3-Wartungsprinzipal – zur Durchführung der Tabellenwartung bei verschlüsselten Tabellen

    • Ihre S3-Tabelles-Integrationsrolle — für die Arbeit mit verschlüsselten Tabellen in AWS Analysediensten

    • Ihre Client-Zugriffsrolle – für den direkten Zugriff auf verschlüsselte Tabellen von Apache Iceberg-Clients aus

    • Der S3-Metadaten-Prinzipal – zum Aktualisieren verschlüsselter S3-Metadatentabellen

  • Verschlüsselte Tabellen verwenden Schlüssel auf Tabellenebene, die die Anzahl der Anfragen minimieren, AWS KMS um die Arbeit mit SSE-KMS verschlüsselten Tabellen kostengünstiger zu gestalten.

SSE-KMS Verschlüsselung für Tabellen-Buckets

Wenn Sie einen Tabellen-Bucket erstellen, können Sie SSE-KMS als Standardverschlüsselungstyp einen bestimmten KMS-Schlüssel auswählen, der für die Verschlüsselung verwendet wird. Alle in diesem Bucket erstellten Tabellen erben diese Verschlüsselungseinstellungen automatisch von ihrem Tabellen-Bucket. Sie können die AWS CLI S3-API oder AWS SDKs verwenden, um die Standardverschlüsselungseinstellungen für einen Table-Bucket jederzeit zu ändern oder zu entfernen. Wenn Sie die Verschlüsselungseinstellungen in einem Tabellen-Bucket ändern, gelten diese Einstellungen nur für neue Tabellen, die in diesem Bucket erstellt wurden. Die Verschlüsselungseinstellungen für bereits bestehende Tabellen werden nicht geändert. Weitere Informationen finden Sie unter Verschlüsselung für Tabellen-Buckets angeben.

SSE-KMS Verschlüsselung für Tabellen

Sie haben auch die Möglichkeit, eine einzelne Tabelle unabhängig von der Standardverschlüsselungskonfiguration des Buckets mit einem anderen KMS-Schlüssel zu verschlüsseln. Um die Verschlüsselung für eine einzelne Tabelle festzulegen, müssen Sie den gewünschten Verschlüsselungsschlüssel bei der Tabellenerstellung angeben. Wenn Sie die Verschlüsselung für eine bestehende Tabelle ändern möchten, müssen Sie eine Tabelle mit dem gewünschten Schlüssel erstellen und Daten aus der alten Tabelle in die neue kopieren. Weitere Informationen finden Sie unter Verschlüsselung für Tabellen angeben.

Bei Verwendung der AWS KMS Verschlüsselung erstellt S3 Tables automatisch eindeutige Datenschlüssel auf Tabellenebene, die neue Objekte verschlüsseln, die jeder Tabelle zugeordnet sind. Diese Schlüssel werden für einen begrenzten Zeitraum verwendet, wodurch der Bedarf an zusätzlichen AWS KMS Anfragen bei Verschlüsselungsvorgängen minimiert und die Verschlüsselungskosten gesenkt werden. Dies ist vergleichbar mit S3-Bucket-Keys für SSE-KMS.

Überwachung und Prüfung der SSE-KMS Verschlüsselung für Tabellen und Tabellen-Buckets

Um die Verwendung Ihrer AWS KMS Schlüssel für Ihre SSE-KMS verschlüsselten Daten zu überprüfen, können Sie AWS CloudTrail Protokolle verwenden. Sie können Einblick in Ihre kryptografischen Operationen wie GenerateDataKey und Decrypt erhalten. CloudTrail unterstützt zahlreiche Attributwerte zum Filtern Ihrer Suche, einschließlich Ereignisname, Benutzername und Ereignisquelle.

Sie können Anfragen zur Verschlüsselungskonfiguration für Amazon S3 S3-Tabellen und Tabellen-Buckets mithilfe von CloudTrail Ereignissen verfolgen. Die folgenden API-Ereignisnamen werden in CloudTrail Protokollen verwendet:

  • s3tables:PutTableBucketEncryption

  • s3tables:GetTableBucketEncryption

  • s3tables:DeleteTableBucketEncryption

  • s3tables:GetTableEncryption

  • s3tables:CreateTable

  • s3tables:CreateTableBucket

Anmerkung

EventBridge wird für Tabellen-Buckets nicht unterstützt.