View a markdown version of this page

Geben Sie die serverseitige Verschlüsselung an mit AWS KMS keys (SSE-KMS) in Tabellen-Buckets - Amazon Simple Storage Service
Verschlüsselung für Tabellen-Buckets angebenVerschlüsselung für Tabellen angeben

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Geben Sie die serverseitige Verschlüsselung an mit AWS KMS keys (SSE-KMS) in Tabellen-Buckets

Für alle Amazon S3 S3-Tabellen-Buckets ist die Verschlüsselung standardmäßig konfiguriert, und alle neuen Tabellen, die in einem Tabellen-Bucket erstellt werden, werden im Ruhezustand automatisch verschlüsselt. Server-side Die Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) ist die Standardverschlüsselungskonfiguration für jeden Tabellen-Bucket. Wenn Sie einen anderen Verschlüsselungstyp angeben möchten, können Sie die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verwenden.

Sie können die SSE-KMS Verschlüsselung in Ihren CreateTableBucket CreateTable OR-Anfragen angeben, oder Sie können die Standardverschlüsselungskonfiguration im Tabellen-Bucket einer PutTableBucketEncryption Anfrage festlegen.

Wichtig

Um die automatische Wartung SSE-KMS verschlüsselter Tabellen und Tabellen-Buckets zu ermöglichen, müssen Sie dem Service-Principal maintenance.s3tables.amazonaws.com die Erlaubnis erteilen, Ihren KMS-Schlüssel zu verwenden. Weitere Informationen finden Sie unter Berechtigungsanforderungen für die Verschlüsselung von S3-Tabellen SSE-KMS.

Verschlüsselung für Tabellen-Buckets angeben

Sie können den Standard-Verschlüsselungstyp angeben SSE-KMS , wenn Sie einen neuen Tabellen-Bucket erstellen. Beispiele finden Sie unter. Erstellen eines Tabellen-Buckets Nachdem Sie einen Tabellen-Bucket erstellt haben, können Sie mithilfe von REST-API-Operationen, AWS SDKs und AWS Command Line Interface (AWS CLI) die Verwendung von SSE-KMS als Standardverschlüsselungseinstellung angeben.

Anmerkung

Wenn Sie den Standardverschlüsselungstyp angeben SSE-KMS , muss der Schlüssel, den Sie für die Verschlüsselung verwenden, den Zugriff auf den Wartungsdienstprinzipal für S3-Tabellen ermöglichen. Wenn der Maintenance-Service-Prinzipal keinen Zugriff hat, können Sie in diesem Tabellen-Bucket keine Tabellen erstellen. Weitere Informationen finden Sie unter Gewähren von Berechtigungen für den S3 Tables-Maintenance-Service-Prinzipal an Ihrem KMS-Schlüssel.

Um den folgenden AWS CLI Beispielbefehl zu verwenden, ersetzen Sie den user input placeholders durch Ihre eigenen Informationen.


aws s3tables put-table-bucket-encryption \
    --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket; \
    --encryption-configuration '{
        "sseAlgorithm": "aws:kms",
        "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }' \
    --region us-east-1

Sie können die Standardverschlüsselungseinstellung für einen Tabellen-Bucket mithilfe der DeleteTableBucketEncryptionAPI-Operation entfernen. Wenn Sie die Verschlüsselungseinstellungen entfernen, verwenden neue Tabellen, die im Tabellen-Bucket erstellt wurden, die SSE-S3 Standardverschlüsselung.

Verschlüsselung für Tabellen angeben

Sie können eine neue Tabelle SSE-KMS verschlüsseln, wenn Sie sie mithilfe von Abfrage-Engines, REST-API-Operationen, AWS SDKs und AWS Command Line Interface (AWS CLI) erstellen. Die Verschlüsselungseinstellungen, die Sie beim Erstellen einer Tabelle angeben, haben Vorrang vor den Standardverschlüsselungseinstellungen des Tabellen-Buckets.

Anmerkung

Wenn Sie die SSE-KMS Verschlüsselung für eine Tabelle verwenden, muss der Schlüssel, den Sie für die Verschlüsselung verwenden, dem S3-Tabelles-Wartungsdienstprinzipal den Zugriff darauf ermöglichen. Wenn der Maintenance-Service-Prinzipal keinen Zugriff hat, können Sie die Tabelle nicht erstellen. Weitere Informationen finden Sie unter Gewähren von Berechtigungen für den S3 Tables-Maintenance-Service-Prinzipal an Ihrem KMS-Schlüssel.

Erforderliche -Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um verschlüsselte Tabellen zu erstellen

  • s3tables:CreateTable

  • s3tables:PutTableEncryption

Im folgenden AWS CLI Beispiel wird eine neue Tabelle mit einem Basisschema erstellt und mit einem vom Kunden verwalteten AWS KMS Schlüssel verschlüsselt. Wenn Sie diesen Befehl verwenden wollen, ersetzen Sie user input placeholders durch Ihre eigenen Informationen.

aws s3tables create-table \
  --table-bucket-arn "arn:aws:s3tables:Region:ownerAccountId:bucket/amzn-s3-demo-table-bucket" \
  --namespace "mydataset" \
  --name "orders" \
  --format "ICEBERG" \
  --encryption-configuration '{
    "sseAlgorithm": "aws:kms",
    "kmsKeyArn": "arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  }' \
  --metadata '{
    "iceberg": {
      "schema": {
        "fields": [
          {
            "name": "order_id",
            "type": "string",
            "required": true
          },
          {
            "name": "order_date",
            "type": "timestamp",
            "required": true
          },
          {
            "name": "total_amount",
            "type": "decimal(10,2)",
            "required": true
          }
        ]
      }
    }
  }'