Verwenden Sie eine AWS KMS key , um Ihre Metrikexporte zu verschlüsseln - Amazon Simple Storage Service
KMS-Berechtigungen für S3-Table-Buckets

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie eine AWS KMS key , um Ihre Metrikexporte zu verschlüsseln

Um Amazon S3 Storage Lens die Berechtigung zum Verschlüsseln Ihrer Metrikexporte mit einem kundenverwalteten Schlüssel zu erteilen, müssen Sie eine Schlüsselrichtlinie verwenden. Gehen Sie folgendermaßen vor, um Ihre Schlüsselrichtlinie zu aktualisieren, damit Sie S3-Storage-Lens-Metrik-Exporte mit einem KMS-Schlüssel verschlüsseln können.

So gewähren Sie S3 Storage Lens Berechtigungen zum Verschlüsseln mithilfe Ihres KMS-Schlüssels

  1. Melden Sie sich mit dem AWS-Managementkonsole vom Kunden verwalteten Schlüssel an AWS-Konto , dem der Kunde gehört.

  2. Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms.

  3. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  4. Klicken Sie im linken Navigationsbereich auf Customer managed keys (Vom Kunden verwaltete Schlüssel).

  5. Wählen Sie unter Vom Kunden verwaltete Schlüssel den Schlüssel aus, den Sie zur Verschlüsselung der Metrikexporte verwenden möchten. AWS KMS keys sind regionsspezifisch und müssen sich in derselben Region befinden wie der S3-Bucket, in dem der Metrikexport ausgeführt wird.

  6. Wählen Sie unter Key policy (Schlüsselrichtlinie) die Option Switch to policy view (Zur Richtlinienansicht wechseln) aus.

  7. Um die Schlüsselrichtlinie zu aktualisieren, wählen Sie Bearbeiten aus.

  8. Fügen Sie unter Edit key policy (Schlüsselrichtlinie bearbeiten) die folgende Schlüsselrichtlinie zu der vorhandenen Schlüsselrichtlinie hinzu. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch eigene Informationen.

    {
    "Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
     "Effect": "Allow",
    "Principal": {
        "Service": "storage-lens.s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
           "aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name",
           "aws:SourceAccount": "source-account-id"
        }
     }
}

  9. Wählen Sie Änderungen speichern aus.

Weitere Informationen zum Erstellen von kundenverwalteten Schlüsseln und zum Verwenden von Schlüsselrichtlinien finden Sie unter den folgenden Themen im AWS Key Management Service Entwicklerhandbuch:

Sie können die AWS KMS PUT Schlüsselrichtlinien-API-Operation (PutKeyPolicy) auch verwenden, um die Schlüsselrichtlinie in die vom Kunden verwalteten Schlüssel zu kopieren, die Sie zur Verschlüsselung der Metrikexporte mithilfe der REST-API AWS CLI, und SDKs verwenden möchten.

Zusätzliche Berechtigungen für S3-Tabellen-Bucket-Exporte

Alle Daten in S3-Tabellen, einschließlich S3 Storage Lens-Metriken, werden standardmäßig mit SSE-S3-Verschlüsselung verschlüsselt. Sie können wählen, ob Sie Ihren Storage Lens-Metrikbericht mit AWS KMS Schlüsseln (SSE-KMS) verschlüsseln möchten. Wenn Sie sich dafür entscheiden, Ihre S3 Storage Lens-Metrikberichte mit KMS-Schlüsseln zu verschlüsseln, benötigen Sie zusätzliche Berechtigungen.

  1. Der Benutzer oder die IAM-Rolle benötigt die folgenden Berechtigungen. Sie können diese Berechtigungen mithilfe der IAM-Konsole unter gewähren. https://console.aws.amazon.com/iam/

    • kms:DescribeKeyauf dem verwendeten AWS KMS Schlüssel

  2. Für die Schlüsselrichtlinie für den AWS KMS Schlüssel benötigen Sie die folgenden Berechtigungen. Sie können diese Berechtigungen gewähren, indem Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms verwenden. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch eigene Informationen.

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableSystemTablesKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "systemtables.s3.amazonaws.com"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "EnableKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "maintenance.s3tables.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
                }
            }
        }
    ]
}