Utilisation du chiffrement côté serveur avec des AWS KMS clés (SSE-KMS) dans des compartiments de tables - Amazon Simple Storage Service
Comment fonctionne SSE-KMS pour les tables et les compartiments de tableSurveillance et audit du chiffrement SSE-KMS pour les tables et compartiments de table

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du chiffrement côté serveur avec des AWS KMS clés (SSE-KMS) dans des compartiments de tables

Rubriques

Les compartiments de table ont le chiffrement configuré par défaut et les objets sont automatiquement chiffrés à l’aide du chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3). Ce chiffrement s’applique à tous les tables figurant dans vos compartiments de table S3 et ne vous coûte rien.

Si vous avez besoin d'un contrôle accru sur vos clés de chiffrement, par exemple pour gérer la rotation des clés et l'attribution des politiques d'accès, vous pouvez configurer vos compartiments de table pour utiliser le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS). Les contrôles de sécurité intégrés AWS KMS peuvent vous aider à respecter les exigences de conformité liées au chiffrement. Pour en savoir plus sur SSE-KMS, consultez Utilisation du chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS).

Comment fonctionne SSE-KMS pour les tables et les compartiments de table

Le chiffrement SSE-KMS avec les compartiments de table diffère du chiffrement SSE-KMS dans les compartiments à usage général sur les points suivants :

  • Vous pouvez définir les paramètres de chiffrement pour les compartiments de table et les tables individuelles.

  • Vous ne pouvez utiliser des clés gérées par le client qu'avec SSE-KMS. AWS les clés gérées ne sont pas prises en charge.

  • Vous devez accorder des autorisations à certains rôles et à certains responsables AWS de service pour accéder à votre AWS KMS clé. Pour de plus amples informations, veuillez consulter Exigences d’autorisation pour le chiffrement SSE-KMS de S3 Tables. Cela inclut l’octroi de l’accès :

    • Au principal de maintenance S3 : pour effectuer la maintenance des tables sur des tables chiffrées

    • Votre rôle d'intégration des tables S3 : pour travailler avec des tables chiffrées dans les services AWS d'analyse

    • À votre rôle d’accès client : pour un accès direct aux tables chiffrées des clients Apache Iceberg

    • Au principal des métadonnées S3 : pour mettre à jour les tables de métadonnées S3 chiffrées

  • Les tables chiffrées utilisent des clés au niveau des tables qui minimisent le nombre de demandes afin de AWS KMS rendre l'utilisation des tables chiffrées SSE-KMS plus rentable.

Chiffrement SSE-KMS pour les compartiments de table

Lorsque vous créez un compartiment de table, vous pouvez choisir SSE-KMS comme type de chiffrement par défaut et sélectionner une clé KMS spécifique qui sera utilisée pour le chiffrement. Toutes les tables créées dans ce compartiment héritent automatiquement de ces paramètres de chiffrement de leur compartiment de table. Vous pouvez utiliser l' AWS CLI API S3 ou modifier ou AWS SDKs supprimer les paramètres de chiffrement par défaut d'un bucket de table à tout moment. Lorsque vous modifiez les paramètres de chiffrement d’un compartiment de table, ces paramètres s’appliquent uniquement aux nouvelles tables créées dans ce compartiment. Les paramètres de chiffrement des tables préexistantes ne sont pas modifiés. Pour de plus amples informations, veuillez consulter Spécification du chiffrement pour les compartiments de table.

Chiffrement SSE-KMS pour les tables

Vous avez également la possibilité de chiffrer une table individuelle avec une clé KMS différente, quelle que soit la configuration de chiffrement par défaut du compartiment. Pour définir le chiffrement d’une table individuelle, vous devez spécifier la clé de chiffrement souhaitée au moment de la création de la table. Si vous souhaitez modifier le chiffrement d’une table existante, vous devez créer une table avec la clé souhaitée et copier les données de l’ancienne table vers la nouvelle. Pour de plus amples informations, veuillez consulter Spécification du chiffrement pour les tables.

Lorsque AWS KMS le chiffrement est utilisé, S3 Tables crée automatiquement des clés de données uniques au niveau des tables qui chiffrent les nouveaux objets associés à chaque table. Ces clés sont utilisées pendant une période limitée, ce qui permet de minimiser le besoin de AWS KMS demandes supplémentaires lors des opérations de chiffrement et de réduire le coût du chiffrement. Cela est similaire aux Clés de compartiment S3 pour SSE-KMS.

Surveillance et audit du chiffrement SSE-KMS pour les tables et compartiments de table

Pour vérifier l'utilisation de vos AWS KMS clés pour vos données cryptées SSE-KMS, vous pouvez utiliser AWS CloudTrail des journaux. Vous pouvez obtenir un aperçu de vos opérations cryptographiques, telles que GenerateDataKey etDecrypt. CloudTrail prend en charge de nombreuses valeurs d'attribut pour filtrer votre recherche, notamment le nom de l'événement, le nom d'utilisateur et la source de l'événement.

Vous pouvez suivre les demandes de configuration de chiffrement pour les tables et les compartiments de tables Amazon S3 à l'aide d' CloudTrail événements. Les noms d'événements d'API suivants sont utilisés dans CloudTrail les journaux :

  • s3tables:PutTableBucketEncryption

  • s3tables:GetTableBucketEncryption

  • s3tables:DeleteTableBucketEncryption

  • s3tables:GetTableEncryption

  • s3tables:CreateTable

  • s3tables:CreateTableBucket

Note

EventBridge n'est pas compatible avec les compartiments de table.