Specificazione della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella - Amazon Simple Storage Service
Specifica della crittografia per bucket di tabelleSpecifica della crittografia per tabelle

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Specificazione della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella

Tutti i bucket di tabelle Amazon S3 hanno la crittografia configurata per impostazione predefinita e tutte le nuove tabelle create in un bucket di tabelle vengono automaticamente crittografate quando sono a riposo. La crittografia lato server con le chiavi gestite da Amazon S3 (SSE-S3) è la configurazione di crittografia predefinita per ogni bucket di tabelle. Per specificare un tipo di crittografia diverso, è possibile utilizzare la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS).

È possibile specificare la crittografia SSE-KMS nelle richieste CreateTableBucket or CreateTable oppure impostare la configurazione di crittografia predefinita nel bucket di tabelle di una richiesta PutTableBucketEncryption.

Importante

Per consentire la manutenzione automatica delle tabelle e dei bucket di tabelle crittografati SSE-KMS, è necessario fornire al principale del servizio maintenance.s3tables.amazonaws.com l’autorizzazione per utilizzare la chiave KMS. Per ulteriori informazioni, consulta Requisiti di autorizzazione per la crittografia SSE-KMS di Tabelle S3.

Specifica della crittografia per bucket di tabelle

È possibile specificare SSE-KMS come tipo di crittografia predefinito quando si crea un nuovo bucket di tabelle, per esempi consulta Creazione di un bucket di tabelle. Dopo aver creato un table bucket, puoi specificare l'uso di SSE-KMS come impostazione di crittografia predefinita utilizzando le operazioni dell'API REST e il (). AWS SDKs AWS Command Line Interface AWS CLI

Nota

Quando si specifica SSE-KMS come tipo di crittografia predefinito, la chiave utilizzata per la crittografia deve consentire l’accesso al principale del servizio di manutenzione di Tabelle S3. Se il principale del servizio di manutenzione non dispone dell’accesso, non sarà possibile creare tabelle in quel bucket di tabelle. Per ulteriori informazioni, consulta Concessione delle autorizzazioni per la chiave KMS al principale del servizio di manutenzione di Tabelle S3 .

Per utilizzare il AWS CLI comando di esempio seguente, user input placeholders sostituiscilo con le tue informazioni.


aws s3tables put-table-bucket-encryption \
    --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket; \
    --encryption-configuration '{
        "sseAlgorithm": "aws:kms",
        "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }' \
    --region us-east-1

È possibile rimuovere l'impostazione di crittografia predefinita per un bucket di tabella utilizzando l'operazione DeleteTableBucketEncryptionAPI. Quando si rimuovono le impostazioni di crittografia, le nuove tabelle create nel bucket di tabelle utilizzano la crittografia SSE-S3 predefinita.

Specifica della crittografia per tabelle

È possibile applicare la crittografia SSE-KMS a una nuova tabella quando la si crea utilizzando motori di query AWS SDKs, operazioni API REST e (). AWS Command Line Interface AWS CLI Le impostazioni di crittografia specificate durante la creazione di una tabella hanno la precedenza sull’impostazione di crittografia predefinita del bucket di tabelle.

Nota

Quando si utilizza la crittografia SSE-KMS per una tabella, la chiave utilizzata per la crittografia deve consentire l’accesso al principale del servizio di manutenzione di Tabelle S3. Se il principale del servizio di manutenzione non dispone dell’accesso, non sarà possibile creare la tabella. Per ulteriori informazioni, consulta Concessione delle autorizzazioni per la chiave KMS al principale del servizio di manutenzione di Tabelle S3 .

Autorizzazioni richieste

Per creare tabelle crittografate sono necessarie le seguenti autorizzazioni:

  • s3tables:CreateTable

  • s3tables:PutTableEncryption

L' AWS CLI esempio seguente crea una nuova tabella con uno schema di base e la crittografa con una AWS KMS chiave gestita dal cliente. Per utilizzare il comando, sostituisci user input placeholders con le informazioni appropriate.

aws s3tables create-table \
  --table-bucket-arn "arn:aws:s3tables:Region:ownerAccountId:bucket/amzn-s3-demo-table-bucket" \
  --namespace "mydataset" \
  --name "orders" \
  --format "ICEBERG" \
  --encryption-configuration '{
    "sseAlgorithm": "aws:kms",
    "kmsKeyArn": "arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  }' \
  --metadata '{
    "iceberg": {
      "schema": {
        "fields": [
          {
            "name": "order_id",
            "type": "string",
            "required": true
          },
          {
            "name": "order_date",
            "type": "timestamp",
            "required": true
          },
          {
            "name": "total_amount",
            "type": "decimal(10,2)",
            "required": true
          }
        ]
      }
    }
  }'