Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati delle tabelle S3 con la crittografia
# Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella
**Topics**
+ [Funzionamento di SSE-KMS per tabelle e bucket di tabelle](#kms-tables-how)
+ [Applicazione e ambito dell’utilizzo di SSE-KMS per tabelle e bucket di tabelle](tables-require-kms.md)
+ [Monitoraggio e controllo della crittografia SSE-KMS per tabelle e bucket di tabelle](#kms-tables-audit)
+ [Requisiti di autorizzazione per la crittografia SSE-KMS di Tabelle S3](s3-tables-kms-permissions.md)
+ [Specificazione della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella](s3-tables-kms-specify.md)
I bucket di tabelle hanno una configurazione di crittografia predefinita che crittografa automaticamente le tabelle utilizzando la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). Questa crittografia si applica a tutte le tabelle nei bucket di tabelle S3 e non comporta costi aggiuntivi.
Se hai bisogno di un maggiore controllo sulle chiavi di crittografia, ad esempio per gestire la rotazione delle chiavi e le concessioni delle policy di accesso, puoi configurare i table bucket in modo che utilizzino la crittografia lato server con AWS Key Management Service (AWS KMS) chiavi (SSE-KMS). I controlli di sicurezza inclusi AWS KMS possono aiutarti a soddisfare i requisiti di conformità relativi alla crittografia. Per ulteriori informazioni su SSE-KMS, consulta [Utilizzo della crittografia lato server con chiavi (SSE-KMS) AWS KMS](UsingKMSEncryption.md).
## Funzionamento di SSE-KMS per tabelle e bucket di tabelle
SSE-KMS con bucket di tabelle si differenzia da SSE-KMS con bucket per uso generico per i seguenti aspetti:
+ È possibile specificare le impostazioni di crittografia per i bucket di tabelle e le singole tabelle.
+ È possibile utilizzare solo chiavi gestite dal cliente con SSE-KMS. AWS le chiavi gestite non sono supportate.
+ È necessario concedere le autorizzazioni per determinati ruoli e responsabili AWS del servizio per accedere AWS KMS alla chiave. Per ulteriori informazioni, consulta [Requisiti di autorizzazione per la crittografia SSE-KMS di Tabelle S3](s3-tables-kms-permissions.md). Sono incluse le concessione di accesso a:
+ Il principale di manutenzione S3: per eseguire la manutenzione delle tabelle crittografate
+ Il tuo ruolo di integrazione con S3 Tables: per lavorare con tabelle crittografate nei servizi di analisi AWS
+ Il ruolo di accesso client: per l’accesso diretto alle tabelle crittografate dai client Apache Iceberg
+ Il principale di S3 Metadata: per l’aggiornamento delle tabelle di metadati S3 crittografate
+ Le tabelle crittografate utilizzano chiavi a livello di tabella che riducono al minimo il numero di richieste effettuate per AWS KMS rendere più conveniente l'utilizzo delle tabelle crittografate SSE-KMS.
**Crittografia SSE-KMS per bucket di tabelle**
Quando si crea un bucket di tabelle, è possibile scegliere SSE-KMS come tipo di crittografia predefinito e selezionare una chiave KMS specifica che verrà utilizzata per la crittografia. Tutte le tabelle create all’interno di quel bucket erediteranno automaticamente queste impostazioni di crittografia dal relativo bucket di tabelle. Puoi utilizzare l' AWS CLI API S3 o modificare o rimuovere le impostazioni AWS SDKs di crittografia predefinite su un table bucket in qualsiasi momento. Quando si modificano le impostazioni di crittografia su un bucket di tabelle, tali impostazioni si applicano solo alle nuove tabelle create nel bucket. Le impostazioni di crittografia delle tabelle preesistenti non vengono modificate. Per ulteriori informazioni, consulta [Specifica della crittografia per bucket di tabelle](s3-tables-kms-specify.md#specify-kms-table-bucket).
**Crittografia SSE-KMS per tabelle**
È anche possibile crittografare una singola tabella con una chiave KMS diversa, indipendentemente dalla configurazione di crittografia predefinita del bucket. Per impostare la crittografia per una singola tabella, è necessario specificare la chiave di crittografia desiderata al momento della creazione della tabella. Per modificare la crittografia di una tabella esistente, è necessario creare una tabella con la chiave desiderata e copiare i dati dalla vecchia tabella a quella nuova. Per ulteriori informazioni, consulta [Specifica della crittografia per tabelle](s3-tables-kms-specify.md#specify-kms-table).
Quando si utilizza AWS KMS la crittografia, S3 Tables crea automaticamente chiavi dati uniche a livello di tabella che crittografano i nuovi oggetti associati a ciascuna tabella. Queste chiavi vengono utilizzate per un periodo di tempo limitato, riducendo al minimo la necessità di AWS KMS richieste aggiuntive durante le operazioni di crittografia e riducendo il costo della crittografia. analogamente a [Chiavi bucket S3 per SSE-KMS](bucket-key.md#bucket-key-overview).
# Applicazione e ambito dell’utilizzo di SSE-KMS per tabelle e bucket di tabelle
È possibile utilizzare le policy basate sulle risorse di Tabelle S3, le policy della chiave KMS, le policy basate su identità IAM o qualsiasi combinazione di queste per applicare l’uso di SSE-KMS per tabelle e bucket di tabelle S3. Per ulteriori informazioni sulle policy di identità e risorse per le tabelle, consulta [Gestione degli accessi per Tabelle S3](s3-tables-setting-up.md). Per ulteriori informazioni sulle policy della chiave, consulta [Policy della chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *. Di seguito sono riportati esempi che mostrano come è possibile utilizzare le policy per applicare SSE-KMS.
## Applicazione dell’uso di SSE-KMS per tutte le tabelle con una policy di bucket di tabelle
Questo è un esempio di policy di bucket di tabelle che impedisce agli utenti di creare tabelle in uno specifico bucket di tabelle a meno che non crittografino le tabelle con una chiave AWS KMS specifica. Per utilizzare questa politica, sostituiscila *user input placeholders* con le tue informazioni:
------
#### [ JSON ]
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceKMSEncryptionAlgorithm",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3tables:CreateTable"
],
"Resource": [
"arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3tables:sseAlgorithm": "aws:kms"
}
}
},
{
"Sid": "EnforceKMSEncryptionKey",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3tables:CreateTable"
],
"Resource": [
"arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3tables:kmsKeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
]
}
```
------
## Richiesta per gli utenti di utilizzare la crittografia SSE-KMS con una policy IAM
Questa policy di identità IAM richiede agli utenti di utilizzare una AWS KMS chiave specifica per la crittografia durante la creazione o la configurazione delle risorse S3 Tables. Per utilizzare questa politica, sostituiscila *user input placeholders* con le tue informazioni:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RequireSSEKMSOnTables",
"Action": [
"s3tables:CreateTableBucket",
"s3tables:PutTableBucketEncryption",
"s3tables:CreateTable"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3tables:sseAlgorithm": "aws:kms"
}
}
},
{
"Sid": "RequireKMSKeyOnTables",
"Action": [
"s3tables:CreateTableBucket",
"s3tables:PutTableBucketEncryption",
"s3tables:CreateTable"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3tables:kmsKeyArn": ""
}
}
}
]
}
```
## Limitazione dell’uso di una chiave a un bucket di tabelle specifico con una policy della chiave KMS
Questo esempio di policy della chiave KMS consente l’utilizzo della chiave solo da parte di un utente specifico per operazioni di crittografia in un bucket di tabella specifico. Questo tipo di policy è utile per limitare l’accesso a una chiave in scenari multi-account. Per utilizzare questa politica, sostituiscila *user input placeholders* con le tue informazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Id",
"Statement": [
{
"Sid": "AllowPermissionsToKMS",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "/*"
}
}
}
]
}
```
------
## Monitoraggio e controllo della crittografia SSE-KMS per tabelle e bucket di tabelle
Per verificare l'utilizzo delle AWS KMS chiavi per i dati crittografati SSE-KMS, è possibile utilizzare i log. AWS CloudTrail Puoi ottenere informazioni dettagliate sulle tue [operazioni crittografiche](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations), ad esempio e. `GenerateDataKey` `Decrypt` CloudTrail supporta numerosi [valori di attributo](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) per filtrare la ricerca, tra cui il nome dell'evento, il nome utente e l'origine dell'evento.
Puoi tenere traccia delle richieste di configurazione della crittografia per le tabelle e i bucket di tabelle Amazon S3 utilizzando gli eventi. CloudTrail I seguenti nomi di eventi API vengono utilizzati nei CloudTrail log:
+ `s3tables:PutTableBucketEncryption`
+ `s3tables:GetTableBucketEncryption`
+ `s3tables:DeleteTableBucketEncryption`
+ `s3tables:GetTableEncryption`
+ `s3tables:CreateTable`
+ `s3tables:CreateTableBucket`
**Nota**
EventBridge non è supportato per i bucket da tabella.
# Requisiti di autorizzazione per la crittografia SSE-KMS di Tabelle S3
Quando utilizzi la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS) per le tabelle nei bucket di tabella S3, devi concedere le autorizzazioni per le diverse identità del tuo account. Come minimo, l’identità di accesso e il principale della manutenzione di Tabelle S3 devono avere accesso alla chiave, le altre autorizzazioni richieste dipendono dal caso d’uso.
**Autorizzazioni richieste**
Per accedere a una tabella crittografata con una chiave KMS, sono necessarie le seguenti autorizzazioni per la chiave:
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
Per utilizzare SSE-KMS sulle tabelle, il principale del servizio di manutenzione (`maintenance.s3tables.amazonaws.com`) di Tabelle Amazon S3 ha bisogno delle autorizzazioni `kms:GenerateDataKey` e `kms:Decrypt` per la chiave.
**Autorizzazioni aggiuntive**
Queste autorizzazioni aggiuntive sono necessarie a seconda del caso d’uso:
+ **Autorizzazioni per i servizi di AWS analisi e accesso diretto**: se lavori con tabelle crittografate SSE-KMS tramite servizi di AWS analisi o motori di terze parti che accedono direttamente alle tabelle S3, il ruolo IAM che utilizzi necessita dell'autorizzazione per utilizzare la tua chiave KMS.
+ **Autorizzazioni con Lake Formation abilitata**: se hai optato AWS Lake Formation per il controllo degli accessi, il ruolo del servizio Lake Formation richiede l'autorizzazione per utilizzare la tua chiave KMS.
+ **Autorizzazioni per le tabelle di S3 Metadata**: se si utilizza la crittografia SSE-KMS per le tabelle di S3 Metadata, è necessario fornire l’accesso alla chiave KMS al principale del servizio S3 Metadata (`metadata.s3.amazonaws.com`). Ciò consente a S3 Metadata di aggiornare le tabelle crittografate in modo che riflettano le ultime modifiche apportate ai dati.
**Nota**
Per le chiavi KMS multi-account, il ruolo IAM richiede sia l’autorizzazione di accesso alla chiave sia l’autorizzazione esplicita nella policy della chiave. *Per ulteriori informazioni sulle autorizzazioni per più account per le chiavi KMS, consulta [Consentire agli AWS account esterni di utilizzare una chiave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-console) nella Service Developer Guide.AWS Key Management Service *
**Topics**
+ [Concessione delle autorizzazioni per la chiave KMS al principale del servizio di manutenzione di Tabelle S3](#tables-kms-maintenance-permissions)
+ [Concessione ai dirigenti IAM delle autorizzazioni per l'utilizzo di tabelle crittografate nei servizi di analisi integrati AWS](#tables-kms-integration-permissions)
+ [Concessione ai principali IAM delle autorizzazioni per lavorare con tabelle crittografate quando Lake Formation è abilitato](#tables-kms-lf-permissions)
+ [Concessione delle autorizzazioni per l’utilizzo della chiave KMS al principale del servizio S3 Metadata](#tables-kms-metadata-permissions)
## Concessione delle autorizzazioni per la chiave KMS al principale del servizio di manutenzione di Tabelle S3
Questa autorizzazione è necessaria per creare tabelle crittografate SSE-KMS e per consentire la manutenzione automatica delle tabelle, ad esempio la compattazione, la gestione degli snapshot e la rimozione dei file senza riferimenti nelle tabelle crittografate.
**Nota**
Ogni volta che si effettua una richiesta per creare una tabella crittografata SSE-KMS, Tabelle S3 verifica che il principale `maintenance.s3tables.amazonaws.com` abbia accesso alla chiave KMS. Per eseguire questo controllo, viene creato temporaneamente un oggetto a zero byte nel bucket di tabelle, che verrà rimosso automaticamente dalle operazioni di manutenzione con la [rimozione dei file senza riferimenti](s3-table-buckets-maintenance.md#s3-table-bucket-maintenance-unreferenced). Se la chiave KMS specificata per la crittografia non dispone dell’accesso di manutenzione, l’operazione createTable avrà esito negativo.
Per fornire l’accesso di manutenzione alle tabelle crittografate SSE-KMS, è possibile utilizzare il seguente esempio di policy della chiave. In questa policy, al principale del servizio `maintenance.s3tables.amazonaws.com` viene fornita l’autorizzazione a utilizzare una chiave KMS specifica per crittografare e decrittografare le tabelle in un bucket di tabelle specifico. Per utilizzare la politica, sostituiscila *user input placeholders* con le tue informazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableKeyUsage",
"Effect": "Allow",
"Principal": {
"Service": "maintenance.s3tables.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn":"/*"
}
}
}
]
}
```
------
## Concessione ai dirigenti IAM delle autorizzazioni per l'utilizzo di tabelle crittografate nei servizi di analisi integrati AWS
Per utilizzare le tabelle S3 nei servizi di AWS analisi, devi integrare i tuoi table bucket con. AWS Glue Data Catalog Questa integrazione consente ai servizi di AWS analisi di scoprire e accedere automaticamente ai dati delle tabelle. Per ulteriori informazioni sull’integrazione, consulta [Integrazione delle tabelle AWS Amazon S3 con i servizi di analisi](s3-tables-integrating-aws.md).
Quando lavori con tabelle crittografate SSE-KMS tramite servizi di AWS analisi o motori di terze parti e open source che accedono direttamente alle tabelle S3, il ruolo IAM che utilizzi necessita dell'autorizzazione per utilizzare la tua AWS KMS chiave per le operazioni di crittografia.
Puoi concedere l'accesso alle chiavi KMS tramite una policy IAM associata al tuo ruolo o tramite una policy chiave KMS.
------
#### [ IAM policy ]
Allega questa policy in linea al ruolo IAM che utilizzi per le interrogazioni per consentire l'accesso alla chiave KMS. Sostituisci la chiave KMS ARN con la tua.
```
{
"Version":"2012-10-17", ,
"Statement": [
{
"Sid": "AllowKMSKeyUsage",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
#### [ KMS key policy ]
In alternativa, allega questa dichiarazione alla tua politica delle chiavi KMS per consentire al ruolo IAM specificato di utilizzare la chiave. Sostituisci il ruolo ARN con il ruolo IAM che usi per le interrogazioni.
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam:::role/"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
],
"Resource": "*"
}
```
------
## Concessione ai principali IAM delle autorizzazioni per lavorare con tabelle crittografate quando Lake Formation è abilitato
Se hai optato AWS Lake Formation per il controllo degli accessi sulla tua integrazione con S3 Tables, il ruolo del servizio Lake Formation richiede l'autorizzazione per utilizzare la tua AWS KMS chiave per le operazioni di crittografia. Lake Formation utilizza questo ruolo per vendere le credenziali per conto dei responsabili che accedono ai tavoli.
Il seguente esempio di politica delle chiavi KMS concede al ruolo del servizio Lake Formation l'autorizzazione a utilizzare una chiave KMS specifica nel tuo account per le operazioni di crittografia. Sostituisci i valori segnaposto con i tuoi.
```
{
"Sid": "AllowTableRoleAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/S3TablesRoleForLakeFormation"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": ""
}
```
## Concessione delle autorizzazioni per l’utilizzo della chiave KMS al principale del servizio S3 Metadata
È possibile utilizzare la seguente policy della chiave di esempio per consentire ad Amazon S3 di aggiornare le tabelle di metadati crittografate SSE-KMS ed eseguire la manutenzione su tali tabelle di metadati. In questa policy, si consente ai principali del servizio `metadata.s3.amazonaws.com` e `maintenance.s3tables.amazonaws.com` di crittografare e decrittografare le tabelle in un bucket di tabelle specifico utilizzando una chiave specifica. Per utilizzare la politica, sostituiscila *user input placeholders* con le tue informazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableKeyUsage",
"Effect": "Allow",
"Principal": {
"Service": [
"maintenance.s3tables.amazonaws.com",
"metadata.s3.amazonaws.com"
]
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn":"/*"
}
}
}
]
}
```
------
# Specificazione della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella
Tutti i bucket di tabelle Amazon S3 hanno la crittografia configurata per impostazione predefinita e tutte le nuove tabelle create in un bucket di tabelle vengono automaticamente crittografate quando sono a riposo. La crittografia lato server con le chiavi gestite da Amazon S3 (SSE-S3) è la configurazione di crittografia predefinita per ogni bucket di tabelle. Per specificare un tipo di crittografia diverso, è possibile utilizzare la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS).
È possibile specificare la crittografia SSE-KMS nelle richieste `CreateTableBucket` or `CreateTable` oppure impostare la configurazione di crittografia predefinita nel bucket di tabelle di una richiesta `PutTableBucketEncryption`.
**Importante**
Per consentire la manutenzione automatica delle tabelle e dei bucket di tabelle crittografati SSE-KMS, è necessario fornire al principale del servizio maintenance.s3tables.amazonaws.com l’autorizzazione per utilizzare la chiave KMS. Per ulteriori informazioni, consulta [Requisiti di autorizzazione per la crittografia SSE-KMS di Tabelle S3](s3-tables-kms-permissions.md).
## Specifica della crittografia per bucket di tabelle
È possibile specificare SSE-KMS come tipo di crittografia predefinito quando si crea un nuovo bucket di tabelle, per esempi consulta [Creazione di un bucket di tabelle](s3-tables-buckets-create.md). Dopo aver creato un table bucket, puoi specificare l'uso di SSE-KMS come impostazione di crittografia predefinita utilizzando le operazioni dell'API REST e il (). AWS SDKs AWS Command Line Interface AWS CLI
**Nota**
Quando si specifica SSE-KMS come tipo di crittografia predefinito, la chiave utilizzata per la crittografia deve consentire l’accesso al principale del servizio di manutenzione di Tabelle S3. Se il principale del servizio di manutenzione non dispone dell’accesso, non sarà possibile creare tabelle in quel bucket di tabelle. Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per la chiave KMS al principale del servizio di manutenzione di Tabelle S3](s3-tables-kms-permissions.md#tables-kms-maintenance-permissions).
### Utilizzando il AWS CLI
Per utilizzare il AWS CLI comando di esempio seguente, *user input placeholders* sostituiscilo con le tue informazioni.
```
aws s3tables put-table-bucket-encryption \
--table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket; \
--encryption-configuration '{
"sseAlgorithm": "aws:kms",
"kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}' \
--region us-east-1
```
È possibile rimuovere l'impostazione di crittografia predefinita per un bucket di tabella utilizzando l'operazione [DeleteTableBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_s3TableBuckets_DeleteTableBucketEncryption.html)API. Quando si rimuovono le impostazioni di crittografia, le nuove tabelle create nel bucket di tabelle utilizzano la crittografia SSE-S3 predefinita.
## Specifica della crittografia per tabelle
È possibile applicare la crittografia SSE-KMS a una nuova tabella quando la si crea utilizzando motori di query AWS SDKs, operazioni API REST e (). AWS Command Line Interface AWS CLI Le impostazioni di crittografia specificate durante la creazione di una tabella hanno la precedenza sull’impostazione di crittografia predefinita del bucket di tabelle.
**Nota**
Quando si utilizza la crittografia SSE-KMS per una tabella, la chiave utilizzata per la crittografia deve consentire l’accesso al principale del servizio di manutenzione di Tabelle S3. Se il principale del servizio di manutenzione non dispone dell’accesso, non sarà possibile creare la tabella. Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per la chiave KMS al principale del servizio di manutenzione di Tabelle S3](s3-tables-kms-permissions.md#tables-kms-maintenance-permissions).
****Autorizzazioni** richieste**
Per creare tabelle crittografate sono necessarie le seguenti autorizzazioni:
+ `s3tables:CreateTable`
+ `s3tables:PutTableEncryption`
## Utilizzando il AWS CLI
L' AWS CLI esempio seguente crea una nuova tabella con uno schema di base e la crittografa con una AWS KMS chiave gestita dal cliente. Per utilizzare il comando, sostituisci *user input placeholders* con le informazioni appropriate.
```
aws s3tables create-table \
--table-bucket-arn "arn:aws:s3tables:Region:ownerAccountId:bucket/amzn-s3-demo-table-bucket" \
--namespace "mydataset" \
--name "orders" \
--format "ICEBERG" \
--encryption-configuration '{
"sseAlgorithm": "aws:kms",
"kmsKeyArn": "arn:aws:kms:Region:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}' \
--metadata '{
"iceberg": {
"schema": {
"fields": [
{
"name": "order_id",
"type": "string",
"required": true
},
{
"name": "order_date",
"type": "timestamp",
"required": true
},
{
"name": "total_amount",
"type": "decimal(10,2)",
"required": true
}
]
}
}
}'
```
La protezione dei dati ha lo scopo di proteggere i dati sia in transito (durante la trasmissione verso e da Amazon S3), sia quando sono a riposo (ovvero quando sono archiviati su disco nei data center Amazon S3). Tabelle S3 protegge sempre i dati in transito utilizzando Transport Layer Security (1.2 e versioni successive) tramite HTTPS. Per la protezione dei dati a riposo nei bucket di tabelle S3 sono disponibili le opzioni seguenti:
**Crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3)**
Tutti i bucket di tabelle Amazon S3 hanno la crittografia configurata per impostazione predefinita. L'opzione predefinita per la crittografia lato server prevede le chiavi gestite da Amazon S3 (SSE-S3). Questa crittografia non comporta costi aggiuntivi e si applica a tutte le tabelle nei bucket di tabelle S3, a meno che si specifichi un’altra forma di crittografia. Ogni oggetto è crittografato con una chiave univoca. Come ulteriore tutela, SSE-S3 esegue la crittografia della chiave con una chiave root che ruota con regolarità. Per crittografare i dati, SSE-S3 utilizza una delle cifrature di blocco più complesse disponibili, lo standard di crittografia avanzata a 256 bit (AES-256).
**Crittografia lato server con AWS KMS chiavi (SSE-KMS)**
È possibile scegliere di configurare i bucket o le tabelle per utilizzare la crittografia lato server con chiavi () (SSE-KMS). AWS Key Management Service AWS KMS I controlli di sicurezza inclusi AWS KMS possono aiutarti a soddisfare i requisiti di conformità relativi alla crittografia. SSE-KMS offre un maggiore controllo sulle chiavi di crittografia consentendo di effettuare le seguenti operazioni:
+ Creare, visualizzare, modificare, monitorare, abilitare o disabilitare, ruotare e pianificare l’eliminazione delle chiavi KMS.
+ Definire le policy che controllano come e da chi possono essere utilizzate le chiavi KMS.
+ Tieni traccia dell'utilizzo delle chiavi AWS CloudTrail per verificare che le tue chiavi KMS vengano utilizzate correttamente.
S3 Tables supporta l'utilizzo di chiavi gestite dal cliente in SSE-KMS per crittografare le tabelle. AWS le chiavi gestite non sono supportate. Per ulteriori informazioni sull’utilizzo di SSE-KMS per tabelle e bucket di tabelle S3, consulta [Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket da tabella](s3-tables-kms-encryption.md).