

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Durchsetzung und Festlegung des Anwendungsbereichs von Tabellen und SSE-KMS Tabellen-Buckets
<a name="tables-require-kms"></a>

Sie können ressourcenbasierte Richtlinien für S3-Tabellen, KMS-Schlüsselrichtlinien, identitätsbasierte IAM-Richtlinien oder eine beliebige Kombination davon verwenden, um die Verwendung von SSE-KMS für S3-Tabellen und Tabellen-Buckets durchzusetzen. Weitere Informationen zu Identitäts- und Ressourcenrichtlinien für Tabellen finden Sie unter [Zugriffsverwaltung für S3 Tables](s3-tables-setting-up.md). Informationen zum Verfassen von [Schlüsselrichtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) finden Sie im Entwicklerhandbuch unter *AWS Key Management Service -Schlüsselrichtlinien*. Die folgenden Beispiele zeigen, wie Sie Richtlinien zur Durchsetzung verwenden können. SSE-KMS

## Die Verwendung von SSE-KMS für alle Tabellen mit einer Tabellen-Bucket-Richtlinie erzwingen
<a name="w2aac20c35c15b3c11b5b1"></a>

Dies ist ein Beispiel für eine Tabellen-Bucket-Richtlinie, die Benutzer daran hindert, Tabellen in einem bestimmten Tabellen-Bucket zu erstellen, es sei denn, sie verschlüsseln Tabellen mit einem bestimmten Schlüssel. AWS KMS Um diese Richtlinie zu verwenden, ersetzen Sie die {{user input placeholders}} durch Ihre eigenen Informationen: 

------
#### [ JSON ]

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceKMSEncryptionAlgorithm",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3tables:CreateTable"
      ],
      "Resource": [
        "{{arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket}}/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "s3tables:sseAlgorithm": "aws:kms"
        }
      }
    },
    {
      "Sid": "EnforceKMSEncryptionKey",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3tables:CreateTable"
      ],
      "Resource": [
        "{{arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket}}/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "s3tables:kmsKeyArn": "{{arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab}}"
        }
      }
    }
  ]
}
```

------

## Benutzer müssen SSE-KMS Verschlüsselung mit einer IAM-Richtlinie verwenden
<a name="w2aac20c35c15b3c11b7b1"></a>

Diese IAM-Identitätsrichtlinie verlangt von Benutzern, bei der Erstellung oder Konfiguration von S3 Tables-Ressourcen einen bestimmten AWS KMS Schlüssel für die Verschlüsselung zu verwenden. Um diese Richtlinie zu verwenden, ersetzen Sie die {{user input placeholders}} durch Ihre eigenen Informationen:

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "RequireSSEKMSOnTables",
      "Action": [
          "s3tables:CreateTableBucket",
          "s3tables:PutTableBucketEncryption",
          "s3tables:CreateTable"
      ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "s3tables:sseAlgorithm": "aws:kms"
        }
      }
    },
    {
      "Sid": "RequireKMSKeyOnTables",
      "Action": [
          "s3tables:CreateTableBucket",
          "s3tables:PutTableBucketEncryption",
          "s3tables:CreateTable"
      ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "s3tables:kmsKeyArn": "{{<key_arn>}}"
        }
      }
    }
  ]
}
```

## Beschränkung der Verwendung eines Schlüssels auf einen bestimmten Tabellen-Bucket mit einer KMS-Schlüsselrichtlinie
<a name="w2aac20c35c15b3c11b9b1"></a>

Dieses Beispiel für eine KMS-Schlüsselrichtlinie ermöglicht, dass der Schlüssel von einem bestimmten Benutzer nur für Verschlüsselungsvorgänge in einem bestimmten Tabellen-Bucket verwendet wird. Diese Art von Richtlinie ist nützlich, um den Zugriff auf einen Schlüssel in kontenübergreifenden Szenarien einzuschränken. Um diese Richtlinie zu verwenden, ersetzen Sie die {{user input placeholders}} durch Ihre eigenen Informationen: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id": "Id",
  "Statement": [
    {
      "Sid": "AllowPermissionsToKMS",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::{{111122223333}}:root"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:s3:arn": "{{<table-bucket-arn>}}/*"
        }
      }
    }
  ]
}
```

------