

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menegakkan dan SSE-KMS menggunakan pelingkupan untuk tabel dan ember meja
<a name="tables-require-kms"></a>

Anda dapat menggunakan kebijakan berbasis sumber daya Tabel S3, kebijakan kunci KMS, kebijakan berbasis identitas IAM, atau kombinasi lainnya, untuk menerapkan penggunaan tabel S3 dan bucket tabel. SSE-KMS Untuk informasi selengkapnya tentang identitas dan kebijakan sumber daya untuk tabel, lihat[Manajemen akses untuk Tabel S3](s3-tables-setting-up.md). Untuk informasi tentang menulis kebijakan utama, lihat [Kebijakan utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di *Panduan AWS Key Management Service Pengembang*. Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kebijakan untuk menegakkan SSE-KMS.

## Menegakkan penggunaan SSE-KMS untuk semua tabel dengan kebijakan bucket tabel
<a name="w2aac20c35c15b3c11b5b1"></a>

Ini adalah contoh kebijakan bucket tabel yang mencegah pengguna membuat tabel di keranjang tabel tertentu kecuali mereka mengenkripsi tabel dengan AWS KMS kunci tertentu. Untuk menggunakan kebijakan ini, ganti {{user input placeholders}} dengan informasi Anda sendiri: 

------
#### [ JSON ]

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceKMSEncryptionAlgorithm",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3tables:CreateTable"
      ],
      "Resource": [
        "{{arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket}}/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "s3tables:sseAlgorithm": "aws:kms"
        }
      }
    },
    {
      "Sid": "EnforceKMSEncryptionKey",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3tables:CreateTable"
      ],
      "Resource": [
        "{{arn:aws:s3tables:us-west-2:111122223333:bucket/example-table-bucket}}/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "s3tables:kmsKeyArn": "{{arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab}}"
        }
      }
    }
  ]
}
```

------

## Mengharuskan pengguna untuk menggunakan SSE-KMS enkripsi dengan kebijakan IAM
<a name="w2aac20c35c15b3c11b7b1"></a>

Kebijakan identitas IAM ini mengharuskan pengguna untuk menggunakan AWS KMS kunci khusus untuk enkripsi saat membuat atau mengonfigurasi sumber daya Tabel S3. Untuk menggunakan kebijakan ini, ganti {{user input placeholders}} dengan informasi Anda sendiri:

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "RequireSSEKMSOnTables",
      "Action": [
          "s3tables:CreateTableBucket",
          "s3tables:PutTableBucketEncryption",
          "s3tables:CreateTable"
      ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "s3tables:sseAlgorithm": "aws:kms"
        }
      }
    },
    {
      "Sid": "RequireKMSKeyOnTables",
      "Action": [
          "s3tables:CreateTableBucket",
          "s3tables:PutTableBucketEncryption",
          "s3tables:CreateTable"
      ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "s3tables:kmsKeyArn": "{{<key_arn>}}"
        }
      }
    }
  ]
}
```

## Membatasi penggunaan kunci ke keranjang tabel tertentu dengan kebijakan kunci KMS
<a name="w2aac20c35c15b3c11b9b1"></a>

Contoh kebijakan kunci KMS ini memungkinkan kunci untuk digunakan oleh pengguna tertentu hanya untuk operasi enkripsi dalam keranjang tabel tertentu. Jenis kebijakan ini berguna untuk membatasi akses ke kunci dalam skenario lintas akun. Untuk menggunakan kebijakan ini, ganti {{user input placeholders}} dengan informasi Anda sendiri: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id": "Id",
  "Statement": [
    {
      "Sid": "AllowPermissionsToKMS",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::{{111122223333}}:root"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:s3:arn": "{{<table-bucket-arn>}}/*"
        }
      }
    }
  ]
}
```

------