Datenschutz - Amazon EMR
Verschlüsselung im RuhezustandVerschlüsselung während der Übertragung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz

Das Modell der AWS gemeinsamen Verantwortung gilt für den Datenschutz in Amazon EMR Serverless. AWS Ist, wie in diesem Modell beschrieben, für den Schutz der globalen Infrastruktur verantwortlich, auf der die gesamte AWS Cloud läuft. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Dieser Inhalt umfasst die Sicherheitskonfiguration und die Verwaltungsaufgaben für die AWS Dienste, die Sie verwenden. Weitere Informationen zum Datenschutz finden Sie im Abschnitt Datenschutz FAQ. Informationen zum Datenschutz in Europa finden Sie im AWS Shared Responsibility Model und im GDPR Blogbeitrag auf dem AWS Security Blog.

Aus Datenschutzgründen empfehlen wir Ihnen, die AWS Kontoanmeldeinformationen zu schützen und individuelle Konten mit AWS Identity and Access Management (IAM) einzurichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem sollten Sie die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto eine Multi-Faktor-Authentifizierung (MFA).

  • Verwenden SieSSL/TLS, um mit AWS Ressourcen zu kommunizieren. Wir empfehlen TLS 1.2 oder höher.

  • Einrichtung API und Protokollierung von Benutzeraktivitäten mit AWS CloudTrail.

  • Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen innerhalb der AWS Dienste.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu sichern.

  • Verwenden Sie die Amazon EMR Serverless-Verschlüsselungsoptionen, um Daten im Ruhezustand und bei der Übertragung zu verschlüsseln.

  • Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine andere FIPS 140-2 validierte kryptografische Module benötigen, verwenden Sie einen API Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter Federal Information Processing Standard () 140-2. FIPS

Wir empfehlen dringend, in Freitextfeldern wie z. B. im Feld Name keine sensiblen, identifizierenden Informationen wie Kontonummern von Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon EMR Serverless oder anderen AWS Diensten über die Konsole, API AWS CLI, oder AWS SDKs arbeiten. Alle Daten, die Sie in Amazon EMR Serverless oder andere Dienste eingeben, werden möglicherweise zur Aufnahme in Diagnoseprotokolle aufgenommen. Wenn Sie einem externen Server eine URL zur Verfügung stellen, geben Sie keine Anmeldeinformationen an, URL um Ihre Anfrage an diesen Server zu validieren.

Verschlüsselung im Ruhezustand

Die Datenverschlüsselung verhindert, dass nicht autorisierte Benutzer Daten auf einem Cluster und in den dazugehörigen Datenspeichersystemen lesen können. Dies gilt für auf persistenten Medien gespeicherte Daten, auch als Daten im Ruhezustand bezeichnet, und für Daten, die während der Übertragung im Netzwerk möglicherweise abgefangen werden, auch als Daten während der Übertragung bezeichnet.

Die Datenverschlüsselung erfordert Aktivierungsschlüssel und Zertifikate. Sie können aus verschiedenen Optionen wählen, darunter Schlüssel AWS Key Management Service, die von Amazon S3 verwaltet werden, sowie Schlüssel und Zertifikate von benutzerdefinierten Anbietern, die Sie bereitstellen. Bei der Nutzung AWS KMS als Schlüsselanbieter fallen Gebühren für die Speicherung und Verwendung von Verschlüsselungsschlüsseln an. Weitere Informationen finden Sie unter AWS KMS Preise.

Bevor Sie Verschlüsselungsoptionen angeben, entscheiden Sie sich für die Schlüssel- und Zertifikatsverwaltungssysteme, die Sie verwenden möchten. Erstellen Sie anschließend die Schlüssel und Zertifikate für die benutzerdefinierten Anbieter, die Sie im Rahmen der Verschlüsselungseinstellungen angeben.

Verschlüsselung im Ruhezustand für EMRFS Daten in Amazon S3

Jede EMR serverlose Anwendung verwendet eine bestimmte Release-Version, zu der auch EMRFS (EMRDateisystem) gehört. Die Amazon S3-Verschlüsselung funktioniert mit EMR Dateisystem (EMRFS) -Objekten, die aus Amazon S3 gelesen und in Amazon S3 geschrieben wurden. Sie können die serverseitige Amazon S3 S3-Verschlüsselung (SSE) oder die clientseitige Verschlüsselung (CSE) als Standardverschlüsselungsmodus angeben, wenn Sie die Verschlüsselung im Ruhezustand aktivieren. Optional können Sie verschiedene Verschlüsselungsmethoden für einzelne Buckets mithilfe von Per bucket encryption overrides (Bucket-weises Überschreiben der Verschlüsselung) angeben. Unabhängig davon, ob die Amazon S3-Verschlüsselung aktiviert ist, verschlüsselt Transport Layer Security (TLS) die EMRFS Objekte, die zwischen EMR Clusterknoten und Amazon S3 übertragen werden. Wenn Sie Amazon S3 CSE mit vom Kunden verwalteten Schlüsseln verwenden, muss Ihre Ausführungsrolle, mit der Jobs in einer EMR serverlosen Anwendung ausgeführt werden, Zugriff auf den Schlüssel haben. Ausführliche Informationen zur Amazon S3 S3-Verschlüsselung finden Sie unter Schützen von Daten mithilfe von Verschlüsselung im Amazon Simple Storage Service Developer Guide.

Anmerkung

Bei der Nutzung AWS KMS fallen Gebühren für die Speicherung und Verwendung von Verschlüsselungsschlüsseln an. Weitere Informationen finden Sie unter AWS KMS Preise.

Serverseitige Verschlüsselung im Amazon S3

Wenn Sie die Amazon-S3-Verschlüsselung einrichten, verschlüsselt Amazon S3 die Daten auf der Objektebene, während die Daten auf den Datenträger geschrieben werden, und entschlüsselt sie, wenn auf sie zugegriffen wird. Weitere Informationen SSE dazu finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung im Amazon Simple Storage Service Developer Guide.

Sie können zwischen zwei verschiedenen Schlüsselverwaltungssystemen wählen, wenn Sie SSE in Amazon EMR Serverless angeben:

  • SSE-S3 ‐ Amazon S3 verwaltet Schlüssel für Sie. Bei EMR Serverless ist keine zusätzliche Einrichtung erforderlich.

  • SSE- KMS ‐ Sie verwenden eine AWS KMS key , um Richtlinien einzurichten, die für EMR Serverless geeignet sind. Bei EMR Serverless ist keine zusätzliche Einrichtung erforderlich.

Um die AWS KMS Verschlüsselung für Daten zu verwenden, die Sie in Amazon S3 schreiben, haben Sie zwei Möglichkeiten, wenn Sie die verwenden StartJobRunAPI. Sie können entweder die Verschlüsselung für alles aktivieren, was Sie in Amazon S3 schreiben, oder Sie können die Verschlüsselung für Daten aktivieren, die Sie in einen bestimmten Bucket schreiben. Weitere Informationen zu finden Sie in der StartJobRun API Serverless Reference. EMR API

Um die AWS KMS Verschlüsselung für alle Daten zu aktivieren, die Sie in Amazon S3 schreiben, verwenden Sie die folgenden Befehle, wenn Sie den aufrufen StartJobRunAPI. 

--conf spark.hadoop.fs.s3.enableServerSideEncryption=true 
--conf spark.hadoop.fs.s3.serverSideEncryption.kms.keyId=<kms_id>

Um die AWS KMS Verschlüsselung für Daten zu aktivieren, die Sie in einen bestimmten Bucket schreiben, verwenden Sie die folgenden Befehle, wenn Sie den aufrufen StartJobRunAPI.

--conf spark.hadoop.fs.s3.bucket.<amzn-s3-demo-bucket1>.enableServerSideEncryption=true
--conf spark.hadoop.fs.s3.bucket.<amzn-s3-demo-bucket1>.serverSideEncryption.kms.keyId=<kms-id>

SSEmit vom Kunden bereitgestellten Schlüsseln (SSE-C) ist nicht für die Verwendung mit EMR Serverless verfügbar.

Clientseitige Verschlüsselung für Amazon S3

Bei der clientseitigen Amazon S3 S3-Verschlüsselung erfolgt die Amazon S3 S3-Verschlüsselung und -Entschlüsselung im EMRFS Client, der in jeder Amazon-Version verfügbar ist. EMR Objekte werden vor dem Hochladen nach Amazon S3 verschlüsselt und nach dem Herunterladen entschlüsselt. Der von Ihnen festgelegte Anbieter stellt den vom Client verwendeten Verschlüsselungsschlüssel bereit. Der Client kann Schlüssel verwenden, die von AWS KMS (CSE-KMS) bereitgestellt werden, oder eine benutzerdefinierte Java-Klasse, die den clientseitigen Stammschlüssel (-C) bereitstellt. CSE Die Verschlüsselungsspezifikationen zwischen CSE - KMS und CSE -C unterscheiden sich geringfügig, abhängig vom angegebenen Anbieter und den Metadaten des Objekts, das entschlüsselt oder verschlüsselt wird. Wenn Sie Amazon S3 CSE mit vom Kunden verwalteten Schlüsseln verwenden, muss Ihre Ausführungsrolle, mit der Jobs in einer EMR serverlosen Anwendung ausgeführt werden, Zugriff auf den Schlüssel haben. Zusätzliche KMS Gebühren können anfallen. Weitere Informationen zu diesen Unterschieden finden Sie unter Schützen von Daten mit clientseitiger Verschlüsselung im Amazon Simple Storage Service Developer Guide.

Verschlüsselung lokaler Datenträger

Daten, die im flüchtigen Speicher gespeichert sind, werden mit diensteigenen Schlüsseln verschlüsselt, wobei der kryptografische Algorithmus nach Industriestandard AES -256 verwendet wird.

Schlüsselverwaltung

Sie können so konfigurieren, dass Ihre Schlüssel automatisch KMS rotiert werden. KMS Dadurch werden Ihre Schlüssel einmal im Jahr rotiert, während alte Schlüssel auf unbestimmte Zeit gespeichert werden, sodass Ihre Daten weiterhin entschlüsselt werden können. Weitere Informationen finden Sie unter Rotieren von Kundenhauptschlüsseln.

Verschlüsselung während der Übertragung

Die folgenden anwendungsspezifischen Verschlüsselungsfunktionen sind mit Amazon EMR Serverless verfügbar:

  • Spark

    • Standardmäßig ist die Kommunikation zwischen Spark-Treibern und Executoren authentifiziert und intern. RPCDie Kommunikation zwischen Treibern und Executoren ist verschlüsselt.

  • Hive

    • Die Kommunikation zwischen dem AWS Glue-Metastore und EMR serverlosen Anwendungen erfolgt über. TLS

Sie sollten nur verschlüsselte Verbindungen über HTTPS (TLS) zulassen, indem Sie die SecureTransport Bedingung aws: in den Amazon S3 IAM S3-Bucket-Richtlinien verwenden.