Verwalteter Speicher Amazon-S3-Buckets Amazon CloudWatch Erforderliche Berechtigungen

Protokolle verschlüsseln

Verschlüsseln von EMR serverlosen Protokollen mit verwaltetem Speicher

Um Protokolle im verwalteten Speicher mit Ihrem eigenen KMS Schlüssel zu verschlüsseln, verwenden Sie die managedPersistenceMonitoringConfiguration Konfiguration, wenn Sie eine Jobausführung einreichen.


{
    "monitoringConfiguration": {
        "managedPersistenceMonitoringConfiguration" : {
            "encryptionKeyArn": "key-arn"
        }
    }
}

Verschlüsseln von EMR serverlosen Protokollen mit Amazon S3 S3-Buckets

Um Logs in Ihrem Amazon S3 S3-Bucket mit Ihrem eigenen KMS Schlüssel zu verschlüsseln, verwenden Sie die s3MonitoringConfiguration Konfiguration, wenn Sie einen Job-Lauf einreichen.


{
    "monitoringConfiguration": {
        "s3MonitoringConfiguration": {
            "logUri": "s3://amzn-s3-demo-logging-bucket/logs/",
            "encryptionKeyArn": "key-arn"
        }
    }
}

EMRServerlose Logs mit Amazon verschlüsseln CloudWatch

Um Logs in Amazon CloudWatch mit Ihrem eigenen KMS Schlüssel zu verschlüsseln, verwenden Sie die cloudWatchLoggingConfiguration Konfiguration, wenn Sie einen Job-Lauf einreichen.


{
    "monitoringConfiguration": {
        "cloudWatchLoggingConfiguration": {
            "enabled": true,
            "encryptionKeyArn": "key-arn"
         }
     }
}

Erforderliche Berechtigungen für die Protokollverschlüsselung

In diesem Abschnitt

Erforderliche Benutzerberechtigungen
Berechtigungen für Verschlüsselungsschlüssel für Amazon S3 und verwalteten Speicher
Berechtigungen für Verschlüsselungsschlüssel für Amazon CloudWatch

Erforderliche Benutzerberechtigungen

Der Benutzer, der den Job einreicht oder die Protokolle oder die Anwendung ansieht, UIs muss über die erforderlichen Berechtigungen zur Verwendung des Schlüssels verfügen. Sie können die Berechtigungen entweder in der KMS Schlüsselrichtlinie oder in der IAM Richtlinie für den Benutzer, die Gruppe oder die Rolle angeben. Wenn der Benutzer, der den Job einreicht, nicht über die KMS Schlüsselberechtigungen verfügt, lehnt EMR Serverless die Übermittlung der Auftragsausführung ab.

Beispiel für eine Schlüsselrichtlinie

Die folgende Schlüsselrichtlinie stellt die Berechtigungen für kms:GenerateDataKey und bereitkms:Decrypt:


{
    "Effect": "Allow",
    "Principal":{
       "AWS": "arn:aws:iam::111122223333:user/user-name"
     },
     "Action": [
       "kms:GenerateDataKey",       
       "kms:Decrypt"
      ],
     "Resource": "*"
 }

Beispiel für IAM eine Richtlinie

Die folgende IAM Richtlinie bietet die Berechtigungen für kms:GenerateDataKey undkms:Decrypt:


{
 "Version": "2012-10-17",
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "kms:GenerateDataKey",
           "kms:Decrypt"
      ],
     "Resource": "key-arn"
   }
}

Um die Spark- oder Tez-Benutzeroberfläche zu starten, müssen Sie Ihren Benutzern, Gruppen oder Rollen die emr-serverless:GetDashboardForJobRun API folgenden Zugriffsberechtigungen erteilen:


{
 "Version": "2012-10-17",
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "emr-serverless:GetDashboardForJobRun"
      ]
   }
}

Berechtigungen für Verschlüsselungsschlüssel für Amazon S3 und verwalteten Speicher

Wenn Sie Protokolle mit Ihrem eigenen Verschlüsselungsschlüssel entweder im verwalteten Speicher oder in Ihren S3-Buckets verschlüsseln, müssen Sie die KMS Schlüsselberechtigungen wie folgt konfigurieren.

Der emr-serverless.amazonaws.com Principal muss in der Richtlinie für den Schlüssel über die folgenden Berechtigungen verfügen: KMS


{
    "Effect": "Allow",
    "Principal":{
       "Service": "emr-serverless.amazonaws.com" 
     },
     "Action": [
       "kms:Decrypt",
       "kms:GenerateDataKey"
      ],
     "Resource": "*"
     "Condition": {
       "StringLike": {
         "aws:SourceArn": "arn:aws:emr-serverless:region:aws-account-id:/applications/application-id"
       }
     }
 }

Aus Sicherheitsgründen empfehlen wir, der Schlüsselrichtlinie einen aws:SourceArn KMS Bedingungsschlüssel hinzuzufügen. Der IAM globale Bedingungsschlüssel aws:SourceArn trägt dazu bei, dass EMR Serverless den KMS Schlüssel nur für eine Anwendung ARN verwendet.

Die Job-Runtime-Rolle muss in ihrer IAM Richtlinie über die folgenden Berechtigungen verfügen:


{
 "Version": "2012-10-17",
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "kms:GenerateDataKey",
           "kms:Decrypt"
      ],
     "Resource": "key-arn"
   }
}

Berechtigungen für Verschlüsselungsschlüssel für Amazon CloudWatch

Verwenden Sie die folgende IAM Richtlinie für die Job-Runtime-Rolle, ARN um den KMS Schlüssel Ihrer Protokollgruppe zuzuordnen.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "logs:AssociateKmsKey"
        ],
        "Resource": [
            "arn:aws:logs:AWS-Region:111122223333:log-group:my-log-group-name:*"
        ]
    }
}

Konfigurieren Sie die KMS Schlüsselrichtlinie, um Amazon KMS Berechtigungen zu gewähren CloudWatch:


{
    "Version": "2012-10-17",
    "Id": "key-default-1",
    "Statement": 
     {
        "Effect": "Allow",
        "Principal": {
            "Service": "logs.AWS-Region.amazonaws.com"
        },
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey",
        ],
        "Resource": "*",
        "Condition": {
            "ArnLike": {
                "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:AWS-Region:111122223333:*"
            }
        }
     }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Rotierende Protokolle

Log4j2 konfigurieren