Hinzufügen einer Sicherheitskonfiguration

Verwaltung von Sicherheitskonfigurationen auf dem AWS Glue Konsole

Warnung

AWS Glue Sicherheitskonfigurationen werden derzeit in Ray-Jobs nicht unterstützt.

Eine Sicherheitskonfiguration in AWS Glue enthält die Eigenschaften, die beim Schreiben verschlüsselter Daten benötigt werden. Sie erstellen Sicherheitskonfigurationen auf dem AWS Glue Konsole zur Bereitstellung der Verschlüsselungseigenschaften, die von Crawlern, Jobs und Entwicklungsendpunkten verwendet werden.

Eine Liste aller Sicherheitskonfigurationen, die Sie erstellt haben, finden Sie unter AWS Glue Konsolen Sie unter https://console.aws.amazon.com/glue/und wählen Sie im Navigationsbereich Sicherheitskonfigurationen aus.

Die Liste der Sicherheitskonfigurationen zeigt die folgenden Eigenschaften für jede Konfiguration an:

Name: Der eindeutige Name, den Sie bei der Erstellung der Konfiguration angegeben haben. Der Name darf Buchstaben (A–Z), Zahlen (0–9), Bindestriche (-) oder Unterstriche (_) enthalten und bis zu 255 Zeichen lang sein.
Amazon-S3-Verschlüsselung aktivieren: Wenn diese Option aktiviert ist, wird der Amazon Simple Storage Service (Amazon S3)-Verschlüsselungsmodus wie zum Beispiel SSE-KMS oder SSE-S3 für Metadatenspeicherung im Datenkatalog verwendet.
Verschlüsselung von CloudWatch Amazon-Protokollen aktivieren: Wenn aktiviert, wird der Amazon S3 S3-Verschlüsselungsmodus SSE-KMS aktiviert, z. B. beim Schreiben von Protokollen an Amazon CloudWatch.
Erweiterte Einstellungen: Verschlüsselung von Auftrags-Lesezeichen aktivieren: Wenn diese Option aktiviert ist, wird der Amazon S3-Verschlüsselungsmodus (z. B. CSE-KMS) aktiviert, wenn Aufträge mit Lesezeichen versehen werden.

Sie können Konfigurationen im Abschnitt Security configurations (Sicherheitskonfigurationen) auf der Konsole hinzufügen oder löschen. Um weitere Details über eine Konfiguration zu sehen, wählen Sie den Namen der Konfiguration in der Liste aus. Zu den Details gehören die Informationen, die Sie beim Erstellen der Konfiguration definiert haben.

Hinzufügen einer Sicherheitskonfiguration

Um eine Sicherheitskonfiguration hinzuzufügen, verwenden Sie den AWS Glue Wählen Sie in der Konsole auf der Seite Sicherheitskonfigurationen die Option Sicherheitskonfiguration hinzufügen aus.

Der Screenshot zeigt die Seite „Hinzufügen von Sicherheitskonfiguration“

Eigenschaften der Sicherheitskonfiguration

Geben Sie einen eindeutigen Namen für die Sicherheitskonfiguration ein. Der Name darf Buchstaben (A–Z), Zahlen (0–9), Bindestriche (-) oder Unterstriche (_) enthalten und bis zu 255 Zeichen lang sein.

Verschlüsselungseinstellungen

Sie können die Verschlüsselung im Ruhezustand für Metadaten aktivieren, die im Datenkatalog in Amazon S3 und in Protokollen in Amazon CloudWatch gespeichert sind. Um die Verschlüsselung von Daten und Metadaten mit AWS Key Management Service (AWS KMS) -Schlüsseln auf der AWS Glue Konsole: Fügen Sie dem Konsolenbenutzer eine Richtlinie hinzu. Diese Richtlinie muss die zulässigen Ressourcen als wichtige Amazon-Ressourcennamen (ARNs) angeben, die zur Verschlüsselung von Amazon S3-Datenspeichern verwendet werden, wie im folgenden Beispiel.


{
"Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt",    
    "kms:Encrypt"],
  "Resource": "arn:aws:kms:region:account-id:key/key-id"}
}

Wichtig

Wenn eine Sicherheitskonfiguration an einen Crawler oder Job angehängt wird, muss die übergebene IAM-Rolle über Berechtigungen verfügen. AWS KMS Weitere Informationen finden Sie unter Verschlüsseln von Daten, die von AWS Glue geschrieben werden.

Wenn Sie eine Konfiguration definieren, können Sie Werte für die folgenden Eigenschaften angeben:

S3-Verschlüsselung aktivieren

Wenn Sie Amazon S3 S3-Daten schreiben, verwenden Sie entweder serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) oder serverseitige Verschlüsselung mit AWS KMS verwalteten Schlüsseln (SSE-KMS). Dies ist ein optionales Feld. Um den Zugriff auf Amazon S3 zu ermöglichen, wählen Sie einen AWS KMS Schlüssel aus, oder wählen Sie Enter a key ARN und geben Sie den ARN für den Schlüssel ein. Geben Sie den ARN in der Form arn:aws:kms:region:account-id:key/key-id ein. Sie können den ARN auch in Form eines Schlüssel-Alias bereitstellen, wie z. B. arn:aws:kms:region:account-id:alias/alias-name.

Wenn Sie die Spark-Benutzeroberfläche für Ihren Auftrag aktivieren, wird die auf Amazon S3 hochgeladene Spark-Benutzeroberflächen-Protokolldatei mit derselben Verschlüsselung angewendet.

Wichtig

AWS Glue unterstützt nur symmetrische Kunden-Masterschlüssel (CMKs). In der Liste der AWS KMS -Schlüssel werden nur symmetrische Schlüssel angezeigt. Wenn Sie jedoch „ AWS KMS Schlüssel-ARN auswählen“ auswählen, können Sie in der Konsole einen ARN für einen beliebigen Schlüsseltyp eingeben. Stellen Sie sicher, dass Sie nur ARNs für symmetrische Schlüssel eingeben.

Aktivieren Sie die CloudWatch Protokollverschlüsselung

Die serverseitige Verschlüsselung (SSE-KMS) wird zur Verschlüsselung von Protokollen verwendet. CloudWatch Dies ist ein optionales Feld. Um ihn zu aktivieren, wählen Sie einen AWS KMS Schlüssel aus, oder wählen Sie Einen Schlüssel-ARN eingeben und geben Sie den ARN für den Schlüssel ein. Geben Sie den ARN in der Form arn:aws:kms:region:account-id:key/key-id ein. Sie können den ARN auch in Form eines Schlüssel-Alias bereitstellen, wie z. B. arn:aws:kms:region:account-id:alias/alias-name.

Erweiterte Einstellungen: Verschlüsselung von Auftrags-Lesezeichen

Es wird eine Client-seitige Verschlüsselung (CSE-KMS) verwendet, um Auftrags-Lesezeichen zu verschlüsseln. Dies ist ein optionales Feld. Die Lesezeichendaten werden verschlüsselt, bevor sie zur Speicherung an Amazon S3 gesendet werden. Um ihn zu aktivieren, wählen Sie einen AWS KMS Schlüssel aus, oder wählen Sie Einen Schlüssel-ARN eingeben und geben Sie den ARN für den Schlüssel ein. Geben Sie den ARN in der Form arn:aws:kms:region:account-id:key/key-id ein. Sie können den ARN auch in Form eines Schlüssel-Alias bereitstellen, wie z. B. arn:aws:kms:region:account-id:alias/alias-name.

Weitere Informationen finden Sie in den folgenden Themen im Benutzerhandbuch zum Amazon Simple Storage Service:

Weitere Informationen über SSE-S3 finden Sie unter Protecting Data Using Server-Side Encryption with Amazon S3-Managed Encryption Keys (SSE-S3) (Schutz von Daten durch serverseitige Verschlüsselung mit Amazon S3-Managed Encryption Keys (SSE-S3)).
Weitere Informationen dazu SSE-KMS finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit AWS KMS keys.
Informationen zu CSE-KMS finden Sie unter Verwenden eines in AWS KMS gespeicherten KMS-Schlüssels.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verschlüsselung von Daten, die geschrieben wurden von AWS Glue

Verschlüsseln von Daten während der Übertragung