Verschlüsseln von Daten, die von AWS Glue geschrieben werden - AWS Glue
Einrichten von AWS Glue zur Verwendung der SicherheitskonfigurationenErstellen einer Route zu AWS KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln von Daten, die von AWS Glue geschrieben werden

Eine Sicherheitskonfiguration ist eine Reihe von Sicherheitseigenschaften, die von AWS Glue verwendet werden können. Sie können eine Sicherheitskonfiguration verwenden, um Daten im Ruhezustand zu verschlüsseln. Die folgenden Szenarien zeigen einige der Möglichkeiten, wie Sie eine Sicherheitskonfiguration verwenden können.

  • Fügen Sie einem AWS Glue -Crawler eine Sicherheitskonfiguration an, um verschlüsselte Amazon CloudWatch Logs zu schreiben. Weitere Informationen zum Anfügen von Sicherheitskonfigurationen an Crawler finden Sie unter Schritt 3: Konfigurieren der Sicherheitseinstellungen.

  • Fügen Sie eine Sicherheitskonfiguration an einen ETL-Auftrag (Extract, Transform, Load) an, um verschlüsselte Amazon Simple Storage Service (Amazon S3)-Ziele und verschlüsselte CloudWatch Protokolle zu schreiben.

  • Fügen Sie eine Sicherheitskonfiguration an einen ETL-Auftrag an, um seine Auftragslesezeichen als verschlüsselte Amazon-S3-Daten zu schreiben.

  • Fügen Sie eine Sicherheitskonfiguration an einen Entwicklungsendpunkt an, um verschlüsselte Amazon-S3-Ziele zu schreiben.

Wichtig

Derzeit überschreibt eine Sicherheitskonfiguration jede serverseitige Verschlüsselungseinstellung (SSE-S3), die als ETL-Auftragsparameter übergeben wird. Wenn also sowohl eine Sicherheitskonfiguration als auch ein SSE-S3-Parameter einem Auftrag zugeordnet sind, wird der SSE-S3-Parameter ignoriert.

Weitere Informationen zu den Sicherheitskonfigurationen finden Sie unter Sicherheitskonfigurationen auf der AWS Glue Konsole verwalten.

Themen

Einrichten von AWS Glue zur Verwendung der Sicherheitskonfigurationen

Führen Sie diese Schritte aus, um Ihre AWS Glue-Umgebung für die Verwendung von Sicherheitskonfigurationen einzurichten.

  1. Erstellen oder aktualisieren Sie Ihre AWS Key Management Service (AWS KMS)-Schlüssel, um den IAM-Rollen AWS KMS Berechtigungen zu erteilen, die an AWS Glue Crawler und Aufträge zur Verschlüsselung von CloudWatch Protokollen übergeben werden. Weitere Informationen finden Sie unter Verschlüsseln von Protokolldaten in CloudWatch Protokollen mit AWS KMS im Amazon- CloudWatch Logs-Benutzerhandbuch.

    Im folgenden Beispiel sind "role1", "role2" und "role3" IAM-Rollen, die an Crawler und Aufträge übergeben werden.

    {
       "Effect": "Allow",
       "Principal": { "Service": "logs.region.amazonaws.com",
       "AWS": [
                "role1",
                "role2",
                "role3"
             ] },
                    "Action": [
                           "kms:Encrypt*",
                           "kms:Decrypt*",
                           "kms:ReEncrypt*",
                           "kms:GenerateDataKey*",
                           "kms:Describe*"
                    ],
                    "Resource": "*"
}

    Die -ServiceAnweisung, die als angezeigt wird"Service": "logs.region.amazonaws.com", ist erforderlich, wenn Sie den -Schlüssel zum Verschlüsseln von CloudWatch Protokollen verwenden.

  2. Vergewissern Sie sich, dass der AWS KMS-Schlüssel vor seiner Verwendung ENABLED ist.

Anmerkung

Wenn Sie Iceberg als Ihr Data Lake Framework verwenden, verfügen die Iceberg-Tabellen über eigene Verfahren, die serverseitige Verschlüsselung ermöglichen. Sie sollten diese Konfiguration zusätzlich zu den Sicherheitskonfigurationen von AWS Glue aktivieren. Um die serverseitige Verschlüsselung für Iceberg-Tabellen zu aktivieren, lesen Sie die Anleitung in der Iceberg-Dokumentation.

Erstellen einer Route zu AWS KMS für VPC- Aufträge und Crawler

Sie können sich direkt mit AWS KMS über einen privaten Endpunkt in Ihrer Virtual Private Cloud (VPC) verbinden, anstatt sich über das Internet zu verbinden. Wenn Sie einen VPC-Endpunkt verwenden, findet die Kommunikation zwischen Ihrer VPC und AWS KMS vollständig innerhalb des AWS-Netzwerks statt.

Sie können einen AWS KMS-VPC-Endpunkt innerhalb einer VPC erstellen. Ohne diesen Schritt können Ihre Aufträge oder Crawler mit einem kms timeout auf Aufträgen oder internal service exception auf Crawlern fehlschlagen. Detaillierte Anweisungen finden Sie unter Verbinden zu AWS KMS über einen VPC-Endpunkt im AWS Key Management Service Developer-Leitfaden.

Wenn Sie diese Anweisungen befolgen, müssen Sie auf der VPC-Konsole Folgendes tun:

  • Wählen Sie Enable Private DNS name (Privaten DNS-Namen aktivieren) aus.

  • Wählen Sie die Security group (Sicherheitsgruppe) (mit selbstreferenzierender Regel), die Sie für Ihren Auftrag oder Crawler verwenden, der auf die Java Database Connectivity (JDBC) zugreift. Weitere Informationen zu AWS Glue-Verbindungen finden Sie unter Herstellen einer Verbindung zu Daten.

Wenn Sie eine Sicherheitskonfiguration zu einem Crawler oder Auftrag hinzufügen, der auf JDBC-Datenspeicher zugreift, muss AWS Glue eine Route zum AWS KMS-Endpunkt haben. Sie können die Route mit einem NAT-Gateway (Network Address Translation) oder mit einem AWS KMS-VPC-Endpunkt versehen. Informationen zum Erstellen eines NAT-Gateways finden Sie unter NAT-Gateways im Amazon-VPC-Benutzerhandbuch.