AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts

AWS Lake Formation integriert in AWS Key Management Service(AWS KMS), damit Sie andere integrierte Dienste zum Verschlüsseln und Entschlüsseln von Daten an Amazon Simple Storage Service (Amazon S3) -Standorten einfacher einrichten können.

Beide vom Kunden verwalteten Schlüssel und Von AWS verwaltete Schlüssel werden unterstützt. Die clientseitige Verschlüsselung/Entschlüsselung wird nicht unterstützt.

Wichtig

Vermeiden Sie es, einen Amazon S3 S3-Bucket zu registrieren, für den Zahlungen durch den Antragsteller aktiviert ist. Bei Buckets, die bei Lake Formation registriert sind, wird die Rolle, mit der der Bucket registriert wurde, immer als der Anforderer angesehen. Wenn ein anderes AWS Konto auf den Bucket zugreift, wird dem Bucket-Besitzer der Datenzugriff in Rechnung gestellt, sofern die Rolle zu demselben Konto gehört wie der Bucket-Besitzer.

In diesem Abschnitt wird erklärt, wie Sie einen Amazon S3 S3-Standort unter den folgenden Umständen registrieren:

  • Die Daten am Amazon S3 S3-Standort werden mit einem KMS Schlüssel verschlüsselt, der in erstellt wurde AWS KMS.

  • Der Amazon S3 S3-Standort befindet sich nicht in demselben AWS Konto wie der AWS Glue Data Catalog.

  • Der KMS Schlüssel befindet sich entweder in demselben AWS Konto wie der Datenkatalog oder nicht.

Die Registrierung eines AWS KMS—verschlüsselten Amazon S3 S3-Buckets in AWS Konto B mithilfe einer AWS Identity and Access Management (IAM) -Rolle in AWS Konto A erfordert die folgenden Berechtigungen:

  • Die Rolle in Konto A muss Berechtigungen für den Bucket in Konto B gewähren.

  • Die Bucket-Richtlinie in Konto B muss der Rolle in Konto A Zugriffsberechtigungen gewähren.

  • Befindet sich der KMS Schlüssel in Konto B, muss die Schlüsselrichtlinie Zugriff auf die Rolle in Konto A gewähren, und die Rolle in Konto A muss Berechtigungen für den KMS Schlüssel gewähren.

Im folgenden Verfahren erstellen Sie eine Rolle in dem AWS Konto, das den Datenkatalog enthält (Konto A in der vorherigen Diskussion). Anschließend verwenden Sie diese Rolle, um den Standort zu registrieren. Lake Formation übernimmt diese Rolle beim Zugriff auf zugrunde liegende Daten in Amazon S3. Die übernommene Rolle verfügt über die erforderlichen Berechtigungen für den KMS Schlüssel. Daher müssen Sie Prinzipalen, die über ETL Jobs oder integrierte Dienste wie Amazon Athena z. B. auf die zugrunde liegenden Daten zugreifen, keine Berechtigungen für den KMS Schlüssel gewähren.

Wichtig

Sie können die dienstverknüpfte Rolle Lake Formation nicht verwenden, um einen Standort in einem anderen Konto zu registrieren. Sie müssen stattdessen eine benutzerdefinierte Rolle verwenden. Die Rolle muss die Anforderungen von erfüllen. Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden Weitere Informationen zur serviceverknüpften Rolle finden Sie unter Dienstbezogene Rollenberechtigungen für Lake Formation.

Bevor Sie beginnen

Überprüfen Sie die Anforderungen für die Rolle, mit der der Standort registriert wurde.

Um einen verschlüsselten Amazon S3 S3-Standort AWS kontenübergreifend zu registrieren

  1. Melden Sie sich mit demselben AWS Konto wie der Datenkatalog an AWS Management Console und öffnen Sie die IAM Konsole unterhttps://console.aws.amazon.com/iam/.

  2. Erstellen Sie eine neue Rolle oder zeigen Sie eine vorhandene Rolle an, die die Anforderungen in erfülltAnforderungen für Rollen, die zur Registrierung von Standorten verwendet werden. Stellen Sie sicher, dass die Rolle eine Richtlinie enthält, die Amazon S3 S3-Berechtigungen für den Standort gewährt.

  3. Wenn sich der KMS Schlüssel nicht in demselben Konto wie der Datenkatalog befindet, fügen Sie der Rolle eine Inline-Richtlinie hinzu, die die erforderlichen Berechtigungen für den KMS Schlüssel gewährt. Es folgt eine Beispielrichtlinie . Ersetzen <cmk-region> and <cmk-account-id> mit der Region und der Kontonummer des KMS Schlüssels. Ersetzen <key-id> mit der Schlüssel-ID.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey"
         ],
        "Resource": "arn:aws:kms:<cmk-region>:<cmk-account-id>:key/<key-id>"
        }
    ]
}

  4. Fügen Sie in der Amazon S3 S3-Konsole eine Bucket-Richtlinie hinzu, die der Rolle die erforderlichen Amazon S3 S3-Berechtigungen gewährt. Hier finden Sie ein Beispiel für eine Bucket-Richtlinie. Ersetzen <catalog-account-id> mit der AWS Kontonummer des Datenkatalogs, <role-name> mit dem Namen Ihrer Rolle und <bucket-name> mit dem Namen des Buckets.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>"
            },
            "Action":"s3:ListBucket",
            "Resource":"arn:aws:s3:::<bucket-name>"
        },
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>"
            },
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource":"arn:aws:s3:::<bucket-name>/*"
        }
    ]
}

  5. Fügen Sie in AWS KMS die Rolle als Benutzer des KMS Schlüssels hinzu.

    1. Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms. Melden Sie sich dann als Administratorbenutzer oder als Benutzer an, der die Schlüsselrichtlinie des Schlüssels ändern kann, der KMS zur Verschlüsselung des Speicherorts verwendet wird.

    2. Wählen Sie im Navigationsbereich die Option Vom Kunden verwaltete Schlüssel und dann den Namen des KMS Schlüssels aus.

    3. Wenn auf der Seite mit den KMS wichtigsten Details auf der Registerkarte Wichtige Richtlinie die JSON Ansicht der wichtigsten Richtlinie nicht angezeigt wird, wählen Sie Zur Richtlinienansicht wechseln aus.

    4. Wählen Sie im Abschnitt Wichtige Richtlinie die Option Bearbeiten aus und fügen Sie dem Allow use of the key Objekt den Amazon-Ressourcennamen (ARN) der Rolle hinzu, wie im folgenden Beispiel gezeigt.

      Anmerkung

      Wenn das Objekt fehlt, fügen Sie es mit den im Beispiel gezeigten Berechtigungen hinzu.

              ...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::<catalog-account-id>:role/<role-name>"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...

      Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels gestatten.

  6. Öffnen Sie die AWS Lake Formation Konsole unter https://console.aws.amazon.com/lakeformation/. Melden Sie sich als Data Lake-Administrator beim Data AWS Catalog-Konto an.

  7. Wählen Sie im Navigationsbereich unter Verwaltung die Option Data Lake-Standorte aus.

  8. Wählen Sie Standort registrieren aus.

  9. Geben Sie auf der Seite Standort registrieren für Amazon S3 S3-Pfad den Standortpfad als eins3://<bucket>/<prefix>. Ersetzen <bucket> mit dem Namen des Buckets und <prefix> mit dem Rest des Pfads für den Standort.

    Anmerkung

    Sie müssen den Pfad eingeben, da kontoübergreifende Buckets nicht in der Liste angezeigt werden, wenn Sie „Durchsuchen“ wählen.

  10. Wählen Sie IAMals Rolle die Rolle aus Schritt 2 aus.

  11. Wählen Sie Standort registrieren aus.