Registrierung eines verschlüsselten Amazon S3 S3-Standorts

Lake Formation ist in AWS Key Management Service(AWS KMS) integriert, sodass Sie andere integrierte Dienste zum Verschlüsseln und Entschlüsseln von Daten an Amazon Simple Storage Service (Amazon S3) -Standorten einfacher einrichten können.

Beide werden vom Kunden verwaltet AWS KMS keys und Von AWS verwaltete Schlüssel werden unterstützt. Derzeit wird die clientseitige Verschlüsselung/Entschlüsselung nur mit Athena unterstützt.

Sie müssen eine Rolle AWS Identity and Access Management (IAM) angeben, wenn Sie einen Amazon S3 S3-Standort registrieren. Für verschlüsselte Amazon S3 S3-Standorte muss entweder die Rolle über die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit dem verfügen AWS KMS key, oder die KMS Schlüsselrichtlinie muss Berechtigungen für den Schlüssel zur Rolle gewähren.

Wichtig

Vermeiden Sie es, einen Amazon S3 S3-Bucket zu registrieren, für den Zahlungen durch den Antragsteller aktiviert ist. Bei Buckets, die bei Lake Formation registriert sind, wird die Rolle, mit der der Bucket registriert wurde, immer als der Anforderer angesehen. Wenn ein anderes AWS Konto auf den Bucket zugreift, wird dem Bucket-Besitzer der Datenzugriff in Rechnung gestellt, sofern die Rolle zu demselben Konto gehört wie der Bucket-Besitzer.

Die einfachste Methode, den Standort zu registrieren, besteht darin, die dienstverknüpfte Rolle Lake Formation zu verwenden. Diese Rolle gewährt die erforderlichen Lese-/Schreibberechtigungen für den Standort. Sie können auch eine benutzerdefinierte Rolle verwenden, um den Standort zu registrieren, vorausgesetzt, er erfüllt die Anforderungen in. Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden

Wichtig

Wenn Sie eine verwendet haben Von AWS verwalteter Schlüssel , um den Amazon S3 S3-Standort zu verschlüsseln, können Sie die serviceverknüpfte Rolle Lake Formation nicht verwenden. Sie müssen eine benutzerdefinierte Rolle verwenden und der Rolle IAM Berechtigungen für den Schlüssel hinzufügen. Einzelheiten finden Sie weiter unten in diesem Abschnitt.

In den folgenden Verfahren wird erklärt, wie Sie einen Amazon S3 S3-Standort registrieren, der entweder mit einem vom Kunden verwalteten Schlüssel oder einem verschlüsselt ist Von AWS verwalteter Schlüssel.

Registrierung eines mit einem vom Kunden verwalteten Schlüssel verschlüsselten Standorts
Registrierung eines mit einem verschlüsselten Standort Von AWS verwalteter Schlüssel

Bevor Sie beginnen

Prüfen Sie die Anforderungen für die Rolle, die zur Registrierung des Standorts verwendet wurde.

Um einen Amazon S3 S3-Standort zu registrieren, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist

Anmerkung

Wenn sich der KMS Schlüssel oder der Amazon S3 S3-Standort nicht in demselben AWS Konto wie der Datenkatalog befinden, folgen Sie AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts stattdessen den Anweisungen unter.

Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms und melden Sie sich als AWS Identity and Access Management (IAM) Administratorbenutzer oder als Benutzer an, der die Schlüsselrichtlinie des Schlüssels ändern kann, der KMS zur Verschlüsselung des Speicherorts verwendet wird.
Wählen Sie im Navigationsbereich die Option Vom Kunden verwaltete Schlüssel und dann den Namen des gewünschten KMS Schlüssels aus.
Wählen Sie auf der KMS Seite mit den wichtigsten Details die Registerkarte Schlüsselrichtlinie aus, und führen Sie dann einen der folgenden Schritte aus, um Ihre benutzerdefinierte Rolle oder die mit dem Lake Formation Service verknüpfte Rolle als KMS Schlüsselbenutzer hinzuzufügen:
- Wenn die Standardansicht angezeigt wird (mit den Abschnitten Schlüsseladministratoren, Schlüssellöschung, Schlüsselbenutzer und Andere AWS Konten), fügen Sie im Abschnitt Schlüsselbenutzer Ihre benutzerdefinierte Rolle oder die mit dem Lake Formation Service verknüpfte Rolle AWSServiceRoleForLakeFormationDataAccess hinzu.
- Wenn die Schlüsselrichtlinie (JSON) angezeigt wird — Bearbeiten Sie die Richtlinie, um Ihre benutzerdefinierte Rolle oder die mit dem Lake Formation Service verknüpfte Rolle AWSServiceRoleForLakeFormationDataAccess zum Objekt „Verwendung des Schlüssels zulassen“ hinzuzufügen, wie im folgenden Beispiel gezeigt.
  
  Anmerkung
  Wenn das Objekt fehlt, fügen Sie es mit den im Beispiel gezeigten Berechtigungen hinzu. In dem Beispiel wird die serviceverknüpfte Rolle verwendet.
```
        ...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
                    "arn:aws:iam::111122223333:user/keyuser"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...
```
Öffnen Sie die AWS Lake Formation Konsole unter. https://console.aws.amazon.com/lakeformation/ Melden Sie sich als Data Lake-Administrator oder als Benutzer mit der entsprechenden lakeformation:RegisterResource IAM Berechtigung an.
Wählen Sie im Navigationsbereich unter Verwaltung die Option Data Lake-Standorte aus.
Wählen Sie Speicherort registrieren und anschließend Durchsuchen, um einen Amazon Simple Storage Service (Amazon S3) -Pfad auszuwählen.
(Optional, aber dringend empfohlen) Wählen Sie Standortberechtigungen überprüfen, um eine Liste aller vorhandenen Ressourcen am ausgewählten Amazon S3 S3-Standort und deren Berechtigungen anzuzeigen.

Die Registrierung des ausgewählten Standorts kann dazu führen, dass Ihre Lake Formation Formation-Benutzer Zugriff auf Daten erhalten, die sich bereits an diesem Standort befinden. Durch das Anzeigen dieser Liste können Sie sicherstellen, dass die vorhandenen Daten sicher bleiben.
Wählen Sie als IAMRolle entweder die AWSServiceRoleForLakeFormationDataAccess serviceverknüpfte Rolle (Standard) oder Ihre benutzerdefinierte Rolle, die dem Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden entspricht.
Wählen Sie „Standort registrieren“.

Weitere Informationen zur serviceverknüpften Rolle finden Sie unter Dienstbezogene Rollenberechtigungen für Lake Formation.

Um einen Amazon S3 S3-Standort zu registrieren, der verschlüsselt ist mit einem Von AWS verwalteter Schlüssel

Wichtig

Wenn sich der Amazon S3 S3-Standort nicht in demselben AWS Konto wie der Datenkatalog befindet, folgen Sie AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts stattdessen den Anweisungen unter.

Erstellen Sie eine IAM Rolle, mit der der Standort registriert werden soll. Stellen Sie sicher, dass es die unter aufgeführten Anforderungen erfülltAnforderungen für Rollen, die zur Registrierung von Standorten verwendet werden.
Fügen Sie der Rolle die folgende Inline-Richtlinie hinzu. Sie gewährt Berechtigungen für den Schlüssel zur Rolle. Die Resource Spezifikation muss den Amazon-Ressourcennamen (ARN) von angeben. Von AWS verwalteter Schlüssel Sie können das ARN von der AWS KMS Konsole aus abrufen. Um die richtigen Informationen zu erhaltenARN, stellen Sie sicher, dass Sie sich bei der AWS KMS Konsole mit demselben AWS Konto und derselben Region anmelden Von AWS verwalteter Schlüssel , mit der der Speicherort verschlüsselt wurde.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "<Von AWS verwalteter Schlüssel ARN>"
    }
  ]
}
```
Öffnen Sie die AWS Lake Formation Konsole unter. https://console.aws.amazon.com/lakeformation/ Melden Sie sich als Data Lake-Administrator oder als Benutzer mit der entsprechenden lakeformation:RegisterResource IAM Berechtigung an.
Wählen Sie im Navigationsbereich unter Verwaltung die Option Data Lake-Standorte aus.
Wählen Sie Standort registrieren und anschließend Durchsuchen, um einen Amazon S3 S3-Pfad auszuwählen.
(Optional, aber dringend empfohlen) Wählen Sie Standortberechtigungen überprüfen, um eine Liste aller vorhandenen Ressourcen am ausgewählten Amazon S3 S3-Standort und deren Berechtigungen anzuzeigen.

Die Registrierung des ausgewählten Standorts kann dazu führen, dass Ihre Lake Formation Formation-Benutzer Zugriff auf Daten erhalten, die sich bereits an diesem Standort befinden. Durch das Anzeigen dieser Liste können Sie sicherstellen, dass die vorhandenen Daten sicher bleiben.
Wählen Sie IAMals Rolle die Rolle aus, die Sie in Schritt 1 erstellt haben.
Wählen Sie Standort registrieren aus.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Registrierung eines Amazon S3 S3-Standorts

Registrierung eines Amazon S3 S3-Standorts in einem anderen AWS Konto