Verwendung von vom Kunden verwalteten Schlüsseln zur Verschlüsselung - Amazon Managed Workflows für Apache Airflow
Was wird unterstütztZuschüsse für die Verschlüsselung verwendenRichtlinien für ZuschüsseWichtige Richtlinien anhängen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von vom Kunden verwalteten Schlüsseln zur Verschlüsselung

Sie können optional einen vom Kunden verwalteten Schlüssel für die Datenverschlüsselung in Ihrer Umgebung bereitstellen. Sie müssen den vom Kunden verwalteten KMS Schlüssel in derselben Region wie Ihre MWAA Amazon-Umgebungsinstanz und Ihr Amazon S3-Bucket erstellen, in dem Sie Ressourcen für Ihre Workflows speichern. Wenn sich der von Ihnen angegebene vom Kunden verwaltete KMS Schlüssel in einem anderen Konto befindet als dem, mit dem Sie eine Umgebung konfiguriert haben, müssen Sie den Schlüssel angeben, indem Sie ihn ARN für den kontoübergreifenden Zugriff verwenden. Weitere Informationen zum Erstellen von Schlüsseln finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.

Was wird unterstützt

AWS KMS Funktion Unterstützt

Eine AWS KMS Schlüssel-ID oder ARN.

Ja

Ein AWS KMS Schlüsselalias.

Nein

Ein Schlüssel AWS KMS für mehrere Regionen.

Nein

Zuschüsse für die Verschlüsselung verwenden

In diesem Thema werden die Zuschüsse beschrieben, MWAA die Amazon in Ihrem Namen an einen vom Kunden verwalteten KMS Schlüssel anhängt, um Ihre Daten zu ver- und entschlüsseln.

Funktionsweise

Es gibt zwei ressourcenbasierte Zugriffskontrollmechanismen, die von einem vom AWS KMS Kunden verwalteten KMS Schlüssel unterstützt werden: eine Schlüsselrichtlinie und eine Gewährung.

Eine Schlüsselrichtlinie wird verwendet, wenn die Berechtigung größtenteils statisch ist und im synchronen Servicemodus verwendet wird. Eine Erteilung wird verwendet, wenn dynamischere und detailliertere Berechtigungen erforderlich sind, z. B. wenn ein Dienst unterschiedliche Zugriffsberechtigungen für sich selbst oder andere Konten definieren muss.

Amazon MWAA verwendet vier Zuschussrichtlinien und fügt sie Ihrem vom Kunden verwalteten KMS Schlüssel hinzu. Dies ist auf die detaillierten Berechtigungen zurückzuführen, die für eine Umgebung erforderlich sind, um ruhende Daten aus CloudWatch Logs, SQS Amazon-Warteschlangen, Aurora SQL Postgre-Datenbankdatenbank, Secrets Manager, Amazon S3-Bucket und DynamoDB-Tabellen zu verschlüsseln.

Wenn Sie eine MWAA Amazon-Umgebung erstellen und einen vom Kunden verwalteten KMS Schlüssel angeben, MWAA fügt Amazon die Gewährungsrichtlinien Ihrem vom Kunden verwalteten KMS Schlüssel hinzu. Diese Richtlinien ermöglichen es Amazon, Ihren vom Kunden verwalteten KMS Schlüssel airflow.region}.amazonaws.com zu verwenden, um MWAA in Ihrem Namen Ressourcen zu verschlüsseln, die Amazon MWAA gehören.

Amazon MWAA erstellt in Ihrem Namen zusätzliche Zuschüsse und fügt diese einem bestimmten KMS Schlüssel hinzu. Dazu gehören Richtlinien zur Einstellung eines Zuschusses, wenn Sie Ihre Umgebung löschen, zur Verwendung Ihres vom Kunden verwalteten KMS Schlüssels für die clientseitige Verschlüsselung (CSE) und für die AWS Fargate Ausführungsrolle, die auf Geheimnisse zugreifen muss, die durch Ihren vom Kunden verwalteten Schlüssel in Secrets Manager geschützt sind.

Richtlinien für Zuschüsse

Amazon MWAA fügt in Ihrem Namen einem vom Kunden verwalteten KMS Schlüssel die folgenden ressourcenbasierten Policy-Zuschüsse hinzu. Diese Richtlinien ermöglichen es dem Stipendiaten und dem Auftraggeber (AmazonMWAA), die in der Richtlinie definierten Aktionen durchzuführen.

Zuschuss 1: Wird zur Erstellung von Ressourcen auf Datenebene verwendet

{
            "Name": "mwaa-grant-for-env-mgmt-role-environment name",
            "GranteePrincipal": "airflow.region.amazonaws.com",
            "RetiringPrincipal": "airflow.region.amazonaws.com",
            "Operations": [
              "kms:Encrypt",
              "kms:Decrypt",
              "kms:ReEncrypt*",
              "kms:GenerateDataKey*",
              "kms:CreateGrant",
              "kms:DescribeKey",
              "kms:RetireGrant"
            ]
          }

Grant 2: wird für den ControllerLambdaExecutionRole Zugriff verwendet

{
            "Name": "mwaa-grant-for-lambda-exec-environment name",
            "GranteePrincipal": "airflow.region.amazonaws.com",
            "RetiringPrincipal": "airflow.region.amazonaws.com",
            "Operations": [
              "kms:Encrypt",
              "kms:Decrypt",
              "kms:ReEncrypt*",
              "kms:GenerateDataKey*",
              "kms:DescribeKey",
              "kms:RetireGrant"
            ]
          }

Grant 3: wird für den CfnManagementLambdaExecutionRole Zugriff verwendet

{
              "Name": " mwaa-grant-for-cfn-mgmt-environment name",
              "GranteePrincipal": "airflow.region.amazonaws.com",
              "RetiringPrincipal": "airflow.region.amazonaws.com",
              "Operations": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
              ]
            }

Grant 4: Wird für die Fargate-Ausführungsrolle verwendet, um auf Backend-Geheimnisse zuzugreifen

{
                "Name": "mwaa-fargate-access-for-environment name",
                "GranteePrincipal": "airflow.region.amazonaws.com",
                "RetiringPrincipal": "airflow.region.amazonaws.com",
                "Operations": [
                  "kms:Encrypt",
                  "kms:Decrypt",
                  "kms:ReEncrypt*",
                  "kms:GenerateDataKey*",
                  "kms:DescribeKey",
                  "kms:RetireGrant"
                ]
              }

Hinzufügen wichtiger Richtlinien zu einem vom Kunden verwalteten Schlüssel

Wenn Sie sich dafür entscheiden, Ihren eigenen kundenverwalteten KMS Schlüssel bei Amazon zu verwendenMWAA, müssen Sie dem Schlüssel die folgende Richtlinie beifügen, damit Amazon MWAA ihn zur Verschlüsselung Ihrer Daten verwenden kann.

Wenn der vom Kunden verwaltete KMS Schlüssel, den Sie für Ihre MWAA Amazon-Umgebung verwendet haben, noch nicht für die Verwendung konfiguriert ist CloudWatch, müssen Sie die Schlüsselrichtlinie aktualisieren, um verschlüsselte CloudWatch Protokolle zu ermöglichen. Weitere Informationen finden Sie im AWS Key Management Service Service „Protokolldaten verschlüsseln“. CloudWatch

Das folgende Beispiel stellt eine wichtige Richtlinie für CloudWatch Logs dar. Ersetzen Sie die für die Region bereitgestellten Beispielwerte.

{
          "Effect": "Allow",
          "Principal": {
          "Service": "logs.us-west-2.amazonaws.com"
        },
        "Action": [
          "kms:Encrypt*",
          "kms:Decrypt*",
          "kms:ReEncrypt*",
          "kms:GenerateDataKey*",
          "kms:Describe*"
        ],
        "Resource": "*",
        "Condition": {
          "ArnLike": {
            "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-west-2:*:*"
            }
          }
        }