Especificación del cifrado de Amazon S3 mediante propiedades de EMRFS - Amazon EMR

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Especificación del cifrado de Amazon S3 mediante propiedades de EMRFS

importante

A partir de la versión 4.8.0 de Amazon EMR, puede utilizar las configuraciones de seguridad para aplicar la configuración de cifrado con mayor facilidad y con más opciones. Recomendamos que utilice las configuraciones de seguridad. Para obtener más información, consulte Configuración del cifrado de datos. Las instrucciones de la consola que se describen en esta sección están disponibles para las versiones anteriores a la 4.8.0. Si lo utiliza AWS CLI para configurar el cifrado de Amazon S3 tanto en la configuración del clúster como en una configuración de seguridad en versiones posteriores, la configuración de seguridad anula la configuración del clúster.

Al crear un clúster, puede especificar el cifrado del lado del servidor (SSE) o el cifrado del lado del cliente (CSE) para los datos de EMRFS en Amazon S3 mediante la consola o emrfs-site mediante las propiedades de clasificación a través del SDK de EMR. AWS CLI SSE y de CSE de Amazon S3 son mutuamente excluyentes, puede elegir uno de ellos, pero no ambos.

Para obtener AWS CLI instrucciones, consulte la sección correspondiente a su tipo de cifrado a continuación.

Para especificar las opciones de cifrado de EMRFS mediante el AWS Management Console
  1. Vaya hasta la nueva consola de Amazon EMR y seleccione Ir a la consola antigua en el panel de navegación lateral. Para más información sobre lo que puede esperar al cambiar a la consola antigua, consulte Uso de la consola antigua.

  2. Elija Crear clúster e Ir a las opciones avanzadas.

  3. Para Release (Versión), elija 4.7.2 o anterior.

  4. Elija otras opciones para Software and Steps (Software y pasos) adecuadas para su aplicación y, a continuación, elija Next (Siguiente).

  5. En los paneles Hardware y General Cluster Settings (Configuración general del clúster), elija opciones adecuadas para su aplicación.

  6. En el panel Security (Seguridad), en Authentication and encryption (Autenticación y cifrado), seleccione la opción S3 Encryption (with EMRFS) (Cifrado de S3 (con EMRFS)).

    nota

    La opción Cifrado del servidor de S3 con KMS Key Management (SSE-KMS) no está disponible cuando se utiliza Amazon EMR versión 4.4 o anterior.

    • Si elige una opción que utiliza AWS Key Management, elija un identificador en el campo ID de clave de AWS KMS. Para obtener más información, consulte Se utiliza AWS KMS keys para el cifrado EMRFS.

    • Si elige S3 client-side encryption with custom materials provider (Cifrado del lado del cliente de S3 con el proveedor de materiales de cifrado personalizado), rellene los campos Class name (Nombre de la clase) y JAR location (Ubicación de JAR). Para obtener más información, consulte Cifrado del cliente de Amazon S3.

  7. Elija las demás opciones que sean necesarias para su aplicación y, a continuación, elija Create Cluster (Crear clúster).

Se utiliza AWS KMS keys para el cifrado EMRFS

La clave de AWS KMS cifrado debe crearse en la misma región que la instancia de clúster de Amazon EMR y los buckets de Amazon S3 que se utilizan con EMRFS. Si la clave que especifica está en una cuenta diferente de la que usa para configurar un clúster, debe especificar la clave mediante su ARN.

El rol del perfil de EC2 instancia de Amazon debe tener permisos para usar la clave de KMS que especifiques. El rol predeterminado del perfil de instancia en Amazon EMR es EMR_EC2_DefaultRole. Si usa un rol diferente para el perfil de instancia o usa roles de IAM para las solicitudes de EMRFS a Amazon S3, asegúrese de agregar cada rol como usuario clave, según corresponda. Esto proporciona al rol los permisos para utilizar la clave de KMS. Para obtener más información, consulte Uso de políticas de claves en la Guía para desarrolladores de AWS Key Management Service y Configuración de roles de IAM para solicitudes de EMRFS a Amazon S3.

Puede usarlo AWS Management Console para añadir su perfil de instancia o perfil de EC2 instancia a la lista de usuarios clave de la clave de KMS especificada, o puede utilizar el SDK AWS CLI o un AWS SDK para adjuntar una política de claves adecuada.

Tenga en cuenta que Amazon EMR solo admite claves de KMS simétricas. No se puede utilizar una clave KMS asimétrica para cifrar datos en reposo en un clúster de Amazon EMR. Para obtener ayuda para determinar si una clave de KMS es simétrica o asimétrica, consulte Identificación de claves de KMS simétricas y asimétricas.

El siguiente procedimiento describe cómo agregar el perfil de instancia de Amazon EMR predeterminado, EMR_EC2_DefaultRole como un usuario clave con la AWS Management Console. Se supone que ya ha creado una clave de KMS. Para crear una nueva clave de KMS, consulte Creación de claves en la Guía para desarrolladores de AWS Key Management Service .

Para añadir el perfil de EC2 instancia de Amazon EMR a la lista de usuarios de claves de cifrado
  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. Seleccione el alias de la clave de KMS que desee modificar.

  4. En la página de detalles de la clave, en Key Users (Usuarios de claves), seleccione Add (Añadir).

  5. En el cuadro de diálogo Add key users (Añadir usuarios clave), seleccione el rol adecuado. El nombre del rol predeterminado es EMR_EC2_DefaultRole.

  6. Elija Agregar.

Cifrado del servidor de Amazon S3

Cuando configura el cifrado del servidor de Amazon S3, Amazon S3 cifra los datos del objeto a medida que escribe los datos en el disco y descifra los datos cuando se accede. Para obtener más información sobre SSE, consulte Protección de los datos con el cifrado del servidor en la Guía del usuario de Amazon Simple Storage Service.

Puede elegir entre dos sistemas de administración de claves distintos al especificar SSE en Amazon EMR:

  • SSE-S3: Amazon S3 administra las claves en su nombre.

  • SSE-KMS: se utiliza una AWS KMS key para configurar políticas adecuadas para Amazon EMR. Para obtener más información sobre los requisitos clave de Amazon EMR, consulte Uso AWS KMS keys para cifrado.

SSE con claves proporcionadas por el cliente (SSE-C) no está disponible para su uso con Amazon EMR.

Para crear un clúster con el SSE-S3 habilitado mediante AWS CLI
  • Escriba el siguiente comando:

    aws emr create-cluster --release-label emr-4.7.2 or earlier \ --instance-count 3 --instance-type m5.xlarge --emrfs Encryption=ServerSide

También puede habilitar SSE-S3 configurando fs.s3. enableServerSideLa propiedad de cifrado es verdadera en las propiedades. emrfs-site Consulte el ejemplo de SSE-KMS a continuación y omita la propiedad para el ID de clave.

Para crear un clúster con el SSE-KMS habilitado mediante el AWS CLI
nota

SSE-KMS solo está disponible en la versión 4.5.0 y posteriores de Amazon EMR.

  • Escriba el siguiente AWS CLI comando para crear un clúster con SSE-KMS, donde keyID hay, por ejemplo AWS KMS key, un: a4567b8-9900-12ab-1234-123a45678901

    aws emr create-cluster --release-label emr-4.7.2 or earlier --instance-count 3 \ --instance-type m5.xlarge --use-default-roles \ --emrfs Encryption=ServerSide,Args=[fs.s3.serverSideEncryption.kms.keyId=keyId]

    --O BIEN--

    Escriba el siguiente AWS CLI comando utilizando la emrfs-site clasificación y proporcione un archivo JSON de configuración con el contenido que se muestra de forma similar al myConfig.json del ejemplo siguiente:

    aws emr create-cluster --release-label emr-4.7.2 or earlier --instance-count 3 --instance-type m5.xlarge --applications Name=Hadoop --configurations file://myConfig.json --use-default-roles

    Ejemplo de contenido de myConfig.json:

    [ { "Classification":"emrfs-site", "Properties": { "fs.s3.enableServerSideEncryption": "true", "fs.s3.serverSideEncryption.kms.keyId":"a4567b8-9900-12ab-1234-123a45678901" } } ]

Propiedades de configuración para SSE-S3 y SSE-KMS

Estas propiedades se pueden configurar mediante la clasificación de configuración emrfs-site. SSE-KMS solo está disponible en la versión 4.5.0 y posteriores de Amazon EMR.

Propiedad Valor predeterminado Descripción
fs.s3.enableServerSideEncryption false

Cuando se establecen en true, los objetos almacenados en Amazon S3 se cifran mediante el cifrado del servidor. Si no se especifica ninguna clave, se utiliza SSE-S3.

fs.s3.serverSideEncryption.kms.keyId n/a

Especifica un identificador AWS KMS clave o ARN. Si se especifica una clave, se utiliza SSE-KMS.