Administrar las configuraciones de seguridad en la AWS Glue consola - AWS Adherencia
Agregado de una configuración de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administrar las configuraciones de seguridad en la AWS Glue consola

aviso

AWS Glue Actualmente, los trabajos de Ray no admiten las configuraciones de seguridad.

Una configuración de seguridad en AWS Glue contiene las propiedades que se necesitan cuando se escriben datos cifrados. Las configuraciones de seguridad se crean en la consola de AWS Glue para proporcionar las propiedades de cifrado que utilizan los rastreadores, los flujos de trabajo y los puntos de enlace de desarrollo.

Para ver una lista de todas las configuraciones de seguridad que ha creado, abra la AWS Glue consola en https://console.aws.amazon.com/glue/y seleccione Configuraciones de seguridad en el panel de navegación.

En la lista Security configurations (Configuraciones de seguridad), se muestran las siguientes propiedades para cada configuración:

Nombre

Nombre único proporcionado al crear la configuración. El nombre puede contener letras (A-Z), números (0-9), guiones (-) o guiones bajos (_) y tener un máximo de 255 caracteres.

Habilite el cifrado de Amazon S3

Si está activado, el modo de cifrado de Amazon Simple Storage Service (Amazon S3), como SSE-KMS o SSE-S3, está habilitado para el almacenamiento de metadatos en el catálogo de datos.

Habilitar el cifrado CloudWatch de registros de Amazon

Si está activado, el modo de cifrado de Amazon S3, como, SSE-KMS se habilita al escribir registros en Amazon CloudWatch.

Configuración avanzada: habilitar el cifrado de marcadores de trabajo

Si está activado, el modo de cifrado de Amazon S3, como CSE-KMS, se habilita cuando se marcan los trabajos.

Puede agregar o eliminar configuraciones en la sección Security configurations (Configuraciones de seguridad) en la consola. Para consultar más detalles sobre una configuración seleccione el nombre de la configuración en la lista. Los detalles incluirán la información que definió al crear la configuración.

Agregado de una configuración de seguridad

Para agregar una configuración de seguridad a través de la consola de AWS Glue, en la página Security configurations (Configuraciones de seguridad), seleccione Add security configuration (Agregar configuración de seguridad).

La captura de pantalla muestra la página Agregar configuración de seguridad.

Propiedades de configuración de seguridad

Introduzca un nombre de configuración de seguridad único. El nombre puede contener letras (A-Z), números (0-9), guiones (-) o guiones bajos (_) y tener un máximo de 255 caracteres.

Configuración de cifrado

Puede habilitar el cifrado en reposo para los metadatos almacenados en el catálogo de datos de Amazon S3 y los registros en Amazon CloudWatch. Para configurar el cifrado de datos y metadatos con claves AWS Key Management Service (AWS KMS) en la AWS Glue consola, añada una política al usuario de la consola. Esta política debe especificar los recursos permitidos como nombres de recursos clave de Amazon (ARNs) que se utilizan para cifrar los almacenes de datos de Amazon S3, como en el siguiente ejemplo.

{
"Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt",    
    "kms:Encrypt"],
  "Resource": "arn:aws:kms:region:account-id:key/key-id"}
}
importante

Cuando se adjunta una configuración de seguridad a un rastreador o a un trabajo, la IAM función transferida debe tener AWS KMS permisos. Para obtener más información, consulte Cifrado de datos escritos por AWS Glue.

Cuando se define una conexión, puede proporcionar valores para las siguientes propiedades:

Habilitar el cifrado de S3

Cuando escribe datos de Amazon S3, utiliza el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3) o el cifrado del lado del servidor con claves AWS KMS administradas (-). SSE KMS Este campo es opcional. Para permitir el acceso a Amazon S3, elija una AWS KMS clave o elija Introducir una clave ARN e introduzca la clave ARN para la clave. ARNIntrodúzcala en el formularioarn:aws:kms:region:account-id:key/key-id. También puede proporcionarlo ARN como un alias clave, por ejemploarn:aws:kms:region:account-id:alias/alias-name.

Si habilita la interfaz de usuario de Spark para su trabajo, el archivo de registro de la interfaz de usuario de Spark cargado en Amazon S3 se aplicará con el mismo cifrado.

importante

AWS Gluesolo admite claves maestras simétricas del cliente (CMKs). La lista de AWS KMS key (Clave KMS) muestra únicamente claves simétricas. Sin embargo, si selecciona Elegir una AWS KMS clave ARN, la consola le permite introducir una ARN para cualquier tipo de clave. Asegúrese de introducir solo ARNs claves simétricas.

Habilite el cifrado CloudWatch de registros

El cifrado del lado del servidor (SSE-KMS) se utiliza para cifrar CloudWatch los registros. Este campo es opcional. Para activarlo, selecciona una AWS KMS clave o selecciona Introducir una clave ARN e introduce la clave ARN correspondiente. ARNIntrodúzcala en el formularioarn:aws:kms:region:account-id:key/key-id. También puede proporcionarlo ARN como un alias clave, por ejemploarn:aws:kms:region:account-id:alias/alias-name.

Configuración avanzada: cifrado de marcadores de trabajo

El cifrado del lado del cliente (CSE-KMS) se utiliza para cifrar los marcadores de trabajo. Este campo es opcional. Los datos del marcador se cifran antes de enviarlos a Amazon S3 para su almacenamiento. Para activarlo, selecciona una AWS KMS clave o selecciona Introducir una clave ARN e introduce la ARN clave correspondiente. ARNIntrodúzcala en el formularioarn:aws:kms:region:account-id:key/key-id. También puede proporcionarlo ARN como un alias clave, por ejemploarn:aws:kms:region:account-id:alias/alias-name.

Para obtener más información, consulte los siguientes temas en la Guía del usuario de Amazon Simple Storage Service: