Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administrar las configuraciones de seguridad en la AWS Glue consola
aviso
AWS Glue Actualmente, los trabajos de Ray no admiten las configuraciones de seguridad.
Una configuración de seguridad en AWS Glue contiene las propiedades que se necesitan cuando se escriben datos cifrados. Las configuraciones de seguridad se crean en la consola de AWS Glue para proporcionar las propiedades de cifrado que utilizan los rastreadores, los flujos de trabajo y los puntos de enlace de desarrollo.
Para ver una lista de todas las configuraciones de seguridad que ha creado, abra la AWS Glue consola en https://console.aws.amazon.com/glue/
En la lista Security configurations (Configuraciones de seguridad), se muestran las siguientes propiedades para cada configuración:
- Nombre
Nombre único proporcionado al crear la configuración. El nombre puede contener letras (A-Z), números (0-9), guiones (-) o guiones bajos (_) y tener un máximo de 255 caracteres.
- Habilite el cifrado de Amazon S3
Si está activado, el modo de cifrado de Amazon Simple Storage Service (Amazon S3), como
SSE-KMS
oSSE-S3
, está habilitado para el almacenamiento de metadatos en el catálogo de datos.- Habilitar el cifrado CloudWatch de registros de Amazon
Si está activado, el modo de cifrado de Amazon S3, como,
SSE-KMS
se habilita al escribir registros en Amazon CloudWatch.- Configuración avanzada: habilitar el cifrado de marcadores de trabajo
Si está activado, el modo de cifrado de Amazon S3, como
CSE-KMS
, se habilita cuando se marcan los trabajos.
Puede agregar o eliminar configuraciones en la sección Security configurations (Configuraciones de seguridad) en la consola. Para consultar más detalles sobre una configuración seleccione el nombre de la configuración en la lista. Los detalles incluirán la información que definió al crear la configuración.
Agregado de una configuración de seguridad
Para agregar una configuración de seguridad a través de la consola de AWS Glue, en la página Security configurations (Configuraciones de seguridad), seleccione Add security configuration (Agregar configuración de seguridad).
Propiedades de configuración de seguridad
Introduzca un nombre de configuración de seguridad único. El nombre puede contener letras (A-Z), números (0-9), guiones (-) o guiones bajos (_) y tener un máximo de 255 caracteres.
Configuración de cifrado
Puede habilitar el cifrado en reposo para los metadatos almacenados en el catálogo de datos de Amazon S3 y los registros en Amazon CloudWatch. Para configurar el cifrado de datos y metadatos con claves AWS Key Management Service (AWS KMS) en la AWS Glue consola, añada una política al usuario de la consola. Esta política debe especificar los recursos permitidos como nombres de recursos clave de Amazon (ARNs) que se utilizan para cifrar los almacenes de datos de Amazon S3, como en el siguiente ejemplo.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt"], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
"} }
importante
Cuando se adjunta una configuración de seguridad a un rastreador o a un trabajo, la IAM función transferida debe tener AWS KMS permisos. Para obtener más información, consulte Cifrado de datos escritos por AWS Glue.
Cuando se define una conexión, puede proporcionar valores para las siguientes propiedades:
- Habilitar el cifrado de S3
Cuando escribe datos de Amazon S3, utiliza el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3) o el cifrado del lado del servidor con claves AWS KMS administradas (-). SSE KMS Este campo es opcional. Para permitir el acceso a Amazon S3, elija una AWS KMS clave o elija Introducir una clave ARN e introduzca la clave ARN para la clave. ARNIntrodúzcala en el formulario
arn:aws:kms:
. También puede proporcionarlo ARN como un alias clave, por ejemploregion
:account-id
:key/key-id
arn:aws:kms:
.region
:account-id
:alias/alias-name
Si habilita la interfaz de usuario de Spark para su trabajo, el archivo de registro de la interfaz de usuario de Spark cargado en Amazon S3 se aplicará con el mismo cifrado.
importante
AWS Gluesolo admite claves maestras simétricas del cliente (CMKs). La lista de AWS KMS key (Clave KMS) muestra únicamente claves simétricas. Sin embargo, si selecciona Elegir una AWS KMS clave ARN, la consola le permite introducir una ARN para cualquier tipo de clave. Asegúrese de introducir solo ARNs claves simétricas.
- Habilite el cifrado CloudWatch de registros
El cifrado del lado del servidor (SSE-KMS) se utiliza para cifrar CloudWatch los registros. Este campo es opcional. Para activarlo, selecciona una AWS KMS clave o selecciona Introducir una clave ARN e introduce la clave ARN correspondiente. ARNIntrodúzcala en el formulario
arn:aws:kms:
. También puede proporcionarlo ARN como un alias clave, por ejemploregion
:account-id
:key/key-id
arn:aws:kms:
.region
:account-id
:alias/alias-name
- Configuración avanzada: cifrado de marcadores de trabajo
El cifrado del lado del cliente (CSE-KMS) se utiliza para cifrar los marcadores de trabajo. Este campo es opcional. Los datos del marcador se cifran antes de enviarlos a Amazon S3 para su almacenamiento. Para activarlo, selecciona una AWS KMS clave o selecciona Introducir una clave ARN e introduce la ARN clave correspondiente. ARNIntrodúzcala en el formulario
arn:aws:kms:
. También puede proporcionarlo ARN como un alias clave, por ejemploregion
:account-id
:key/key-id
arn:aws:kms:
.region
:account-id
:alias/alias-name
Para obtener más información, consulte los siguientes temas en la Guía del usuario de Amazon Simple Storage Service:
-
Para obtener más información
SSE-S3
, consulte Protección de datos mediante el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (-S3). SSE -
Para obtener más información
SSE-KMS
, consulte Protección de datos mediante el cifrado del lado del servidor con. AWS KMS keys -
Para obtener más información
CSE-KMS
, consulte Uso de una KMS clave almacenada en. AWS KMS