Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Cifrado de datos en reposo para Calidad de datos de AWS Glue

PDF
RSS
Modo de enfoque
Cifrado de datos en reposo para Calidad de datos de AWS Glue - AWS Glue
Claves propiedad de AWSClaves administradas por el clienteCrear una clave administrada por el clienteCreación de una configuración de seguridadContexto de cifrado de Calidad de datos de AWS GlueMonitoreo de las claves de cifrado para Calidad de datos de AWS GlueMás información

AWS Glue Data Quality proporciona cifrado de forma predeterminada para proteger los datos en reposo confidenciales de los clientes mediante claves de cifrado propiedad de AWS.

Claves propiedad de AWS

Calidad de datos de AWS Glue utiliza estas claves para cifrar automáticamente los activos de Calidad de datos de los clientes. No puede ver, administrar ni usar las claves propiedad de AWS ni auditar su uso. Sin embargo, no necesita realizar ninguna acción ni cambiar ningún programa para proteger las claves que cifran los datos. Para obtener más información, consulte las claves propias de AWS en la Guía para desarrolladores de AWS KMS.

El cifrado de los datos en reposo de forma predeterminada ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales. Al mismo tiempo, le permite crear aplicaciones seguras que cumplen con los estrictos requisitos normativos y de conformidad con el cifrado.

Si bien no puede deshabilitar esta capa de cifrado ni seleccionar un tipo de cifrado alternativo, puede agregar una segunda capa de cifrado sobre las claves de cifrado propias de AWS. Para ello, elija una clave administrada por el cliente al crear sus recursos de Calidad de datos.

Claves administradas por el cliente

Claves administradas por el cliente: Calidad de datos de AWS Glue admite el uso de una clave simétrica administrada por el cliente que usted crea, posee y administra. Esto agrega una segunda capa de cifrado sobre el cifrado propio existente de AWS. Como usted tiene el control total de esta capa de cifrado, puede realizar tareas como las siguientes:

  • Establecer y mantener políticas de claves

  • Establecer y mantener concesiones y políticas de IAM

  • Habilitar y deshabilitar políticas de claves

  • Rotar el material criptográfico

  • Agregar etiquetas.

  • Crear alias de clave

  • Programar la eliminación de claves

Para más información, consulte las Claves administradas por el cliente en la Guía para desarrolladores de AWS KMS.

En la siguiente tabla se resume cómo Calidad de datos de AWS Glue cifra los diferentes activos de Calidad de datos.

Tipo de datos Cifrado de AWS de clave propia Clave de cifrado gestionada por el cliente

Conjunto de reglas de calidad de datos

Cadena de conjunto de reglas de DQDL a la que hace referencia el conjunto de reglas de DQ persistente. Por ahora, estos conjuntos de reglas persistentes solo se utilizan en la experiencia del Catálogo de datos de AWS Glue.

Habilitado Habilitado

Resultados del analizador o de la regla de calidad de los datos

Artefactos de resultados que contienen el estado de superado o no superado de cada regla en un conjunto de reglas, así como las métricas recopiladas tanto por las reglas como por los analizadores.

Habilitado Habilitado

Observaciones

Las observaciones se generan cuando se detecta una anomalía en los datos. Contiene información sobre los límites superior e inferior esperados, y una regla sugerida basada en estos límites. Si se generan, se muestran junto con los resultados de calidad de datos.

Habilitado Habilitado

Estadísticas

Contiene información sobre las métricas recopiladas después de evaluar los datos según un conjunto de reglas, como el valor de la métrica (p. ej., RowCount o integridad), los nombres de las columnas y otros metadatos.

Habilitado Habilitado

Modelos estadísticos de detección de anomalías

Los modelos estadísticos contienen la serie temporal de los límites superior e inferior de una métrica determinada generada a partir de evaluaciones anteriores de los datos de los clientes.

Habilitado Habilitado
nota

Calidad de datos de AWS habilita automáticamente el cifrado en reposo utilizando claves propias de AWS para proteger los datos de identificación personal sin cargo alguno. Sin embargo, se aplicarán cargos de AWS KMS por el uso de una clave administrada por el cliente. Para obtener más información sobre los precios, consulte Precios de AWS KMS.

Para obtener más información sobre AWS KMS, consulte AWS KMS.

Crear una clave administrada por el cliente

Puede crear una clave simétrica administrada por el cliente a través de la AWS Management Console o las API de AWS KMS.

Para crear una clave simétrica administrada por el cliente:

Política de claves

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Políticas de claves de AWS KMS en la Guía para desarrolladores de AWS Key Management Service.

Para utilizar su clave administrada por el cliente con sus recursos de Calidad de datos, en la política de claves deben permitirse las siguientes operaciones de API:

  • kms:Decrypt: descifra el texto cifrado que se cifró con una clave AWS KMS mediante GenerateDataKeyWithoutPlaintext.

  • kms:DescribeKey: proporciona los detalles de la clave administrada por el cliente para permitir que el servicio de Amazon Location valide la clave.

  • kms:GenerateDataKeyWithoutPlaintext: devuelve una clave de datos simétrica única para usarla fuera de AWS KMS. Esta operación devuelve una clave de datos que se cifra bajo una clave KMS de cifrado simétrica especificada. Los bytes de la clave son aleatorios; no están relacionados con el intermediario ni con la clave KMS. Se utiliza para reducir las llamadas a KMS que debe realizar el cliente.

  • kms:ReEncrypt*: descifra el texto cifrado y lo vuelve a cifrar por completo en AWS KMS. Puede utilizar esta operación para cambiar la clave KMS con la que se cifran los datos, por ejemplo, cuando rota manualmente una clave KMS o cambia la clave KMS que protege un texto cifrado. También puede usarla para volver a cifrar el texto cifrado con la misma clave KMS, por ejemplo, para cambiar el contexto de cifrado de un texto cifrado.

Los siguientes son ejemplos de declaraciones de política que puede agregar para Amazon Location: 

"Statement" : [ 
    {
        "Sid" : "Allow access to principals authorized to use AWS Glue Data Quality",
        "Effect" : "Allow",
        "Principal" : {
            "AWS": "arn:aws:iam::<account_id>:role/ExampleRole"
        },
        "Action" : [ 
            "kms:Decrypt", 
            "kms:DescribeKey",
            "kms:GenerateDataKeyWithoutPlaintext",
            "kms:ReEncrypt*"
        ],
        "Resource" : "*",
        "Condition" : {
            "StringEquals" : {
                "kms:ViaService" : "glue.amazonaws.com",
                "kms:CallerAccount" : "111122223333"
            }
        },
    {
        "Sid": "Allow access for key administrators",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
          },
        "Action" : [ 
            "kms:*"
         ],
        "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
        "Sid" : "Allow read-only access to key metadata to the account",
        "Effect" : "Allow",
        "Principal" : {
            "AWS" : "arn:aws:iam::111122223333:root"
        },
        "Action" : [ 
            "kms:Describe*",
            "kms:Get*",
            "kms:List*",
        ],
        "Resource" : "*"
    }
]

Notas sobre el uso de claves KMS en Calidad de datos de AWS Glue

Calidad de datos de AWS Glue no admite transiciones de clave. Esto significa que si cifra sus activos de Calidad de datos con la clave A y decide pasarse a la clave B, no volveremos a cifrar los datos cifrados con la clave A para usar la clave B. Puede cambiar a la clave B, pero tendrá que mantener el acceso a la clave A para acceder a los datos previamente cifrados con la clave A.

Para obtener más información sobre la especificación de permisos en una política, consulte Permisos para los servicios de AWS en políticas de claves en la Guía para desarrolladores de AWS Key Management Service.

Para obtener más información sobre la solución de problemas de acceso a las claves, consulte Solución de problemas de acceso a las claves en la Guía para desarrolladores de AWS Key Management Service.

Creación de una configuración de seguridad

En AWS Glue, el recurso Configuraciones de seguridad contiene las propiedades que se necesitan cuando se escriben datos cifrados.

Para cifrar sus activos de calidad de datos:

  1. En Configuración de cifrado, vaya a Configuración avanzada y elija Habilitar el cifrado de calidad de datos

  2. Seleccione su clave KMS o elija Crear una clave AWS KMS

La captura de pantalla muestra la página Agregar configuración de seguridad. Se selecciona la opción Habilitar el cifrado de calidad de datos.

Contexto de cifrado de Calidad de datos de AWS Glue

Un contexto de cifrado es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos.

AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales para admitir el cifrado autenticado. Cuando se incluye un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud.

Ejemplo de contexto de cifrado de Calidad de datos de AWS Glue

"encryptionContext": {
    "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "hierarchy-version": "1",
    "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
    "create-time": "2024-06-07T13:47:23:000861Z",
    "tablename": "AwsGlueMlEncryptionKeyStore",
    "type": "beacon:ACTIVE"
}

Uso del contexto de cifrado para la supervisión

Si utiliza una clave simétrica gestionada por el cliente para cifrar su rastreador o su colección de geocercas, también puede utilizar el contexto de cifrado en los registros y registros de auditoría para identificar cómo se utiliza la clave gestionada por el cliente. El contexto de cifrado también aparece en los registros generados por AWS CloudTrail o Amazon CloudWatch Logs.

Monitoreo de las claves de cifrado para Calidad de datos de AWS Glue

Cuando utiliza una clave AWS KMS administrada por el cliente con sus recursos de Calidad de datos de AWS Glue, puede utilizar AWS CloudTrail o Amazon CloudWatch Logs para realizar un seguimiento de las solicitudes que Calidad de datos de AWS Glue envía a AWS KMS.

Los siguientes ejemplos son eventos de AWS CloudTrail para que GenerateDataKeyWithoutPlainText y Decrypt monitoreen las operaciones de KMS solicitadas por Calidad de datos de AWS para acceder a los datos que se cifraron con su clave administrada por el cliente.

Decrypt 

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "arn": "arn:aws:sts::111122223333:role/CustomerRole",
        "accountId": "111122223333",
        "invokedBy": "glue.amazonaws.com"
    },
    "eventTime": "2024-07-02T20:03:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "glue.amazonaws.com",
    "userAgent": "glue.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:ACTIVE",
            "version": "branch:version:ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
        }
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

GenerateDataKeyWithoutPlaintext 

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "arn": "arn:aws:sts::111122223333:role/CustomerRole",
        "accountId": "111122223333",
        "invokedBy": "glue.amazonaws.com"
    },
    "eventTime": "2024-07-02T20:03:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKeyWithoutPlaintext",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "glue.amazonaws.com",
    "userAgent": "glue.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:version:ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
        }
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

ReencyRPT 

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "arn": "arn:aws:sts::111122223333:role/CustomerRole",
        "accountId": "111122223333",
        "invokedBy": "glue.amazonaws.com"
    },
    "eventTime": "2024-07-17T21:34:41Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ReEncrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "glue.amazonaws.com",
    "userAgent": "glue.amazonaws.com",
    "requestParameters": {
        "destinationEncryptionContext": {
             "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:ACTIVE"
            "version": "branch:version:12345678-SAMPLE"
        },
        "destinationKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "sourceAAD": "1234567890-SAMPLE+Z+lqoYOHj7VtWxJLrvh+biUFbliYDAQkobM=",
        "sourceKeyId": "arn:aws:kms:ap-southeast-2:585824196334:key/17ca05ca-a8c1-40d7-b7fd-30abb569a53a",
        "destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "sourceEncryptionContext": {
            "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:version:ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
        },
        "destinationAAD": "1234567890-SAMPLE",
        "sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Más información

Los siguientes recursos proporcionan más información sobre cifrado de datos en reposo.

En esta página

Related resources

Guía para desarrolladores de AWS Glue DataBrew
Comandos de la AWS CLI de AWS Glue
Herramientas y SDK 

Related resources

Guía para desarrolladores de AWS Glue DataBrew
Comandos de la AWS CLI de AWS Glue
Herramientas y SDK 
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.