Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Cómo utiliza Amazon EMR AWS KMS

PDF
RSS
Modo de enfoque
Cómo utiliza Amazon EMR AWS KMS - AWS Key Management Service
Cifrar datos en el sistema de archivos EMR (EMRFS)Cifrar datos en los volúmenes de almacenamiento de los nodos de clústerContexto de cifrado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cuando utilice un clúster de Amazon EMR, puede configurarlo para cifrar los datos en reposo antes de guardarlos en una ubicación de almacenamiento persistente. Puede cifrar los datos en reposo en el sistema de archivos EMR (EMRFS), en los volúmenes de almacenamiento de nodos del clúster o en ambos. Para cifrar los datos en reposo, puede utilizar una AWS KMS key. En los siguientes temas se explica cómo un clúster Amazon EMR utiliza una clave KMS para cifrar los datos en reposo.

importante

Amazon EMR solo admite claves KMS simétricas. No se puede utilizar una clave KMS asimétrica para cifrar datos en reposo en un clúster de Amazon EMR. Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte Identificación de diferentes tipos de claves.

Los clústeres de Amazon EMR también cifran los datos en tránsito, lo que significa que el clúster cifra los datos antes de enviarlos a través de la red. No puede utilizar una clave KMS para cifrar los datos en tránsito. Para obtener más información, consulte Cifrado de datos en tránsito en la Guía de administración de Amazon EMR.

Para obtener más información sobre todas las opciones de cifrado disponibles en Amazon EMR, consulte Opciones de cifrado en la Guía de administración de Amazon EMR.

Cifrar datos en el sistema de archivos EMR (EMRFS)

Los clústeres de Amazon EMR usan dos sistemas de archivos distribuidos:

  • Hadoop Distributed File System (HDFS). El cifrado HDFS no utiliza una clave KMS en AWS KMS.

  • Sistema de archivos EMR (EMRFS). EMRFS es una implementación de HDFS que permite a los clústeres de Amazon EMR almacenar datos en Amazon Simple Storage Service (Amazon S3). EMRFS admite cuatro opciones de cifrado, dos de las cuales utilizan una clave KMS en AWS KMS. Para obtener más información acerca de las cuatro opciones de cifrado de EMRFS, consulte Opciones de cifrado en la Guía de administración de Amazon EMR.

Las dos opciones de cifrado de EMRFS que utilizan una clave KMS usan las siguientes características de cifrado que ofrece Amazon S3:

Al configurar un clúster de Amazon EMR para cifrar datos en EMRFS con una clave KMS, hay que elegir la clave KMS que se desea que utilice Amazon S3 o el clúster de Amazon EMR. Con SSE-KMS, puede elegir la Clave administrada de AWS para Amazon S3 con el alias aws/s3, o una clave simétrica administrada por el cliente que haya creado. Con el cifrado del lado del cliente, debe elegir una clave simétrica administrada por el cliente que cree. Si elige una clave administrada por el cliente, debe asegurarse de que el clúster de Amazon EMR tiene permiso para utilizar la clave KMS. Para obtener más información, consulte Uso AWS KMS keys para el cifrado en la Guía de administración de Amazon EMR.

Tanto para el cifrado del lado del servidor como del lado del cliente, la clave KMS que elija es la clave raíz en un flujo de trabajo de cifrado de sobre. Los datos se cifran con una clave de datos única que se cifra con la clave KMS in AWS KMS. Los datos cifrados y una copia cifrada de su clave de datos se almacenan juntos como un solo objeto cifrado en un bucket de S3. Para obtener más información sobre cómo funciona, consulte los siguientes temas.

Proceso de cifrar datos en EMRFS con SSE-KMS

Al configurar un clúster de Amazon EMR para usar SSE-KMS, el proceso de cifrado funciona del siguiente modo:

  1. El clúster envía datos a Amazon S3 para almacenarlos en un bucket de S3.

  2. Amazon S3 envía una GenerateDataKeysolicitud a AWS KMS, especificando el ID de clave de KMS que eligió al configurar el clúster para usar SSE-KMS. La solicitud incluye el contexto de cifrado; para obtener más información, consulte Contexto de cifrado.

  3. AWS KMS genera una clave de cifrado de datos única (clave de datos) y, a continuación, envía dos copias de esta clave de datos a Amazon S3. Una copia está sin cifrar (texto no cifrado) y la otra se cifra con la clave KMS.

  4. Amazon S3 utiliza la clave de datos de texto no cifrado para cifrar los datos que ha recibido en el paso 1 y, a continuación, elimina la clave de datos de texto no cifrado de la memoria tan pronto como sea posible después de utilizarla.

  5. Amazon S3 almacena los datos cifrados y la copia cifrada de la clave de datos como un solo objeto cifrado en un bucket de S3.

El proceso de descifrado funciona de la siguiente manera:

  1. El clúster solicita un objeto de datos cifrado de un bucket de S3.

  2. Amazon S3 extrae la clave de datos cifrados del objeto S3 y, a continuación, envía la clave de datos cifrados AWS KMS con una solicitud de descifrado. La solicitud incluye un contexto de cifrado.

  3. AWS KMS descifra la clave de datos cifrada con la misma clave de KMS que se utilizó para cifrarla y, a continuación, envía la clave de datos descifrada (texto sin formato) a Amazon S3.

  4. Amazon S3 utiliza la clave de datos de texto no cifrado para descifrar los datos cifrados y, a continuación, elimina la clave de datos de texto no cifrado de la memoria tan pronto como sea posible después de utilizarla.

  5. Amazon S3 envía los datos descifrados al clúster.

Proceso de cifrar datos en EMRFS con CSE-KMS

Al configurar un clúster de Amazon EMR para usar CSE-KMS, el proceso de cifrado funciona del siguiente modo:

  1. Cuando esté listo para almacenar datos en Amazon S3, el clúster envía una GenerateDataKeysolicitud a AWS KMS la que especifica el ID de clave de la clave de KMS que eligió al configurar el clúster para usar CSE-KMS. La solicitud incluye el contexto de cifrado; para obtener más información, consulte Contexto de cifrado.

  2. AWS KMS genera una clave de cifrado de datos única (clave de datos) y, a continuación, envía dos copias de esta clave de datos al clúster. Una copia está sin cifrar (texto no cifrado) y la otra copia se cifra con la clave KMS.

  3. El clúster utiliza la clave de datos de texto no cifrado para cifrar los datos y, a continuación, elimina la clave de datos de texto no cifrado de la memoria tan pronto como sea posible después de utilizarla.

  4. El clúster combina los datos cifrados y la copia cifrada de la clave de datos en un solo objeto cifrado.

  5. El clúster envía el objeto cifrado a Amazon S3 para almacenarlo.

El proceso de descifrado funciona de la siguiente manera:

  1. El clúster solicita el objeto de datos cifrado de un bucket de S3.

  2. Amazon S3 envía el objeto cifrado al clúster.

  3. El clúster extrae la clave de datos cifrados del objeto cifrado y, a continuación, envía la clave de datos cifrados AWS KMS con una solicitud de descifrado. La solicitud incluye el contexto de cifrado.

  4. AWS KMS descifra la clave de datos cifrada con la misma clave de KMS que se utilizó para cifrarla y, a continuación, envía la clave de datos descifrada (texto sin formato) al clúster.

  5. El clúster utiliza la clave de datos de texto no cifrado para descifrar los datos cifrados y, a continuación, elimina la clave de datos de texto no cifrado de la memoria tan pronto como sea posible después de utilizarla.

Cifrar datos en los volúmenes de almacenamiento de los nodos de clúster

Un clúster de Amazon EMR es un conjunto de instancias de Amazon Elastic Compute Cloud EC2 (Amazon). Cada instancia del clúster se denomina un nodo de clúster o nodo. Cada nodo puede tener dos tipos de volúmenes de almacenamiento: volúmenes de almacén de instancias y volúmenes de Amazon Elastic Block Store (Amazon EBS). Puede configurar el clúster para utilizar la Configuración de clave unificada de Linux (LUKS) para cifrar ambos tipos de volúmenes de almacenamiento en los nodos (pero no el volumen de arranque de cada nodo). Se denomina cifrado de disco local.

Al habilitar el cifrado de disco local para un clúster, puede cifrar la clave LUKS con una clave KMS en AWS KMS. Debe elegir una clave administrada por el cliente que cree; no puede utilizar una Clave administrada de AWS. Si elige una clave administrada por el cliente, debe asegurarse de que el clúster de Amazon EMR tiene permiso para utilizar la clave KMS. Para obtener más información, consulte Uso AWS KMS keys para el cifrado en la Guía de administración de Amazon EMR.

Si habilita el cifrado del disco local mediante una clave KMS, el proceso de cifrado funciona del siguiente modo:

  1. Cuando se lanza cada nodo del clúster, envía una GenerateDataKeysolicitud a AWS KMS la que especifica el ID de clave de la clave de KMS que eligió al habilitar el cifrado del disco local para el clúster.

  2. AWS KMS genera una clave de cifrado de datos única (clave de datos) y, a continuación, envía dos copias de esta clave de datos al nodo. Una copia está sin cifrar (texto no cifrado) y la otra se cifra con la clave KMS.

  3. El nodo utiliza una versión de la codificación de base64 de la clave de datos de texto no cifrado como la contraseña que protege la clave LUKS. El nodo guarda la copia cifrada de la clave de datos en su volumen de arranque.

  4. Si el nodo se reinicia, envía la clave de datos cifrados AWS KMS con una solicitud de descifrado.

  5. AWS KMS descifra la clave de datos cifrada con la misma clave KMS que se utilizó para cifrarla y, a continuación, envía la clave de datos descifrada (texto sin formato) al nodo.

  6. El nodo utiliza la versión de la codificación de base64 de la clave de datos de texto no cifrado como la contraseña para desbloquear la clave LUKS.

Contexto de cifrado

Cada AWS servicio integrado AWS KMS puede especificar un contexto de cifrado cuando el servicio lo utiliza AWS KMS para generar claves de datos o para cifrar o descifrar datos. El contexto de cifrado es información autenticada adicional que se AWS KMS utiliza para comprobar la integridad de los datos. Cuando un servicio especifica el contexto de cifrado para una operación de cifrado, debe especificar el mismo contexto de cifrado para la operación de descifrado correspondiente; de lo contrario, el descifrado no se realizará correctamente. El contexto de cifrado también se escribe en los archivos de AWS CloudTrail registro, lo que puede ayudarle a entender por qué se utilizó una clave KMS específica.

En la siguiente sección se explica el contexto de cifrado que se utiliza en cada situación de cifrado de Amazon EMR que utiliza una clave KMS.

Contexto de cifrado para el cifrado de EMRFS con SSE-KMS

Con SSE-KMS, el clúster de Amazon EMR envía datos a Amazon S3 y, a continuación, Amazon S3 utiliza una clave KMS para cifrar los datos antes de guardarlos en un bucket de S3. En este caso, Amazon S3 utiliza el nombre de recurso de Amazon (ARN) del objeto S3 como contexto de cifrado para cada GenerateDataKeysolicitud de Decrypt a la que envía. AWS KMS El siguiente ejemplo muestra una representación JSON del contexto de cifrado que usa Amazon S3.

{ "aws:s3:arn" : "arn:aws:s3:::S3_bucket_name/S3_object_key" }

Contexto de cifrado para el cifrado de EMRFS con CSE-KMS

Con CSE-KMS, el clúster de Amazon EMR utiliza una clave KMS para cifrar los datos antes de enviarlos a Amazon S3 para almacenarlos. En este caso, el clúster utiliza el nombre de recurso de Amazon (ARN) de la clave de KMS como contexto de cifrado con cada GenerateDataKeysolicitud de Decrypt a la que envía. AWS KMS El siguiente ejemplo muestra una representación JSON del contexto de cifrado que usa el clúster.

{ "kms_cmk_id" : "arn:aws:kms:us-east-2:111122223333:key/0987ab65-43cd-21ef-09ab-87654321cdef" }

Contexto de cifrado para el cifrado de disco local con LUKS

Cuando un clúster de Amazon EMR utiliza el cifrado de disco local con LUKS, los nodos del clúster no especifican el contexto de cifrado con las solicitudes GenerateDataKeyy Decrypt a las que envían. AWS KMS

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.