Registro de una ubicación cifrada de Amazon S3 - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro de una ubicación cifrada de Amazon S3

Lake Formation se integra con AWS Key Management Service (AWS KMS) para permitirle configurar más fácilmente otros servicios integrados para cifrar y descifrar datos en ubicaciones de Amazon Simple Storage Service (Amazon S3).

Son compatibles tanto los AWS KMS keys como los Claves administradas por AWS administrados por el cliente. Actualmente, el cifrado/descifrado del cliente solo es compatible con Athena.

Debe especificar un rol de AWS Identity and Access Management (IAM) cuando registre una ubicación de Amazon S3. Para las ubicaciones cifradas de Amazon S3, o bien el rol debe tener permiso para cifrar y descifrar datos con la AWS KMS key, o bien la política de claves de KMS debe conceder permisos sobre la clave al rol.

importante

Evite registrar un bucket de Amazon S3 que tenga activada la opción El solicitante paga. Para los buckets registrados en Lake Formation, el rol utilizado para registrar el bucket se considera siempre como el solicitante. Si otra cuenta de AWS accede al bucket, se cobrará al propietario del bucket por el acceso a los datos si el rol pertenece a la misma cuenta que el propietario del bucket.

La forma más sencilla de registrar la localización es utilizar el rol vinculado al servicio Lake Formation. Este rol concede los permisos de lectura y escritura necesarios sobre la ubicación. También puede usar un rol personalizado para registrar la ubicación, siempre que cumpla con los requisitos de Requisitos de los roles utilizados para registrar ubicaciones.

importante

Si ha utilizado una Clave administrada de AWS para cifrar la ubicación de Amazon S3, no podrá utilizar el rol vinculado al servicio de Lake Formation. Debe usar un rol personalizado y añadir permisos de IAM a la clave del rol. Los detalles se proporcionan más adelante en esta sección.

Los siguientes procedimientos explican cómo registrar una ubicación de Amazon S3 cifrada con una clave administrada por el cliente o una Clave administrada de AWS.

Antes de empezar

Revise los requisitos del rol utilizado para registrar la ubicación.

Para registrar una ubicación de Amazon S3 cifrada con una clave administrada por el cliente
nota

Si la clave KMS o la ubicación de Amazon S3 no se encuentran en la misma cuenta AWS que el Catálogo de datos, siga las instrucciones de Registro de una ubicación cifrada de Amazon S3 entre cuentas AWS en su lugar.

  1. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms e inicie sesión como usuario administrativo de AWS Identity and Access Management (IAM) o como usuario que pueda modificar la política de claves de la clave KMS utilizada para cifrar la ubicación.

  2. En el panel de navegación, elija Claves administradas por el cliente y, a continuación, el nombre de la clave de KMS deseada.

  3. En la página de detalles de la clave KMS, elija la pestaña Política de claves y, a continuación, siga una de las instrucciones siguientes para añadir su rol personalizado o el rol vinculado al servicio de Lake Formation como usuario de la clave KMS:

    • Si se muestra la vista predeterminada (con las secciones Administradores de claves, Eliminación de claves, Usuarios de claves y Otras cuentas AWS). En la sección Usuarios de claves, añada su rol personalizado o el rol vinculado al servicio Lake Formation AWSServiceRoleForLakeFormationDataAccess.

    • Si se muestra la política de claves (JSON). Edite la política para añadir su rol personalizado o el rol AWSServiceRoleForLakeFormationDataAccess vinculado al servicio de Lake Formation al objeto "Permitir el uso de la clave", como se muestra en el siguiente ejemplo.

      nota

      Si falta ese objeto, agréguelo con los permisos que se muestran en el ejemplo. El ejemplo utiliza el rol vinculado al servicio.

      ... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
  4. Abra la consola de AWS Lake Formation en https://console.aws.amazon.com/lakeformation/. Inicie sesión como administrador del lago de datos o como usuario con el permiso de lakeformation:RegisterResource IAM.

  5. En el panel de navegación, bajo Administración, seleccione Ubicaciones de los lagos de datos.

  6. Elija Registrar ubicación y, a continuación, seleccione Examinar para seleccionar una ruta de Amazon Simple Storage Service (Amazon S3).

  7. (Opcional, pero muy recomendable) Seleccione Revisar permisos de ubicación para ver una lista de todos los recursos existentes en la ubicación de Amazon S3 seleccionada y sus permisos.

    El registro de la ubicación seleccionada podría dar lugar a que sus usuarios de Lake Formation accedan a los datos que ya se encuentran en esa ubicación. Revisar esta lista ayuda a garantizar que los datos existentes permanecen seguros.

  8. Para el rol de IAM, elija el rol vinculado al servicio AWSServiceRoleForLakeFormationDataAccess (el predeterminado) o su rol personalizado que cumpla con el Requisitos de los roles utilizados para registrar ubicaciones.

  9. Seleccione Registrar ubicación.

Para obtener más información sobre el rol vinculado a servicios, consulte Permisos de rol vinculados al servicio para Lake Formation.

Para registrar una ubicación de Amazon S3 cifrada con un Clave administrada de AWS
importante

Si la ubicación de Amazon S3 no se encuentra en la misma cuenta AWS que el Catálogo de datos, siga las instrucciones de Registro de una ubicación cifrada de Amazon S3 entre cuentas AWS en su lugar.

  1. Cree un rol de IAM que se utilizará para registrar la ubicación. Asegúrese de que cumple los requisitos que figuran en Requisitos de los roles utilizados para registrar ubicaciones.

  2. Añada la siguiente política insertada al rol. Concede permisos sobre la clave al rol. La especificación Resource debe designar el nombre de recurso de Amazon (ARN) del Clave administrada de AWS. Puede obtener el ARN en la consola de AWS KMS. Para obtener el ARN correcto, asegúrese de iniciar sesión en la consola de AWS KMS con la misma cuenta AWS y Región que la Clave administrada de AWS que se utilizó para cifrar la ubicación.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<Clave administrada de AWS ARN>" } ] }
  3. Abra la consola de AWS Lake Formation en https://console.aws.amazon.com/lakeformation/. Inicie sesión como administrador del lago de datos o como usuario con el permiso de lakeformation:RegisterResource IAM.

  4. En el panel de navegación, bajo Administración, seleccione Ubicaciones de los lagos de datos.

  5. Elija Registrar ubicación y, a continuación, seleccione Examinar para seleccionar una ruta de Amazon S3.

  6. (Opcional, pero muy recomendable) Seleccione Revisar permisos de ubicación para ver una lista de todos los recursos existentes en la ubicación de Amazon S3 seleccionada y sus permisos.

    El registro de la ubicación seleccionada podría dar lugar a que sus usuarios de Lake Formation accedan a los datos que ya se encuentran en esa ubicación. Revisar esta lista ayuda a garantizar que los datos existentes permanecen seguros.

  7. Para Rol de IAM, elija el rol que ha creado en el Paso 1.

  8. Seleccione Registrar ubicación.