Stockage géré Compartiments Amazon S3 Amazon CloudWatch Autorisations nécessaires

Chiffrement des journaux

Chiffrement des journaux EMR sans serveur avec un stockage géré

Pour chiffrer les journaux du stockage géré à l'aide de votre propre KMS clé, utilisez la managedPersistenceMonitoringConfiguration configuration lorsque vous soumettez une exécution de tâche.


{
    "monitoringConfiguration": {
        "managedPersistenceMonitoringConfiguration" : {
            "encryptionKeyArn": "key-arn"
        }
    }
}

Chiffrement des journaux EMR sans serveur avec des compartiments Amazon S3

Pour chiffrer les journaux de votre compartiment Amazon S3 avec votre propre KMS clé, utilisez la s3MonitoringConfiguration configuration lorsque vous soumettez une exécution de tâche.


{
    "monitoringConfiguration": {
        "s3MonitoringConfiguration": {
            "logUri": "s3://amzn-s3-demo-logging-bucket/logs/",
            "encryptionKeyArn": "key-arn"
        }
    }
}

Chiffrer les journaux EMR sans serveur avec Amazon CloudWatch

Pour chiffrer les journaux sur Amazon CloudWatch avec votre propre KMS clé, utilisez la cloudWatchLoggingConfiguration configuration lorsque vous soumettez une exécution de tâche.


{
    "monitoringConfiguration": {
        "cloudWatchLoggingConfiguration": {
            "enabled": true,
            "encryptionKeyArn": "key-arn"
         }
     }
}

Autorisations requises pour le chiffrement des journaux

Dans cette section

Autorisations utilisateur requises
Autorisations relatives aux clés de chiffrement pour Amazon S3 et le stockage géré
Autorisations relatives aux clés de chiffrement pour Amazon CloudWatch

Autorisations utilisateur requises

L'utilisateur qui soumet le travail ou consulte les journaux ou l'application UIs doit être autorisé à utiliser la clé. Vous pouvez spécifier les autorisations dans la politique KMS clé ou dans la IAM politique de l'utilisateur, du groupe ou du rôle. Si l'utilisateur qui soumet la tâche ne dispose pas des autorisations KMS clés, EMR Serverless rejette la soumission de l'exécution de la tâche.

Exemple de politique clé

La politique clé suivante fournit les autorisations nécessaires pour kms:GenerateDataKey et kms:Decrypt :


{
    "Effect": "Allow",
    "Principal":{
       "AWS": "arn:aws:iam::111122223333:user/user-name"
     },
     "Action": [
       "kms:GenerateDataKey",       
       "kms:Decrypt"
      ],
     "Resource": "*"
 }

Exemple IAM de politique

La IAM politique suivante fournit les autorisations nécessaires pour kms:GenerateDataKey et kms:Decrypt :


{
 "Version": "2012-10-17",
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "kms:GenerateDataKey",
           "kms:Decrypt"
      ],
     "Resource": "key-arn"
   }
}

Pour lancer l'interface utilisateur Spark ou Tez, vous devez autoriser vos utilisateurs, groupes ou rôles à accéder aux emr-serverless:GetDashboardForJobRun API éléments suivants :


{
 "Version": "2012-10-17",
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "emr-serverless:GetDashboardForJobRun"
      ]
   }
}

Autorisations relatives aux clés de chiffrement pour Amazon S3 et le stockage géré

Lorsque vous chiffrez des journaux avec votre propre clé de chiffrement dans le stockage géré ou dans vos compartiments S3, vous devez configurer les autorisations relatives aux KMS clés comme suit.

Le emr-serverless.amazonaws.com principal doit disposer des autorisations suivantes dans la politique relative à la KMS clé :


{
    "Effect": "Allow",
    "Principal":{
       "Service": "emr-serverless.amazonaws.com" 
     },
     "Action": [
       "kms:Decrypt",
       "kms:GenerateDataKey"
      ],
     "Resource": "*"
     "Condition": {
       "StringLike": {
         "aws:SourceArn": "arn:aws:emr-serverless:region:aws-account-id:/applications/application-id"
       }
     }
 }

Pour des raisons de sécurité, nous vous recommandons d'ajouter une clé de aws:SourceArn condition à la politique de KMS clé. La clé de condition IAM globale aws:SourceArn permet de garantir que EMR Serverless utilise la KMS clé uniquement pour une applicationARN.

Le rôle d'exécution des tâches doit disposer des autorisations suivantes dans sa IAM politique :


{
 "Version": "2012-10-17",
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "kms:GenerateDataKey",
           "kms:Decrypt"
      ],
     "Resource": "key-arn"
   }
}

Autorisations relatives aux clés de chiffrement pour Amazon CloudWatch

Pour associer la KMS clé ARN à votre groupe de journaux, appliquez la IAM politique suivante pour le rôle d'exécution des tâches.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "logs:AssociateKmsKey"
        ],
        "Resource": [
            "arn:aws:logs:Région AWS:111122223333:log-group:my-log-group-name:*"
        ]
    }
}

Configurez la politique KMS clé pour accorder KMS des autorisations à Amazon CloudWatch :


{
    "Version": "2012-10-17",
    "Id": "key-default-1",
    "Statement": 
     {
        "Effect": "Allow",
        "Principal": {
            "Service": "logs.Région AWS.amazonaws.com"
        },
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey",
        ],
        "Resource": "*",
        "Condition": {
            "ArnLike": {
                "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:Région AWS:111122223333:*"
            }
        }
     }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bûches rotatives

Configuration de Log4j2