Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Spécification du chiffrement Amazon S3 à l'aide EMRFS des propriétés
Important
À partir de la EMR version 4.8.0 d'Amazon, vous pouvez utiliser les configurations de sécurité pour appliquer les paramètres de chiffrement plus facilement et avec davantage d'options. Nous vous recommandons d'utiliser les configurations de sécurité. Pour plus d'informations, consultez Configuration du chiffrement des données. Les instructions de console décrites dans cette section sont disponibles pour les versions antérieures à la version 4.8.0. Si vous utilisez le AWS CLI pour configurer le chiffrement Amazon S3 à la fois dans la configuration du cluster et dans une configuration de sécurité dans les versions suivantes, la configuration de sécurité remplace la configuration du cluster.
Lorsque vous créez un cluster, vous pouvez spécifier le chiffrement côté serveur (SSE) ou le chiffrement côté client (CSE) pour les données d'EMRFSAmazon S3 à l'aide de la console ou à l'aide des propriétés de emrfs-site
classification via le ou. AWS CLI EMR SDK Amazon S3 SSE et Amazon S3 s'CSEexcluent mutuellement ; vous pouvez choisir l'un ou l'autre, mais pas les deux.
Pour AWS CLI obtenir des instructions, consultez la section correspondant à votre type de chiffrement ci-dessous.
Pour définir les options EMRFS de chiffrement à l'aide du AWS Management Console
Accédez à la nouvelle EMR console Amazon et sélectionnez Passer à l'ancienne console dans la navigation latérale. Pour plus d'informations sur ce qu'implique le passage à l'ancienne console, consultez la rubrique Utilisation de l'ancienne console.
-
Choisissez Créer un cluster et Go to advanced options (Aller aux options avancées).
Choisissez une Release (Version) 4.7.2 ou antérieure.
Choisissez d'autres options pour Software and Steps (Logiciel et étapes) selon les besoins de votre application, puis cliquez sur Next (Suivant).
Choisissez les paramètres dans les volets Hardware (Matériel) et General Cluster Settings (Paramètres de cluster généraux) selon les besoins de votre application.
Dans le volet Sécurité, sous Authentification et chiffrement, sélectionnez l'option Chiffrement S3 (avecEMRFS) à utiliser.
Note
Le chiffrement S3 côté serveur avec gestion des KMS clés (SSE-KMS) n'est pas disponible lors de l'utilisation de la EMR version 4.4 ou antérieure d'Amazon.
Si vous choisissez une option qui utilise la gestion des AWS clés, choisissez un ID de AWS KMS clé. Pour de plus amples informations, veuillez consulter Utilisation à AWS KMS keys des fins de EMRFS chiffrement.
Si vous choisissez le chiffrement côté client S3 avec un fournisseur de matériel personnalisé, indiquez le nom de la classe et l'JARemplacement. Pour de plus amples informations, veuillez consulter Chiffrement côté client sur Amazon S3.
Choisissez d'autres options selon les besoins de votre application, puis choisissez Create Cluster (Créer un cluster).
Utilisation à AWS KMS keys des fins de EMRFS chiffrement
La clé de AWS KMS chiffrement doit être créée dans la même région que votre instance de EMR cluster Amazon et les compartiments Amazon S3 utilisés avecEMRFS. Si la clé que vous spécifiez se trouve dans un compte différent de celui que vous utilisez pour configurer un cluster, vous devez spécifier la clé à l'aide de sonARN.
Le rôle du profil d'EC2instance Amazon doit être autorisé à utiliser la KMS clé que vous spécifiez. Le rôle par défaut du profil d'instance dans Amazon EMR estEMR_EC2_DefaultRole
. Si vous utilisez un rôle différent pour le profil d'instance, ou si vous utilisez IAM des rôles pour les EMRFS demandes adressées à Amazon S3, assurez-vous que chaque rôle est ajouté en tant qu'utilisateur clé, le cas échéant. Cela donne au rôle l'autorisation d'utiliser la KMS clé. Pour plus d'informations, consultez les sections Utilisation des politiques clés dans le guide du AWS Key Management Service développeur et Configuration IAM des rôles pour les EMRFS demandes adressées à Amazon S3.
Vous pouvez utiliser le AWS Management Console pour ajouter votre profil d'EC2instance ou votre profil d'instance à la liste des utilisateurs clés pour la KMS clé spécifiée, ou vous pouvez utiliser le AWS CLI ou AWS SDK pour attacher une politique de clé appropriée.
Notez qu'Amazon ne EMR prend en charge que les KMSclés symétriques. Vous ne pouvez pas utiliser de KMSclé asymétrique pour chiffrer des données au repos dans un cluster AmazonEMR. Pour savoir si une KMS clé est symétrique ou asymétrique, consultez la section Identification des clés symétriques et asymétriques. KMS
La procédure ci-dessous décrit comment ajouter le profil d'EMRinstance Amazon par défaut, EMR_EC2_DefaultRole
en tant qu'utilisateur clé à l'aide du AWS Management Console. Cela suppose que vous avez déjà créé une KMS clé. Pour créer une nouvelle KMS clé, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.
Pour ajouter le profil d'EC2instance d'Amazon EMR à la liste des utilisateurs de clés de chiffrement
-
Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Sélectionnez l'alias de la KMS clé à modifier.
-
Sur la page de détails de la clé, sous Key Users (Utilisateurs de clés), choisissez Add (Ajouter).
-
Dans la boîte de dialogue Ajouter des utilisateurs clés sélectionnez le rôle approprié. Le nom du rôle par défaut est
EMR_EC2_DefaultRole
. -
Choisissez Ajouter.
Chiffrement côté serveur sur Amazon S3
Lorsque vous configurez le chiffrement côté serveur sur Amazon S3, Amazon S3 chiffre les données au niveau de l'objet au moment où elles sont écrites sur le disque et déchiffre les données lorsqu'elles sont accédées. Pour plus d'informationsSSE, consultez la section Protection des données à l'aide du chiffrement côté serveur dans le guide de l'utilisateur d'Amazon Simple Storage Service.
Vous pouvez choisir entre deux systèmes de gestion des clés différents lorsque vous le spécifiez SSE dans Amazon EMR :
-
SSE-S3 — Amazon S3 gère les clés pour vous.
-
SSE- KMS — Vous utilisez un AWS KMS key pour configurer des politiques adaptées à AmazonEMR. Pour plus d'informations sur les exigences clés pour AmazonEMR, consultez la section Utilisation à AWS KMS keys des fins de chiffrement.
SSEavec les clés fournies par le client (SSE-C) n'est pas disponible pour une utilisation avec Amazon. EMR
Pour créer un cluster avec SSE -S3 activé à l'aide du AWS CLI
-
Saisissez la commande suivante :
aws emr create-cluster --release-label
emr-4.7.2 or earlier
\ --instance-count 3 --instance-type m5.xlarge --emrfs Encryption=ServerSide
Vous pouvez également activer SSE -S3 en définissant le fs.s3. enableServerSideLa propriété de chiffrement prend la valeur true dans les emrfs-site
propriétés. Consultez l'exemple de SSE - KMS ci-dessous et omettez la propriété pour Key ID.
Pour créer un cluster avec SSE - KMS activé à l'aide du AWS CLI
Note
SSE- n'KMSest disponible que dans les EMR versions 4.5.0 et ultérieures d'Amazon.
-
Tapez la AWS CLI commande suivante pour créer un cluster avec SSE -KMS, où se
keyID
trouve AWS KMS key, par exemple, una4567b8-9900-12ab-1234-123a45678901
:aws emr create-cluster --release-label
emr-4.7.2 or earlier
--instance-count3
\ --instance-typem5.xlarge
--use-default-roles \ --emrfs Encryption=ServerSide,Args=[fs.s3.serverSideEncryption.kms.keyId=keyId
]--OR--
Tapez la AWS CLI commande suivante en utilisant la
emrfs-site
classification et fournissez un JSON fichier de configuration dont le contenu est similaire à celui illustrémyConfig.json
dans l'exemple ci-dessous :aws emr create-cluster --release-label
emr-4.7.2 or earlier
--instance-count 3 --instance-typem5.xlarge
--applications Name=Hadoop
--configurationsfile://myConfig.json
--use-default-rolesExemple de contenu de myConfig.json :
[ { "Classification":"emrfs-site", "Properties": { "fs.s3.enableServerSideEncryption": "true", "fs.s3.serverSideEncryption.kms.keyId":"
a4567b8-9900-12ab-1234-123a45678901
" } } ]
Propriétés de configuration pour SSE -S3 et SSE - KMS
Ces propriétés peuvent être configurées à l'aide de la classification emrfs-site
de configuration. SSE- n'KMSest disponible que dans les EMR versions 4.5.0 et ultérieures d'Amazon.
Propriété | Valeur par défaut | Description |
---|---|---|
fs.s3.enableServerSideEncryption |
false |
Lorsque la valeur est |
fs.s3.serverSideEncryption.kms.keyId |
n/a |
Spécifie un identifiant de AWS KMS clé ouARN. Si une clé est spécifiée, SSE - KMS est utilisé. |