Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Spécification du chiffrement Amazon S3 à l'aide EMRFS des propriétés - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Spécification du chiffrement Amazon S3 à l'aide EMRFS des propriétés

Important

À partir de la EMR version 4.8.0 d'Amazon, vous pouvez utiliser les configurations de sécurité pour appliquer les paramètres de chiffrement plus facilement et avec davantage d'options. Nous vous recommandons d'utiliser les configurations de sécurité. Pour plus d'informations, consultez Configuration du chiffrement des données. Les instructions de console décrites dans cette section sont disponibles pour les versions antérieures à la version 4.8.0. Si vous utilisez le AWS CLI pour configurer le chiffrement Amazon S3 à la fois dans la configuration du cluster et dans une configuration de sécurité dans les versions suivantes, la configuration de sécurité remplace la configuration du cluster.

Lorsque vous créez un cluster, vous pouvez spécifier le chiffrement côté serveur (SSE) ou le chiffrement côté client (CSE) pour les données d'EMRFSAmazon S3 à l'aide de la console ou à l'aide des propriétés de emrfs-site classification via le ou. AWS CLI EMR SDK Amazon S3 SSE et Amazon S3 s'CSEexcluent mutuellement ; vous pouvez choisir l'un ou l'autre, mais pas les deux.

Pour AWS CLI obtenir des instructions, consultez la section correspondant à votre type de chiffrement ci-dessous.

Pour définir les options EMRFS de chiffrement à l'aide du AWS Management Console
  1. Accédez à la nouvelle EMR console Amazon et sélectionnez Passer à l'ancienne console dans la navigation latérale. Pour plus d'informations sur ce qu'implique le passage à l'ancienne console, consultez la rubrique Utilisation de l'ancienne console.

  2. Choisissez Créer un cluster et Go to advanced options (Aller aux options avancées).

  3. Choisissez une Release (Version) 4.7.2 ou antérieure.

  4. Choisissez d'autres options pour Software and Steps (Logiciel et étapes) selon les besoins de votre application, puis cliquez sur Next (Suivant).

  5. Choisissez les paramètres dans les volets Hardware (Matériel) et General Cluster Settings (Paramètres de cluster généraux) selon les besoins de votre application.

  6. Dans le volet Sécurité, sous Authentification et chiffrement, sélectionnez l'option Chiffrement S3 (avecEMRFS) à utiliser.

    Note

    Le chiffrement S3 côté serveur avec gestion des KMS clés (SSE-KMS) n'est pas disponible lors de l'utilisation de la EMR version 4.4 ou antérieure d'Amazon.

  7. Choisissez d'autres options selon les besoins de votre application, puis choisissez Create Cluster (Créer un cluster).

Utilisation à AWS KMS keys des fins de EMRFS chiffrement

La clé de AWS KMS chiffrement doit être créée dans la même région que votre instance de EMR cluster Amazon et les compartiments Amazon S3 utilisés avecEMRFS. Si la clé que vous spécifiez se trouve dans un compte différent de celui que vous utilisez pour configurer un cluster, vous devez spécifier la clé à l'aide de sonARN.

Le rôle du profil d'EC2instance Amazon doit être autorisé à utiliser la KMS clé que vous spécifiez. Le rôle par défaut du profil d'instance dans Amazon EMR estEMR_EC2_DefaultRole. Si vous utilisez un rôle différent pour le profil d'instance, ou si vous utilisez IAM des rôles pour les EMRFS demandes adressées à Amazon S3, assurez-vous que chaque rôle est ajouté en tant qu'utilisateur clé, le cas échéant. Cela donne au rôle l'autorisation d'utiliser la KMS clé. Pour plus d'informations, consultez les sections Utilisation des politiques clés dans le guide du AWS Key Management Service développeur et Configuration IAM des rôles pour les EMRFS demandes adressées à Amazon S3.

Vous pouvez utiliser le AWS Management Console pour ajouter votre profil d'EC2instance ou votre profil d'instance à la liste des utilisateurs clés pour la KMS clé spécifiée, ou vous pouvez utiliser le AWS CLI ou AWS SDK pour attacher une politique de clé appropriée.

Notez qu'Amazon ne EMR prend en charge que les KMSclés symétriques. Vous ne pouvez pas utiliser de KMSclé asymétrique pour chiffrer des données au repos dans un cluster AmazonEMR. Pour savoir si une KMS clé est symétrique ou asymétrique, consultez la section Identification des clés symétriques et asymétriques. KMS

La procédure ci-dessous décrit comment ajouter le profil d'EMRinstance Amazon par défaut, EMR_EC2_DefaultRole en tant qu'utilisateur clé à l'aide du AWS Management Console. Cela suppose que vous avez déjà créé une KMS clé. Pour créer une nouvelle KMS clé, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

Pour ajouter le profil d'EC2instance d'Amazon EMR à la liste des utilisateurs de clés de chiffrement
  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Sélectionnez l'alias de la KMS clé à modifier.

  4. Sur la page de détails de la clé, sous Key Users (Utilisateurs de clés), choisissez Add (Ajouter).

  5. Dans la boîte de dialogue Ajouter des utilisateurs clés sélectionnez le rôle approprié. Le nom du rôle par défaut est EMR_EC2_DefaultRole.

  6. Choisissez Ajouter.

Chiffrement côté serveur sur Amazon S3

Lorsque vous configurez le chiffrement côté serveur sur Amazon S3, Amazon S3 chiffre les données au niveau de l'objet au moment où elles sont écrites sur le disque et déchiffre les données lorsqu'elles sont accédées. Pour plus d'informationsSSE, consultez la section Protection des données à l'aide du chiffrement côté serveur dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Vous pouvez choisir entre deux systèmes de gestion des clés différents lorsque vous le spécifiez SSE dans Amazon EMR :

  • SSE-S3 — Amazon S3 gère les clés pour vous.

  • SSE- KMS — Vous utilisez un AWS KMS key pour configurer des politiques adaptées à AmazonEMR. Pour plus d'informations sur les exigences clés pour AmazonEMR, consultez la section Utilisation à AWS KMS keys des fins de chiffrement.

SSEavec les clés fournies par le client (SSE-C) n'est pas disponible pour une utilisation avec Amazon. EMR

Pour créer un cluster avec SSE -S3 activé à l'aide du AWS CLI
  • Saisissez la commande suivante :

    aws emr create-cluster --release-label emr-4.7.2 or earlier \ --instance-count 3 --instance-type m5.xlarge --emrfs Encryption=ServerSide

Vous pouvez également activer SSE -S3 en définissant le fs.s3. enableServerSideLa propriété de chiffrement prend la valeur true dans les emrfs-site propriétés. Consultez l'exemple de SSE - KMS ci-dessous et omettez la propriété pour Key ID.

Pour créer un cluster avec SSE - KMS activé à l'aide du AWS CLI
Note

SSE- n'KMSest disponible que dans les EMR versions 4.5.0 et ultérieures d'Amazon.

  • Tapez la AWS CLI commande suivante pour créer un cluster avec SSE -KMS, où se keyID trouve AWS KMS key, par exemple, un a4567b8-9900-12ab-1234-123a45678901 :

    aws emr create-cluster --release-label emr-4.7.2 or earlier --instance-count 3 \ --instance-type m5.xlarge --use-default-roles \ --emrfs Encryption=ServerSide,Args=[fs.s3.serverSideEncryption.kms.keyId=keyId]

    --OR--

    Tapez la AWS CLI commande suivante en utilisant la emrfs-site classification et fournissez un JSON fichier de configuration dont le contenu est similaire à celui illustré myConfig.json dans l'exemple ci-dessous :

    aws emr create-cluster --release-label emr-4.7.2 or earlier --instance-count 3 --instance-type m5.xlarge --applications Name=Hadoop --configurations file://myConfig.json --use-default-roles

    Exemple de contenu de myConfig.json :

    [ { "Classification":"emrfs-site", "Properties": { "fs.s3.enableServerSideEncryption": "true", "fs.s3.serverSideEncryption.kms.keyId":"a4567b8-9900-12ab-1234-123a45678901" } } ]

Propriétés de configuration pour SSE -S3 et SSE - KMS

Ces propriétés peuvent être configurées à l'aide de la classification emrfs-site de configuration. SSE- n'KMSest disponible que dans les EMR versions 4.5.0 et ultérieures d'Amazon.

Propriété Valeur par défaut Description
fs.s3.enableServerSideEncryption false

Lorsque la valeur est true, les objets stockés dans Amazon S3 sont chiffrés à l'aide du chiffrement côté serveur. Si aucune clé n'est spécifiée, SSE -S3 est utilisé.

fs.s3.serverSideEncryption.kms.keyId n/a

Spécifie un identifiant de AWS KMS clé ouARN. Si une clé est spécifiée, SSE - KMS est utilisé.

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.