Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Le chiffrement des données est arrêté pour AWS Glue Data Quality

PDF
RSS
Mode de mise au point
Le chiffrement des données est arrêté pour AWS Glue Data Quality - AWS Glue
AWS clés possédéesClés gérées par le clientCréation d'une clé gérée par le clientCréation d'une configuration de sécuritéAWS Contexte de chiffrement de Glue Data QualitySurveillance de vos clés de chiffrement pour AWS Glue Data QualityEn savoir plus

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Glue Data Quality fournit un chiffrement par défaut pour protéger les données sensibles des clients au repos à l'aide de clés de chiffrement AWS détenues par nos soins.

AWS clés possédées

AWS Glue Data Quality utilise ces clés pour chiffrer automatiquement les actifs de qualité des données des clients. Vous ne pouvez pas consulter, gérer ou utiliser AWS les clés que vous possédez, ni auditer leur utilisation. Cependant, il n'est pas nécessaire de prendre des mesures ni de modifier de programme pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez la section sur les clés AWS détenues dans le Guide du AWS KMS développeur.

Le chiffrement des données au repos par défaut permet de réduire les frais opérationnels et la complexité liés à la protection des données sensibles. Dans le même temps, il vous permet de créer des applications sécurisées qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement.

Bien que vous ne puissiez pas désactiver cette couche de chiffrement ou sélectionner un autre type de chiffrement, vous pouvez ajouter une deuxième couche de chiffrement aux clés de chiffrement AWS détenues existantes en choisissant une clé gérée par le client lorsque vous créez vos ressources de qualité des données.

Clés gérées par le client

Clés gérées par le client : AWS Glue Data Quality prend en charge l'utilisation d'une clé symétrique gérée par le client que vous créez, détenez et gérez. Cela ajoute une deuxième couche de chiffrement par rapport au chiffrement AWS propre existant. Comme vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer des tâches telles que :

  • Établissement et gestion des stratégies de clé

  • Établissement et mise à jour de politiques IAM

  • Activation et désactivation des stratégies de clé

  • Rotation des matériaux de chiffrement de clé

  • Ajout de balises

  • Création d'alias de clé

  • Planification des clés pour la suppression

Pour plus d'informations, consultez la section Clés gérées par le client dans le Guide du AWS KMS développeur.

Le tableau suivant résume la manière dont AWS Glue Data Quality chiffre les différents actifs de Data Quality.

Type de données AWS chiffrement par clé détenue Chiffrement des clés géré par le client

Ensemble de règles relatives à la qualité des données

Chaîne d'ensemble de règles DQDL référencée par l'ensemble de règles DQ persistant. Pour le moment, ces ensembles de règles persistants ne sont utilisés que dans l'expérience AWS Glue Data Catalog.

Activées Activées

Règle de qualité des données/résultats de l'analyseur

Artefacts de résultat qui contiennent le statut de réussite ou d'échec de chaque règle d'un ensemble de règles ainsi que les métriques collectées par les règles et les analyseurs.

Activées Activées

Observations

Des observations sont générées lorsqu'une anomalie est détectée dans les données. Il contient des informations sur les limites supérieure et inférieure attendues et une règle suggérée basée sur ces limites. S'ils sont générés, ils sont affichés avec les résultats de qualité des données.

Activées Activées

Statistiques

Contient des informations sur les métriques collectées après avoir évalué les données selon un ensemble de règles, telles que la valeur de la métrique (par exemple RowCount, Exhaustivité), les noms des colonnes et d'autres métadonnées.

Activées Activées

Modèles statistiques de détection des anomalies

Les modèles statistiques contiennent les séries chronologiques des limites supérieure et inférieure pour une métrique donnée, générées sur la base d'évaluations précédentes des données clients.

Activées Activées
Note

AWS Data Quality active automatiquement le chiffrement au repos à l'aide de clés AWS détenues afin de protéger gratuitement les données personnelles identifiables. Toutefois, AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d’informations sur la tarification, consultez Tarification d’AWS KMS.

Pour plus d'informations sur AWS KMS, voir AWS KMS.

Création d'une clé gérée par le client

Vous pouvez créer une clé symétrique gérée par le client en utilisant le AWS Management Console, ou le AWS KMS APIs.

Pour créer une clé symétrique gérée par le client :

Stratégie de clé

Les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez la section Politiques relatives aux AWS KMS clés dans le Guide du AWS Key Management Service développeur.

Pour utiliser votre clé gérée par le client avec vos ressources de qualité des données, les opérations d'API suivantes doivent être autorisées dans la politique des clés :

  • kms:Decrypt— Déchiffre le texte chiffré par une clé en utilisant AWS KMS GenerateDataKeyWithoutPlaintext

  • kms:DescribeKey— Fournit les informations clés gérées par le client pour permettre à Amazon Location de valider la clé.

  • kms:GenerateDataKeyWithoutPlaintext— Renvoie une clé de données symétrique unique à utiliser en dehors de AWS KMS. Cette opération renvoie une clé de données chiffrée sous une clé KMS de chiffrement symétrique que vous spécifiez. Les octets de la clé sont aléatoires ; ils ne sont pas liés à l'appelant ou à la clé KMS. Utilisé pour réduire le nombre d'appels KMS que le client doit passer.

  • kms:ReEncrypt*— Déchiffre le texte chiffré, puis le rechiffre entièrement à l'intérieur. AWS KMS Vous pouvez utiliser cette opération pour modifier la clé KMS sous laquelle les données sont chiffrées, par exemple lorsque vous faites pivoter manuellement une clé KMS ou que vous modifiez la clé KMS qui protège un texte chiffré. Vous pouvez également l'utiliser pour rechiffrer du texte chiffré sous la même clé KMS, par exemple pour modifier le contexte de chiffrement d'un texte chiffré.

Voici des exemples de déclarations de politique que vous pouvez ajouter pour Amazon Location : 

"Statement" : [ 
    {
        "Sid" : "Allow access to principals authorized to use AWS Glue Data Quality",
        "Effect" : "Allow",
        "Principal" : {
            "AWS": "arn:aws:iam::<account_id>:role/ExampleRole"
        },
        "Action" : [ 
            "kms:Decrypt", 
            "kms:DescribeKey",
            "kms:GenerateDataKeyWithoutPlaintext",
            "kms:ReEncrypt*"
        ],
        "Resource" : "*",
        "Condition" : {
            "StringEquals" : {
                "kms:ViaService" : "glue.amazonaws.com",
                "kms:CallerAccount" : "111122223333"
            }
        },
    {
        "Sid": "Allow access for key administrators",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
          },
        "Action" : [ 
            "kms:*"
         ],
        "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
        "Sid" : "Allow read-only access to key metadata to the account",
        "Effect" : "Allow",
        "Principal" : {
            "AWS" : "arn:aws:iam::111122223333:root"
        },
        "Action" : [ 
            "kms:Describe*",
            "kms:Get*",
            "kms:List*",
        ],
        "Resource" : "*"
    }
]

Remarques concernant l'utilisation des clés KMS dans AWS Glue Data Quality

AWS Glue Data Quality ne prend pas en charge les transitions clés. Cela signifie que si vous chiffrez vos actifs relatifs à la qualité des données avec la clé A et que vous décidez de passer à la clé B, nous ne crypterons pas à nouveau les données chiffrées avec la clé A pour utiliser la clé B. Vous pouvez toujours passer à la clé B, mais vous devrez conserver l'accès à la clé A pour accéder aux données précédemment chiffrées avec la clé A.

Pour plus d'informations sur la spécification des autorisations dans une politique, consultez la section Autorisations pour les AWS services dans les politiques clés du Guide du AWS Key Management Service développeur.

Pour plus d'informations sur la résolution des problèmes d'accès par clé, consultez la section Résolution des problèmes d'accès par clé dans le Guide du AWS Key Management Service développeur.

Création d'une configuration de sécurité

Dans AWS Glue, la ressource Security Configurations contient les propriétés nécessaires pour écrire des données chiffrées.

Pour chiffrer les actifs liés à la qualité de vos données, procédez comme suit :

  1. Dans Paramètres de chiffrement, sous Paramètres avancés, choisissez Activer le chiffrement de la qualité des données

  2. Sélectionnez votre clé KMS ou choisissez Créer une AWS KMS clé

La capture d'écran montre la page Ajouter une configuration de sécurité. L'option Activer DataQuality le chiffrement est sélectionnée.

AWS Contexte de chiffrement de Glue Data Quality

Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur contenant des informations contextuelles supplémentaires sur les données.

AWS KMS utilise le contexte de chiffrement comme données authentifiées supplémentaires pour prendre en charge le chiffrement authentifié. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande.

AWS Exemple de contexte de chiffrement de Glue Data Quality

"encryptionContext": {
    "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "hierarchy-version": "1",
    "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
    "create-time": "2024-06-07T13:47:23:000861Z",
    "tablename": "AwsGlueMlEncryptionKeyStore",
    "type": "beacon:ACTIVE"
}

Utilisation du contexte de chiffrement pour la surveillance

Lorsque vous utilisez une clé symétrique gérée par le client pour chiffrer votre collection de traceurs ou de géofences, vous pouvez également utiliser le contexte de chiffrement dans les dossiers d'audit et les journaux pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par AWS CloudTrail ou Amazon CloudWatch Logs.

Surveillance de vos clés de chiffrement pour AWS Glue Data Quality

Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos ressources AWS Glue Data Quality, vous pouvez utiliser AWS CloudTrail ou Amazon CloudWatch Logs suivre les demandes auxquelles AWS Glue Data Quality envoie AWS KMS.

Les exemples suivants sont des AWS CloudTrail événements pour GenerateDataKeyWithoutPlainText et Decrypt pour surveiller les opérations KMS appelées par AWS Glue Data Quality afin d'accéder aux données chiffrées par votre clé gérée par le client.

Decrypt 

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "arn": "arn:aws:sts::111122223333:role/CustomerRole",
        "accountId": "111122223333",
        "invokedBy": "glue.amazonaws.com"
    },
    "eventTime": "2024-07-02T20:03:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "glue.amazonaws.com",
    "userAgent": "glue.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:ACTIVE",
            "version": "branch:version:ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
        }
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

GenerateDataKeyWithoutPlaintext 

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "arn": "arn:aws:sts::111122223333:role/CustomerRole",
        "accountId": "111122223333",
        "invokedBy": "glue.amazonaws.com"
    },
    "eventTime": "2024-07-02T20:03:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKeyWithoutPlaintext",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "glue.amazonaws.com",
    "userAgent": "glue.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:version:ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
        }
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

ReEncyrpt 

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "arn": "arn:aws:sts::111122223333:role/CustomerRole",
        "accountId": "111122223333",
        "invokedBy": "glue.amazonaws.com"
    },
    "eventTime": "2024-07-17T21:34:41Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ReEncrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "glue.amazonaws.com",
    "userAgent": "glue.amazonaws.com",
    "requestParameters": {
        "destinationEncryptionContext": {
             "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:ACTIVE"
            "version": "branch:version:12345678-SAMPLE"
        },
        "destinationKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "sourceAAD": "1234567890-SAMPLE+Z+lqoYOHj7VtWxJLrvh+biUFbliYDAQkobM=",
        "sourceKeyId": "arn:aws:kms:ap-southeast-2:585824196334:key/17ca05ca-a8c1-40d7-b7fd-30abb569a53a",
        "destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "sourceEncryptionContext": {
            "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:version:ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
        },
        "destinationAAD": "1234567890-SAMPLE",
        "sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

En savoir plus

Les ressources suivantes fournissent plus d'informations sur le chiffrement des données au repos.

Sur cette page

Related resources

AWS Glue DataBrew Guide du développeur
AWS CLI commandes pour AWS Glue
SDKs et outils 

Related resources

AWS Glue DataBrew Guide du développeur
AWS CLI commandes pour AWS Glue
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.