Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Configuration du chiffrement dans AWS Glue

PDF
RSS
Mode de mise au point
Configuration du chiffrement dans AWS Glue - AWS Glue

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

L'exemple de flux de travail suivant met en évidence les options à configurer lorsque vous utilisez le chiffrement avec AWS Glue. L'exemple montre l'utilisation de touches spécifiques AWS Key Management Service (AWS KMS), mais vous pouvez choisir d'autres paramètres en fonction de vos besoins particuliers. Ce flux de travail met uniquement en évidence les options relatives au chiffrement lors de la configuration AWS Glue.

  1. Si l'utilisateur du AWS Glue la console n'utilise pas de politique d'autorisation qui autorise tous AWS Glue Les opérations d'API (par exemple,"glue:*") confirment que les actions suivantes sont autorisées :

    • "glue:GetDataCatalogEncryptionSettings"

    • "glue:PutDataCatalogEncryptionSettings"

    • "glue:CreateSecurityConfiguration"

    • "glue:GetSecurityConfiguration"

    • "glue:GetSecurityConfigurations"

    • "glue:DeleteSecurityConfiguration"

  2. Tout client qui accède ou écrit à un catalogue chiffré, c'est-à-dire, tout utilisateur de console, crawler, tâche ou point de terminaison de développement, nécessite les autorisations suivantes.

    {
 "Version": "2012-10-17",
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "kms:GenerateDataKey",
           "kms:Decrypt",  
           "kms:Encrypt"
      ],
     "Resource": "<key-arns-used-for-data-catalog>"
   }
}

  3. Tout utilisateur ou rôle qui accède à un mot de passe de connexion chiffré nécessite les autorisations suivantes.

    {
 "Version": "2012-10-17",        
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "kms:Decrypt"
          ],
     "Resource": "<key-arns-used-for-password-encryption>"
          }
}

  4. Le rôle de toute tâche Extract-transform-load (ETL) qui écrit des données chiffrées sur Amazon S3 a besoin des autorisations suivantes.

    {
 "Version": "2012-10-17",
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "kms:Decrypt",  
           "kms:Encrypt",
           "kms:GenerateDataKey"
      ],
     "Resource": "<key-arns-used-for-s3>"
   }
}

  5. Toute tâche ou robot d'exploration ETL qui écrit des Amazon CloudWatch Logs chiffrés nécessite les autorisations suivantes dans la clé et les politiques IAM.

    Dans la stratégie de clé (et non la politique IAM) :

    {
 	"Effect": "Allow",
 	"Principal": {
 		"Service": "logs.region.amazonaws.com"
 	},
 	"Action": [
 		"kms:Encrypt*",
 		"kms:Decrypt*",
 		"kms:ReEncrypt*",
 		"kms:GenerateDataKey*",
 		"kms:Describe*"
 	],
 	"Resource": "<arn of key used for ETL/crawler cloudwatch encryption>"
 }

    Pour de plus amples informations sur les stratégies de clé, veuillez consulter la section Utilisation de stratégies de clé dans AWS KMS du Guide du développeur AWS Key Management Service .

    Dans la politique IAM, attachez l'autorisation logs:AssociateKmsKey :

    {
 	"Effect": "Allow",
 	"Principal": {
 		"Service": "logs.region.amazonaws.com"
 	},
 	"Action": [
 		"logs:AssociateKmsKey"
 	],
 	"Resource": "<arn of key used for ETL/crawler cloudwatch encryption>"
 }

  6. Toute tâche ETL qui utilise un signet de tâche chiffré a besoin des autorisations suivantes.

    {
 "Version": "2012-10-17",
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "kms:Decrypt",  
           "kms:Encrypt"
      ],
     "Resource": "<key-arns-used-for-job-bookmark-encryption>"
   }
}

  7. Sur le AWS Glue console, choisissez Paramètres dans le volet de navigation.

    1. Sur la page Data catalog settings (Paramètres du catalogue de données), chiffrez votre catalogue de données en sélectionnant Metadata encryption (Chiffrement des métadonnées). Cette option chiffre tous les objets du catalogue de données avec la AWS KMS clé de votre choix.

    2. Pour CléAWS KMS , choisissez aws/glue. Vous pouvez également choisir une AWS KMS clé que vous avez créée.

    Important

    AWS Glue ne prend en charge que les clés principales symétriques du client (CMKs). La liste de AWS KMS key (clé KMS) n'affiche que des clés symétriques. Toutefois, si vous sélectionnez Choisir un ARN de AWS KMS clé, la console vous permet de saisir un ARN pour n'importe quel type de clé. Assurez-vous de n'entrer que ARNs pour les clés symétriques.

    Lorsque le chiffrement est activé, le client qui accède au catalogue de données doit avoir les autorisations AWS KMS .

  8. Dans le volet de navigation, choisissez Security configurations (Configurations de sécurité). Une configuration de sécurité est un ensemble de propriétés de sécurité qui peuvent être utilisées pour configurer AWS Glue processus. Ensuite, choisissez Ajouter une configuration de sécurité. Dans la configuration, choisissez l'une des options suivantes :

    1. Sélectionnez S3 encryption (Chiffrement S3). Pour Mode de chiffrement, choisissez SSE-KMS. Pour la CléAWS KMS , choisissez aws/s3 (assurez-vous que l'utilisateur a l'autorisation d'utiliser cette clé). Cela permet aux données écrites par la tâche sur Amazon S3 d'utiliser AWS le AWS Glue AWS KMS clé.

    2. Sélectionnez le chiffrement CloudWatch des journaux, puis choisissez une clé CMK. (Assurez-vous que l'utilisateur a l'autorisation d'utiliser cette clé). Pour plus d'informations, consultez la section Chiffrer les données des CloudWatch journaux dans les journaux AWS KMSà l'aide du guide du AWS Key Management Service développeur.

      Important

      AWS Glue ne prend en charge que les clés principales symétriques du client (CMKs). La liste de AWS KMS key (clé KMS) n'affiche que des clés symétriques. Toutefois, si vous sélectionnez Choisir un ARN de AWS KMS clé, la console vous permet de saisir un ARN pour n'importe quel type de clé. Assurez-vous de n'entrer que ARNs pour les clés symétriques.

    3. Choisissez Advanced properties (Propriétés avancées) et sélectionnez Job bookmark encryption (Chiffrement de signet de tâche). Pour la CléAWS KMS , choisissez aws/glue (assurez-vous que l'utilisateur a l'autorisation d'utiliser cette clé). Cela permet de chiffrer les signets de tâches écrits sur Amazon S3 à l'aide du AWS Glue AWS KMS clé.

  9. Dans le volet de navigation, choisissez Connections (Connexions ).

    1. Choisissez Ajouter une connexion pour créer une connexion avec le magasin de données Java Database Connectivity (JDBC) qui est la cible de votre tâche ETL.

    2. Pour appliquer le chiffrement Secure Sockets Layer (SSL), sélectionnez Require SSL connection (Connexion SSL obligatoire) et testez votre connexion.

  10. Dans le volet de navigation, sélectionnez Tâches.

    1. Choisissez Ajouter une tâche pour créer une tâche qui transforme les données.

    2. Dans la définition de tâche, choisissez la configuration de sécurité que vous avez créée.

  11. Sur le AWS Glue console, exécutez votre travail à la demande. Vérifiez que toutes les données Amazon S3 écrites par la tâche, les CloudWatch journaux écrits par la tâche et les favoris de la tâche sont tous chiffrés.

Related resources

AWS Glue DataBrew Guide du développeur
AWS CLI commandes pour AWS Glue
SDKs et outils 

Related resources

AWS Glue DataBrew Guide du développeur
AWS CLI commandes pour AWS Glue
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.