Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perlindungan data
Model tanggung jawab AWS bersama
Untuk tujuan perlindungan data, kami menyarankan Anda untuk melindungi AWS kredensil akun dan menyiapkan akun individual dengan AWS Identity and Access Management ()IAM. Dengan cara ini, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugas mereka. Kami juga merekomendasikan agar Anda mengamankan data Anda dengan cara-cara berikut ini:
-
Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.
-
GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami merekomendasikan TLS 1.2 atau yang lebih baru.
-
Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.
-
Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default dalam AWS layanan.
-
Gunakan layanan keamanan terkelola lanjutan seperti Amazon Macie, yang membantu menemukan dan mengamankan data pribadi yang disimpan di Amazon S3.
-
Gunakan opsi enkripsi Amazon EMR Tanpa Server untuk mengenkripsi data saat istirahat dan dalam perjalanan.
-
Jika Anda memerlukan FIPS 140-2 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atau, gunakan titik akhir. API FIPS Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat Federal Information Processing Standard (FIPS) 140-2
.
Sebaiknya jangan pernah memasukkan informasi identitas yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam bidang isian bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan Amazon EMR Tanpa Server atau AWS layanan lain menggunakan konsol,, API AWS CLI, atau. AWS SDKs Data apa pun yang Anda masukkan ke Amazon EMR Tanpa Server atau layanan lain mungkin diambil untuk dimasukkan dalam log diagnostik. Ketika Anda memberikan URL ke server eksternal, jangan sertakan informasi kredensional dalam URL untuk memvalidasi permintaan Anda ke server tersebut.
Enkripsi diam
Enkripsi data membantu mencegah pengguna yang tidak sah membaca data pada klaster dan sistem penyimpanan data terkait. Ini termasuk data yang disimpan ke media persisten, yang dikenal sebagai data at rest, dan data yang mungkin dicegat saat perjalanan jaringan, yang dikenal sebagai data dalam transit.
Enkripsi data memerlukan kunci dan sertifikat. Anda dapat memilih dari beberapa opsi, termasuk kunci yang dikelola oleh AWS Key Management Service, kunci yang dikelola oleh Amazon S3, dan kunci serta sertifikat dari penyedia khusus yang Anda berikan. Saat menggunakan AWS KMS sebagai penyedia kunci Anda, biaya berlaku untuk penyimpanan dan penggunaan kunci enkripsi. Untuk informasi selengkapnya, lihat harga AWS KMS
Sebelum Anda menentukan opsi enkripsi, tentukan sistem manajemen kunci dan sertifikat yang ingin Anda gunakan. Kemudian buat kunci dan sertifikat untuk penyedia kustom yang Anda tentukan sebagai bagian dari pengaturan enkripsi.
Enkripsi saat istirahat untuk EMRFS data di Amazon S3
Setiap aplikasi EMR Tanpa Server menggunakan versi rilis tertentu, yang mencakup EMRFS (Sistem EMR File). Enkripsi Amazon S3 berfungsi dengan objek Sistem EMR File (EMRFS) yang dibaca dan ditulis ke Amazon S3. Anda dapat menentukan enkripsi sisi server Amazon S3 (SSE) atau enkripsi sisi klien (CSE) sebagai mode enkripsi Default saat Anda mengaktifkan enkripsi saat istirahat. Secara opsional, Anda dapat menentukan metode enkripsi yang berbeda untuk setiap bucket menggunakan Per penimpaan enkripsi bucket. Terlepas dari apakah enkripsi Amazon S3 diaktifkan, Transport Layer Security (TLS) mengenkripsi EMRFS objek yang sedang transit antara node EMR cluster dan Amazon S3. Jika Anda menggunakan Amazon S3 CSE dengan kunci yang dikelola pelanggan, peran eksekusi yang digunakan untuk menjalankan pekerjaan di aplikasi EMR Tanpa Server harus memiliki akses ke kunci tersebut. Untuk informasi mendalam tentang enkripsi Amazon S3, lihat Melindungi data menggunakan enkripsi di Panduan Pengembang Layanan Penyimpanan Sederhana Amazon.
catatan
Saat Anda menggunakan AWS KMS, biaya berlaku untuk penyimpanan dan penggunaan kunci enkripsi. Untuk informasi selengkapnya, lihat harga AWS KMS
Enkripsi sisi server Amazon S3
Saat Anda mengatur enkripsi sisi server Amazon S3, Amazon S3 akan mengenkripsi data pada tingkat objek saat menulis data ke disk dan mendekripsi data saat diakses. Untuk informasi selengkapnyaSSE, lihat Melindungi data menggunakan enkripsi sisi server di Panduan Pengembang Layanan Penyimpanan Sederhana Amazon.
Anda dapat memilih di antara dua sistem manajemen kunci yang berbeda saat Anda menentukan SSE di Amazon Tanpa EMR Server:
-
SSE-S3 - Amazon S3 mengelola kunci untuk Anda. Tidak ada pengaturan tambahan yang diperlukan di Tanpa EMR Server.
-
SSE- KMS - Anda menggunakan sebuah AWS KMS key untuk mengatur dengan kebijakan yang cocok untuk Tanpa EMR Server. Tidak ada pengaturan tambahan yang diperlukan di Tanpa EMR Server.
Untuk menggunakan AWS KMS enkripsi untuk data yang Anda tulis ke Amazon S3, Anda memiliki dua opsi saat menggunakan. StartJobRun API Anda dapat mengaktifkan enkripsi untuk semua yang Anda tulis ke Amazon S3, atau Anda dapat mengaktifkan enkripsi untuk data yang Anda tulis ke bucket tertentu. Untuk informasi selengkapnya tentang StartJobRunAPI, lihat Referensi EMRTanpa Server API
Untuk mengaktifkan AWS KMS enkripsi untuk semua data yang Anda tulis ke Amazon S3, gunakan perintah berikut saat Anda memanggil file. StartJobRun API
--conf spark.hadoop.fs.s3.enableServerSideEncryption=true --conf spark.hadoop.fs.s3.serverSideEncryption.kms.keyId=<kms_id>
Untuk mengaktifkan AWS KMS enkripsi data yang Anda tulis ke bucket tertentu, gunakan perintah berikut saat Anda memanggil StartJobRunAPI.
--conf spark.hadoop.fs.s3.bucket.<amzn-s3-demo-bucket1>.enableServerSideEncryption=true --conf spark.hadoop.fs.s3.bucket.<amzn-s3-demo-bucket1>.serverSideEncryption.kms.keyId=<kms-id>
SSEdengan kunci yang disediakan pelanggan (SSE-C) tidak tersedia untuk digunakan dengan Tanpa Server. EMR
Enkripsi di sisi klien Amazon S3
Dengan enkripsi sisi klien Amazon S3, enkripsi dan dekripsi Amazon S3 berlangsung di klien yang tersedia di setiap rilis Amazon. EMRFS EMR Objek dienkripsi sebelum diunggah ke Amazon S3 dan didekripsi setelah diunduh. Penyedia yang Anda tentukan menyediakan kunci enkripsi yang digunakan klien. Klien dapat menggunakan kunci yang disediakan oleh AWS KMS (CSE-KMS) atau kelas Java kustom yang menyediakan kunci root sisi klien (CSE-C). Spesifikasi enkripsi sedikit berbeda antara CSE - KMS dan CSE -C, tergantung pada penyedia yang ditentukan dan metadata objek yang didekripsi atau dienkripsi. Jika Anda menggunakan Amazon S3 CSE dengan kunci yang dikelola pelanggan, peran eksekusi yang digunakan untuk menjalankan pekerjaan di aplikasi EMR Tanpa Server harus memiliki akses ke kunci tersebut. KMSBiaya tambahan mungkin berlaku. Untuk informasi selengkapnya tentang perbedaan ini, lihat Melindungi data menggunakan enkripsi sisi klien di Panduan Pengembang Layanan Penyimpanan Sederhana Amazon.
Enkripsi disk lokal
Data yang disimpan dalam penyimpanan sementara dienkripsi dengan kunci yang dimiliki layanan menggunakan standar AES industri -256 algoritma kriptografi.
Manajemen kunci
Anda dapat mengonfigurasi KMS untuk memutar KMS kunci Anda secara otomatis. Ini merotasi kunci Anda setahun sekali sambil menyimpan kunci lama tanpa batas waktu sehingga data Anda masih dapat didekripsi. Untuk informasi tambahan, lihat Merotasi kunci master pelanggan.
Enkripsi bergerak
Fitur enkripsi khusus aplikasi berikut tersedia dengan Amazon EMR Serverless:
-
Spark
-
Secara default, komunikasi antara driver Spark dan pelaksana diautentikasi dan internal. RPCkomunikasi antara driver dan pelaksana dienkripsi.
-
-
Hive
-
Komunikasi antara metastore AWS Glue dan aplikasi EMR Tanpa Server terjadi melalui. TLS
-
Anda harus mengizinkan hanya koneksi terenkripsi over HTTPS (TLS) menggunakan aws: SecureTransport condition pada kebijakan bucket Amazon IAM S3.
