Mengenkripsi data yang ditulis oleh AWS Glue - AWS Glue
Mengatur AWS Glue untuk menggunakan konfigurasi keamananMembuat Rute ke AWS KMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi data yang ditulis oleh AWS Glue

Konfigurasi keamanan adalah seperangkat properti keamanan yang dapat digunakan oleh AWS Glue. Anda dapat menggunakan konfigurasi keamanan untuk mengenkripsi data saat istirahat. Skenario berikut menunjukkan beberapa cara yang dapat Anda pakai untuk menggunakan konfigurasi keamanan.

  • Lampirkan konfigurasi keamanan ke AWS Glue crawler untuk menulis Log Amazon CloudWatch terenkripsi. Untuk informasi selengkapnya tentang melampirkan konfigurasi keamanan ke crawler, lihat. Langkah 3: Konfigurasikan pengaturan keamanan

  • Lampirkan konfigurasi keamanan ke tugas ekstrak, transformasi, dan muat (ETL) untuk menulis target Amazon Simple Storage Service (Amazon S3) terenkripsi dan Log terenkripsi. CloudWatch

  • Melampirkan sebuah konfigurasi keamanan untuk tugas ETL untuk menulis bookmark tugas sebagai data Amazon S3 yang dienkripsi.

  • Melampirkan sebuah konfigurasi keamanan untuk titik akhir pengembangan untuk menulis target Amazon S3 yang terenkripsi.

penting

Saat ini, sebuah konfigurasi keamanan menimpa pengaturan enkripsi sisi server (SSE-S3) yang diberikan sebagai parameter tugas ETL. Jadi, jika sebuah konfigurasi keamanan dan parameter SSE-S3 dikaitkan dengan sebuah tugas, maka parameter SSE-S3 akan diabaikan.

Untuk informasi selengkapnya tentang konfigurasi keamanan, lihat Mengelola konfigurasi keamanan pada AWS Glue konsol.

Topik

Mengatur AWS Glue untuk menggunakan konfigurasi keamanan

Ikuti langkah-langkah ini untuk mengatur AWS Glue lingkungan untuk menggunakan konfigurasi keamanan.

  1. Membuat atau memperbarui kunci AWS Key Management Service (AWS KMS) Anda untuk memberikan AWS KMS izin ke peran IAM yang diteruskan AWS Glue crawler dan pekerjaan untuk mengenkripsi Log CloudWatch . Untuk informasi selengkapnya, lihat Mengenkripsi Data Log di CloudWatch Log Menggunakan AWS KMS di Panduan Pengguna Amazon CloudWatch Logs.

    Dalam contoh berikut,, "role1""role2", dan "role3" merupakan peran IAM yang diteruskan ke crawler dan pekerjaan.

    {
       "Effect": "Allow",
       "Principal": { "Service": "logs.region.amazonaws.com",
       "AWS": [
                "role1",
                "role2",
                "role3"
             ] },
                    "Action": [
                           "kms:Encrypt*",
                           "kms:Decrypt*",
                           "kms:ReEncrypt*",
                           "kms:GenerateDataKey*",
                           "kms:Describe*"
                    ],
                    "Resource": "*"
}

    ServicePernyataan, ditampilkan sebagai"Service": "logs.region.amazonaws.com", diperlukan jika Anda menggunakan kunci untuk mengenkripsi CloudWatch Log.

  2. Pastikan AWS KMS kuncinya ENABLED sebelum digunakan.

catatan

Jika Anda menggunakan Iceberg sebagai kerangka data lake Anda, tabel Iceberg memiliki mekanisme sendiri untuk mengaktifkan enkripsi sisi server. Anda harus mengaktifkan konfigurasi ini selain AWS Glue konfigurasi keamanan. Untuk mengaktifkan enkripsi sisi server pada tabel Iceberg, tinjau panduan dari dokumentasi Iceberg.

Membuat rute AWS KMS untuk pekerjaan dan crawler VPC

Anda dapat connect langsung ke AWS KMS melalui titik akhir privat di virtual private cloud (VPC) Anda alih-alih terhubung melalui internet. Saat Anda menggunakan titik akhir VPC, komunikasi antara VPC Anda dan AWS KMS dilakukan sepenuhnya di dalam jaringan. AWS

Anda dapat membuat titik akhir AWS KMS VPC dalam VPC. Tanpa langkah ini, tugas atau crawler Anda mungkin gagal dengan kms timeout pada tugas atau internal service exception pada crawler. Untuk petunjuk terperinci, lihat Menghubungkan ke AWS KMS Melalui Titik Akhir VPC di Panduan Pengembang.AWS Key Management Service

Saat Anda mengikuti petunjuk ini, pada Konsol VPC, Anda harus melakukan hal berikut:

  • Pilih Mengaktifkan Nama DNS Privat.

  • Pilih Grup keamanan (dengan aturan self-referencing) yang Anda gunakan untuk tugas Anda atau crawler yang mengakses Java Database Connectivity (JDBC). Untuk informasi lebih lanjut tentang AWS Glue koneksi, lihatMenghubungkan ke data.

Saat Anda menambahkan konfigurasi keamanan ke crawler atau pekerjaan yang mengakses penyimpanan data JDBC, AWS Glue harus memiliki rute ke AWS KMS titik akhir. Anda dapat memberikan rute dengan gateway terjemahan alamat jaringan (NAT) atau dengan titik akhir AWS KMS VPC. Untuk membuat gateway NAT, lihat Gateway NAT di Panduan Pengguna Amazon VPC.