Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Bagaimana Amazon EMR menggunakan AWS KMS

PDF
RSS
Mode fokus
Bagaimana Amazon EMR menggunakan AWS KMS - AWS Key Management Service
Mengenkripsi data pada sistem file EMR (EMRFS)Mengenkripsi data pada volume penyimpanan simpul klasterKonteks enkripsi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Saat Anda menggunakan klaster Amazon EMR, Anda dapat mengonfigurasi klaster untuk mengenkripsi data at rest sebelum menyimpannya ke lokasi penyimpanan tetap. Anda dapat mengenkripsi data at rest pada Sistem File EMR (EMRFS), volume penyimpanan simpul klaster, atau keduanya. Untuk mengenkripsi data saat istirahat, Anda dapat menggunakan file AWS KMS key. Topik berikut menjelaskan bagaimana cluster EMR Amazon menggunakan kunci KMS untuk mengenkripsi data saat istirahat.

penting

Amazon EMR hanya mendukung kunci KMS simetris. Anda tidak dapat menggunakan kunci KMS asimetris untuk mengenkripsi data saat istirahat di cluster EMR Amazon. Untuk bantuan menentukan apakah kunci KMS simetris atau asimetris, lihat. Identifikasi berbagai jenis kunci

Klaster Amazon EMR juga mengenkripsi data dalam transit, yang berarti klaster mengenkripsi data sebelum mengirimnya melalui jaringan. Anda tidak dapat menggunakan kunci KMS untuk mengenkripsi data dalam perjalanan. Untuk informasi selengkapnya, lihat Enkripsi Data Dalam Transit di Panduan Pengelolaan Amazon EMR.

Untuk informasi selengkapnya tentang semua opsi enkripsi yang tersedia di Amazon EMR, lihat Opsi Enkripsi dalam Panduan Manajemen Amazon EMR.

Mengenkripsi data pada sistem file EMR (EMRFS)

Klaster Amazon EMR menggunakan dua sistem file terdistribusi:

  • Sistem File Terdistribusi Hadoop (HDFS). Enkripsi HDFS tidak menggunakan kunci KMS. AWS KMS

  • Sistem File EMR (EMRFS). Amazon EMR adalah implementasi HDFS yang memungkinkan klaster Amazon EMR untuk menyimpan data dalam Amazon Simple Storage Service (Amazon S3). EMRFS mendukung empat opsi enkripsi, dua di antaranya menggunakan kunci KMS. AWS KMS Untuk informasi selengkapnya tentang keempat opsi enkripsi EMRFS, lihat Opsi Enkripsi dalam Panduan Manajemen Amazon EMR.

Dua opsi enkripsi EMRFS yang menggunakan kunci KMS menggunakan fitur enkripsi berikut yang ditawarkan oleh Amazon S3:

Saat Anda mengonfigurasi kluster EMR Amazon untuk mengenkripsi data pada EMRFS dengan kunci KMS, Anda memilih kunci KMS yang ingin digunakan Amazon S3 atau kluster EMR Amazon. Dengan SSE-KMS, Anda dapat memilih untuk Amazon Kunci yang dikelola AWS S3 dengan alias aws/s3, atau kunci terkelola pelanggan simetris yang Anda buat. Dengan enkripsi sisi klien, Anda harus memilih kunci terkelola pelanggan simetris yang Anda buat. Ketika Anda memilih kunci yang dikelola pelanggan, Anda harus memastikan bahwa klaster EMR Amazon Anda memiliki izin untuk menggunakan kunci KMS. Untuk informasi selengkapnya, lihat Menggunakan AWS KMS keys enkripsi di Panduan Manajemen EMR Amazon.

Untuk enkripsi sisi server dan sisi klien, kunci KMS yang Anda pilih adalah kunci root dalam alur kerja enkripsi amplop. Data dienkripsi dengan kunci data unik yang dienkripsi di bawah kunci KMS. AWS KMS Data terenkripsi dan salinan terenkripsi dari kunci datanya disimpan bersama sebagai objek terenkripsi tunggal dalam bucket S3. Untuk informasi lebih lanjut tentang cara kerjanya, lihat topik berikut.

Proses untuk mengenkripsi data pada EMRFS dengan SSE-KMS

Saat Anda mengonfigurasi klaster Amazon EMR untuk menggunakan SSE-KMS, proses enkripsi bekerja seperti ini:

  1. Klaster mengirimkan data ke Amazon S3 untuk penyimpanan dalam bucket S3.

  2. Amazon S3 mengirimkan GenerateDataKeypermintaan ke AWS KMS, menentukan ID kunci kunci KMS yang Anda pilih saat Anda mengonfigurasi cluster untuk menggunakan SSE-KMS. Permintaan mencakup konteks enkripsi; untuk informasi selengkapnya, lihat Konteks enkripsi.

  3. AWS KMS menghasilkan kunci enkripsi data unik (kunci data) dan kemudian mengirimkan dua salinan kunci data ini ke Amazon S3. Satu salinan tidak terenkripsi (plaintext), dan salinan lainnya dienkripsi di bawah kunci KMS.

  4. Amazon S3 menggunakan kunci data plaintext untuk mengenkripsi data yang diterima di langkah 1, kemudian menghapus kunci data plaintext dari memori sesegera mungkin setelah digunakan.

  5. Amazon S3 menyimpan data terenkripsi dan salinan terenkripsi dari kunci data bersama sebagai objek terenkripsi tunggal dalam bucket S3.

Proses dekripsi bekerja seperti ini:

  1. Klaster mengajukan permintaan objek data yang dienkripsi dari bucket S3.

  2. Amazon S3 mengekstrak kunci data terenkripsi dari objek S3, dan kemudian mengirimkan kunci data terenkripsi dengan permintaan Dekripsi. AWS KMS Permintaan mencakup konteks enkripsi.

  3. AWS KMS mendekripsi kunci data terenkripsi menggunakan kunci KMS yang sama yang digunakan untuk mengenkripsinya, dan kemudian mengirimkan kunci data yang didekripsi (teks biasa) ke Amazon S3.

  4. Amazon S3 menggunakan kunci data plaintext untuk mendekripsi data yang dienkripsi, kemudian menghapus kunci data plaintext dari memori sesegera mungkin setelah digunakan.

  5. Amazon S3 mengirimkan data didekripsi ke klaster.

Proses untuk mengenkripsi data pada EMRFS dengan CSE-KMS

Saat Anda mengonfigurasi klaster Amazon EMR untuk menggunakan CSE-KMS, proses enkripsi bekerja seperti ini:

  1. Saat siap untuk menyimpan data di Amazon S3, klaster mengirimkan GenerateDataKeypermintaan ke AWS KMS, menentukan ID kunci kunci KMS yang Anda pilih saat Anda mengonfigurasi cluster untuk menggunakan CSE-KMS. Permintaan mencakup konteks enkripsi; untuk informasi selengkapnya, lihat Konteks enkripsi.

  2. AWS KMS menghasilkan kunci enkripsi data unik (kunci data) dan kemudian mengirimkan dua salinan kunci data ini ke cluster. Satu salinan tidak terenkripsi (plaintext), dan salinan lainnya dienkripsi di bawah kunci KMS.

  3. Klaster menggunakan kunci data plaintext untuk mengenkripsi data, kemudian menghapus kunci data plaintext dari memori sesegera mungkin setelah digunakan.

  4. Klaster mengombinasikan data terenkripsi dan salinan terenkripsi dari kunci data bersama sebagai objek terenkripsi tunggal.

  5. Klaster mengirimkan objek dienkripsi ke Amazon S3 untuk penyimpanan.

Proses dekripsi bekerja seperti ini:

  1. Klaster mengajukan permintaan objek data yang dienkripsi dari bucket S3.

  2. Amazon S3 mengirimkan objek terenkripsi ke klaster.

  3. Cluster mengekstrak kunci data terenkripsi dari objek terenkripsi, dan kemudian mengirimkan kunci data terenkripsi dengan permintaan Dekripsi. AWS KMS Permintaan mencakup konteks enkripsi.

  4. AWS KMS mendekripsi kunci data terenkripsi menggunakan kunci KMS yang sama yang digunakan untuk mengenkripsinya, dan kemudian mengirimkan kunci data yang didekripsi (plaintext) ke cluster.

  5. Klaster menggunakan kunci data plaintext untuk mendekripsi data terenkripsi, kemudian menghapus kunci data plaintext dari memori sesegera mungkin setelah digunakan.

Mengenkripsi data pada volume penyimpanan simpul klaster

Cluster EMR Amazon adalah kumpulan instans Amazon Elastic Compute Cloud (Amazon EC2). Setiap instans dalam klaster disebut simpul klaster atau simpul. Setiap simpul dapat memiliki dua jenis volume penyimpanan: volume penyimpanan instans, dan volume Amazon Elastic Block Store (Amazon EBS). Anda dapat mengonfigurasi klaster untuk menggunakan Penyiapan Kunci Terpadu Linux (LUKS) untuk mengenkripsi kedua jenis volume penyimpanan pada simpul (tetapi bukan boot volume dari setiap simpul). Ini disebut enkripsi disk lokal.

Saat Anda mengaktifkan enkripsi disk lokal untuk sebuah cluster, Anda dapat memilih untuk mengenkripsi kunci LUKS dengan kunci KMS. AWS KMS Anda harus memilih kunci yang dikelola pelanggan yang Anda buat; Anda tidak dapat menggunakan Kunci yang dikelola AWS. Jika Anda memilih kunci yang dikelola pelanggan, Anda harus memastikan bahwa klaster EMR Amazon Anda memiliki izin untuk menggunakan kunci KMS. Untuk informasi selengkapnya, lihat Menggunakan AWS KMS keys enkripsi di Panduan Manajemen EMR Amazon.

Saat Anda mengaktifkan enkripsi disk lokal menggunakan kunci KMS, proses enkripsi berfungsi seperti ini:

  1. Ketika setiap node cluster diluncurkan, ia mengirimkan GenerateDataKeypermintaan ke AWS KMS, menentukan ID kunci dari kunci KMS yang Anda pilih ketika Anda mengaktifkan enkripsi disk lokal untuk cluster.

  2. AWS KMS menghasilkan kunci enkripsi data unik (kunci data) dan kemudian mengirimkan dua salinan kunci data ini ke node. Satu salinan tidak terenkripsi (plaintext), dan salinan lainnya dienkripsi di bawah kunci KMS.

  3. Node menggunakan versi base64 yang dikodekan dari kunci data plaintext sebagai kata sandi yang melindungi kunci LUKS. Simpul menyimpan salinan terenkripsi dari kunci data pada volume boot.

  4. Jika node reboot, node reboot mengirimkan kunci data terenkripsi dengan permintaan Dekripsi. AWS KMS

  5. AWS KMS mendekripsi kunci data terenkripsi menggunakan kunci KMS yang sama yang digunakan untuk mengenkripsinya, dan kemudian mengirimkan kunci data yang didekripsi (plaintext) ke node.

  6. Node menggunakan versi base64 yang dikodekan dari kunci data plaintext sebagai kata sandi untuk membuka kunci LUKS.

Konteks enkripsi

Setiap AWS layanan yang terintegrasi dengan AWS KMS dapat menentukan konteks enkripsi ketika layanan menggunakan AWS KMS untuk menghasilkan kunci data atau untuk mengenkripsi atau mendekripsi data. Konteks enkripsi adalah informasi otentikasi tambahan yang AWS KMS digunakan untuk memeriksa integritas data. Ketika layanan menentukan konteks enkripsi untuk operasi enkripsi, itu harus menentukan konteks enkripsi yang sama untuk operasi dekripsi yang sesuai atau dekripsi akan gagal. Konteks enkripsi juga ditulis ke file AWS CloudTrail log, yang dapat membantu Anda memahami mengapa kunci KMS tertentu digunakan.

Bagian berikut menjelaskan konteks enkripsi yang digunakan dalam setiap skenario enkripsi EMR Amazon yang menggunakan kunci KMS.

Konteks enkripsi untuk enkripsi EMRFS dengan SSE-KMS

Dengan SSE-KMS, cluster EMR Amazon mengirimkan data ke Amazon S3, dan kemudian Amazon S3 menggunakan kunci KMS untuk mengenkripsi data sebelum menyimpannya ke bucket S3. Dalam hal ini, Amazon S3 menggunakan Nama Sumber Daya Amazon (ARN) dari objek S3 sebagai konteks enkripsi dengan masing-masing GenerateDataKeydan Dekripsi permintaan yang dikirimkannya. AWS KMS Contoh berikut menunjukkan representasi JSON dari konteks enkripsi yang digunakan Amazon S3.

{ "aws:s3:arn" : "arn:aws:s3:::S3_bucket_name/S3_object_key" }

Konteks enkripsi untuk enkripsi EMRFS dengan CSE-KMS

Dengan CSE-KMS, cluster EMR Amazon menggunakan kunci KMS untuk mengenkripsi data sebelum mengirimnya ke Amazon S3 untuk penyimpanan. Dalam hal ini, cluster menggunakan Amazon Resource Name (ARN) dari kunci KMS sebagai konteks enkripsi dengan masing-masing GenerateDataKeydan Decrypt request yang dikirimkan. AWS KMS Contoh berikut menunjukkan representasi JSON dari konteks enkripsi yang digunakan klaster.

{ "kms_cmk_id" : "arn:aws:kms:us-east-2:111122223333:key/0987ab65-43cd-21ef-09ab-87654321cdef" }

Konteks enkripsi untuk enkripsi disk lokal dengan LUKS

Ketika kluster EMR Amazon menggunakan enkripsi disk lokal dengan LUKS, node cluster tidak menentukan konteks enkripsi dengan GenerateDataKeydan Dekripsi permintaan yang mereka kirim. AWS KMS

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.