Mendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS

AWS Lake Formation terintegrasi dengan AWS Key Management Service(AWS KMS) untuk memungkinkan Anda mengatur layanan terintegrasi lainnya dengan lebih mudah untuk mengenkripsi dan mendekripsi data di lokasi Amazon Simple Storage Service (Amazon S3).

Kedua kunci yang dikelola pelanggan dan Kunci yang dikelola AWS didukung. Enkripsi/dekripsi sisi klien tidak didukung.

penting

Hindari mendaftarkan bucket Amazon S3 yang mengaktifkan Requester pay. Untuk ember yang terdaftar di Lake Formation, peran yang digunakan untuk mendaftarkan ember selalu dipandang sebagai pemohon. Jika bucket diakses oleh AWS akun lain, pemilik bucket akan dikenakan biaya untuk akses data jika peran tersebut milik akun yang sama dengan pemilik bucket.

Bagian ini menjelaskan cara mendaftarkan lokasi Amazon S3 dalam keadaan berikut:

  • Data di lokasi Amazon S3 dienkripsi dengan kunci yang dibuat di. KMS AWS KMS

  • Lokasi Amazon S3 tidak berada di AWS akun yang sama dengan. AWS Glue Data Catalog

  • KMSKuncinya ada atau tidak ada di AWS akun yang sama dengan Katalog Data.

Mendaftarkan AWS KMS bucket Amazon S3 yang dienkripsi di AWS akun B menggunakan peran AWS Identity and Access Management (IAM) di AWS akun A memerlukan izin berikut:

  • Peran di akun A harus memberikan izin pada bucket di akun B.

  • Kebijakan bucket di akun B harus memberikan izin akses ke peran di Akun A.

  • Jika KMS kuncinya ada di akun B, kebijakan kunci harus memberikan akses ke peran di akun A, dan peran di akun A harus memberikan izin pada KMS kunci tersebut.

Dalam prosedur berikut, Anda membuat peran dalam AWS akun yang berisi Katalog Data (akun A dalam diskusi sebelumnya). Kemudian, Anda menggunakan peran ini untuk mendaftarkan lokasi. Lake Formation mengasumsikan peran ini saat mengakses data yang mendasarinya di Amazon S3. Peran yang diasumsikan memiliki izin yang diperlukan pada KMS kunci. Akibatnya, Anda tidak perlu memberikan izin pada KMS kunci kepada kepala sekolah yang mengakses data dasar dengan ETL pekerjaan atau dengan layanan terintegrasi seperti. Amazon Athena

penting

Anda tidak dapat menggunakan peran terkait layanan Lake Formation untuk mendaftarkan lokasi di akun lain. Anda harus menggunakan peran yang ditentukan pengguna sebagai gantinya. Peran tersebut harus memenuhi persyaratan diPersyaratan untuk peran yang digunakan untuk mendaftarkan lokasi. Untuk informasi selengkapnya tentang peran tertaut layanan, lihat Izin peran terkait layanan untuk Lake Formation.

Sebelum Anda Memulai

Tinjau persyaratan untuk peran yang digunakan untuk mendaftarkan lokasi.

Untuk mendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS

  1. Di AWS akun yang sama dengan Katalog Data, masuk ke AWS Management Console dan buka IAM konsol dihttps://console.aws.amazon.com/iam/.

  2. Buat peran baru atau lihat peran yang ada yang memenuhi persyaratan diPersyaratan untuk peran yang digunakan untuk mendaftarkan lokasi. Pastikan peran tersebut menyertakan kebijakan yang memberikan izin Amazon S3 di lokasi.

  3. Jika KMS kunci tidak berada di akun yang sama dengan Katalog Data, tambahkan ke peran kebijakan sebaris yang memberikan izin yang diperlukan pada kunci tersebut. KMS Berikut ini adalah contoh kebijakan . Ganti <cmk-region> and <cmk-account-id> dengan wilayah dan nomor akun KMS kunci. Ganti <key-id> dengan ID kunci.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey"
         ],
        "Resource": "arn:aws:kms:<cmk-region>:<cmk-account-id>:key/<key-id>"
        }
    ]
}

  4. Di konsol Amazon S3, tambahkan kebijakan bucket yang memberikan izin Amazon S3 yang diperlukan ke peran tersebut. Berikut ini adalah contoh kebijakan bucket. Ganti <catalog-account-id> dengan nomor AWS rekening Katalog Data, <role-name> dengan nama peran Anda, dan <bucket-name> dengan nama ember.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>"
            },
            "Action":"s3:ListBucket",
            "Resource":"arn:aws:s3:::<bucket-name>"
        },
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>"
            },
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource":"arn:aws:s3:::<bucket-name>/*"
        }
    ]
}

  5. Di AWS KMS, tambahkan peran sebagai pengguna KMS kunci.

    1. Buka AWS KMS konsol di https://console.aws.amazon.com/kms. Kemudian, masuk sebagai pengguna administrator atau sebagai pengguna yang dapat mengubah kebijakan kunci KMS kunci yang digunakan untuk mengenkripsi lokasi.

    2. Di panel navigasi, pilih Kunci yang dikelola pelanggan, lalu pilih nama KMS kunci.

    3. Pada halaman detail KMS utama, di bawah tab Kebijakan kunci, jika JSON tampilan kebijakan kunci tidak ditampilkan, pilih Beralih ke tampilan kebijakan.

    4. Di bagian Kebijakan kunci, pilih Edit, dan tambahkan Amazon Resource Name (ARN) peran ke Allow use of the key objek, seperti yang ditunjukkan pada contoh berikut.

      catatan

      Jika objek itu hilang, tambahkan dengan izin yang ditunjukkan dalam contoh.

              ...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::<catalog-account-id>:role/<role-name>"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...

      Untuk informasi selengkapnya, lihat Mengizinkan Pengguna di Akun Lain Menggunakan KMS kunci di Panduan AWS Key Management Service Pengembang.

  6. Buka AWS Lake Formation konsol di https://console.aws.amazon.com/lakeformation/. Masuk ke AWS akun Katalog Data sebagai administrator danau data.

  7. Di panel navigasi, di bawah Administrasi, pilih Lokasi danau data.

  8. Pilih Daftar lokasi.

  9. Pada halaman Daftar lokasi, untuk jalur Amazon S3, masukkan jalur lokasi sebagai. s3://<bucket>/<prefix> Ganti <bucket> dengan nama ember dan <prefix> dengan sisa jalan untuk lokasi.

    catatan

    Anda harus mengetik jalur karena bucket lintas akun tidak muncul dalam daftar saat Anda memilih Browse.

  10. Untuk IAMperan, pilih peran dari Langkah 2.

  11. Pilih Daftar lokasi.