Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mendaftarkan lokasi Amazon S3 terenkripsi
Lake Formation terintegrasi dengan AWS Key Management Service(AWS KMS) untuk memungkinkan Anda mengatur layanan terintegrasi lainnya dengan lebih mudah untuk mengenkripsi dan mendekripsi data di lokasi Amazon Simple Storage Service (Amazon S3).
Baik pelanggan dikelola AWS KMS keys dan Kunci yang dikelola AWS didukung. Saat ini, enkripsi/dekripsi sisi klien hanya didukung dengan Athena.
Anda harus menentukan peran AWS Identity and Access Management (IAM) saat mendaftarkan lokasi Amazon S3. Untuk lokasi Amazon S3 terenkripsi, peran harus memiliki izin untuk mengenkripsi dan mendekripsi data dengan AWS KMS key, atau kebijakan kunci harus memberikan izin KMS pada kunci peran.
penting
Hindari mendaftarkan bucket Amazon S3 yang mengaktifkan Requester pay. Untuk ember yang terdaftar di Lake Formation, peran yang digunakan untuk mendaftarkan ember selalu dipandang sebagai pemohon. Jika bucket diakses oleh AWS akun lain, pemilik bucket akan dikenakan biaya untuk akses data jika peran tersebut milik akun yang sama dengan pemilik bucket.
Cara termudah untuk mendaftarkan lokasi adalah dengan menggunakan peran terkait layanan Lake Formation. Peran ini memberikan izin baca/tulis yang diperlukan di lokasi. Anda juga dapat menggunakan peran khusus untuk mendaftarkan lokasi, asalkan memenuhi persyaratan diPersyaratan untuk peran yang digunakan untuk mendaftarkan lokasi.
penting
Jika Anda menggunakan Kunci yang dikelola AWS untuk mengenkripsi lokasi Amazon S3, Anda tidak dapat menggunakan peran terkait layanan Lake Formation. Anda harus menggunakan peran kustom dan menambahkan IAM izin pada kunci peran. Detail diberikan nanti di bagian ini.
Prosedur berikut menjelaskan cara mendaftarkan lokasi Amazon S3 yang dienkripsi dengan kunci yang dikelola pelanggan atau. Kunci yang dikelola AWS
Sebelum Anda Memulai
Tinjau persyaratan untuk peran yang digunakan untuk mendaftarkan lokasi.
Untuk mendaftarkan lokasi Amazon S3 yang dienkripsi dengan kunci yang dikelola pelanggan
catatan
Jika KMS kunci atau lokasi Amazon S3 tidak berada di AWS akun yang sama dengan Katalog Data, ikuti petunjuk di dalamnyaMendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS.
-
Buka AWS KMS konsol di https://console.aws.amazon.com/kms
dan masuk sebagai AWS Identity and Access Management (IAM) pengguna administratif atau sebagai pengguna yang dapat memodifikasi kebijakan kunci dari KMS kunci yang digunakan untuk mengenkripsi lokasi. -
Di panel navigasi, pilih Kunci yang dikelola pelanggan, lalu pilih nama KMS kunci yang diinginkan.
-
Pada halaman detail KMS utama, pilih tab Kebijakan kunci, lalu lakukan salah satu hal berikut untuk menambahkan peran kustom Anda atau peran terkait layanan Lake Formation sebagai pengguna KMS utama:
-
Jika tampilan default ditampilkan (dengan administrator Kunci, Penghapusan kunci, Pengguna kunci, dan bagian AWS Akun lainnya) — Di bawah bagian Pengguna kunci, tambahkan peran kustom Anda atau peran terkait layanan Lake Formation.
AWSServiceRoleForLakeFormationDataAccess
-
Jika kebijakan kunci (JSON) ditampilkan — Edit kebijakan untuk menambahkan peran kustom Anda atau peran terkait layanan Lake Formation
AWSServiceRoleForLakeFormationDataAccess
ke objek “Izinkan penggunaan kunci,” seperti yang ditunjukkan pada contoh berikut.catatan
Jika objek itu hilang, tambahkan dengan izin yang ditunjukkan dalam contoh. Contoh menggunakan peran terkait layanan.
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
-
Buka AWS Lake Formation konsol di https://console.aws.amazon.com/lakeformation/
. Masuk sebagai administrator danau data atau sebagai pengguna dengan lakeformation:RegisterResource
IAM izin. -
Di panel navigasi, di bawah Administrasi, pilih Lokasi danau data.
-
Pilih Daftar lokasi, lalu pilih Browse untuk memilih jalur Amazon Simple Storage Service (Amazon S3).
-
(Opsional, tetapi sangat disarankan) Pilih Tinjau izin lokasi untuk melihat daftar semua sumber daya yang ada di lokasi Amazon S3 yang dipilih dan izinnya.
Mendaftarkan lokasi yang dipilih dapat mengakibatkan pengguna Lake Formation Anda mendapatkan akses ke data yang sudah ada di lokasi tersebut. Melihat daftar ini membantu Anda memastikan bahwa data yang ada tetap aman.
-
Untuk IAMperan, pilih peran
AWSServiceRoleForLakeFormationDataAccess
terkait layanan (default) atau peran kustom Anda yang memenuhi. Persyaratan untuk peran yang digunakan untuk mendaftarkan lokasi -
Pilih Daftar lokasi.
Untuk informasi selengkapnya tentang peran tertaut layanan, lihat Izin peran terkait layanan untuk Lake Formation.
Untuk mendaftarkan lokasi Amazon S3 yang dienkripsi dengan Kunci yang dikelola AWS
penting
Jika lokasi Amazon S3 tidak berada di AWS akun yang sama dengan Katalog Data, ikuti petunjuknyaMendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS.
-
Buat IAM peran yang akan digunakan untuk mendaftarkan lokasi. Pastikan memenuhi persyaratan yang tercantum diPersyaratan untuk peran yang digunakan untuk mendaftarkan lokasi.
-
Tambahkan kebijakan inline berikut ke peran. Ini memberikan izin pada kunci peran.
Resource
Spesifikasi harus menunjuk Nama Sumber Daya Amazon (ARN) dari. Kunci yang dikelola AWS Anda dapat memperoleh ARN dari AWS KMS konsol. Untuk mendapatkan yang benarARN, pastikan Anda masuk ke AWS KMS konsol dengan AWS akun dan Wilayah yang sama dengan Kunci yang dikelola AWS yang digunakan untuk mengenkripsi lokasi.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "
<Kunci yang dikelola AWS ARN>
" } ] } -
Buka AWS Lake Formation konsol di https://console.aws.amazon.com/lakeformation/
. Masuk sebagai administrator danau data atau sebagai pengguna dengan lakeformation:RegisterResource
IAM izin. -
Di panel navigasi, di bawah Administrasi, pilih Lokasi danau data.
-
Pilih Daftarkan lokasi, lalu pilih Jelajahi untuk memilih jalur Amazon S3.
-
(Opsional, tetapi sangat disarankan) Pilih Tinjau izin lokasi untuk melihat daftar semua sumber daya yang ada di lokasi Amazon S3 yang dipilih dan izinnya.
Mendaftarkan lokasi yang dipilih dapat mengakibatkan pengguna Lake Formation Anda mendapatkan akses ke data yang sudah ada di lokasi tersebut. Melihat daftar ini membantu Anda memastikan bahwa data yang ada tetap aman.
-
Untuk IAMperan, pilih peran yang Anda buat di Langkah 1.
-
Pilih Daftar lokasi.