Mendaftarkan lokasi Amazon S3 terenkripsi

Lake Formation terintegrasi dengan AWS Key Management Service(AWS KMS) untuk memungkinkan Anda mengatur layanan terintegrasi lainnya dengan lebih mudah untuk mengenkripsi dan mendekripsi data di lokasi Amazon Simple Storage Service (Amazon S3).

Baik pelanggan dikelola AWS KMS keys dan Kunci yang dikelola AWS didukung. Saat ini, enkripsi/dekripsi sisi klien hanya didukung dengan Athena.

Anda harus menentukan peran AWS Identity and Access Management (IAM) saat mendaftarkan lokasi Amazon S3. Untuk lokasi Amazon S3 terenkripsi, peran harus memiliki izin untuk mengenkripsi dan mendekripsi data dengan AWS KMS key, atau kebijakan kunci harus memberikan izin KMS pada kunci peran tersebut.

penting

Hindari mendaftarkan bucket Amazon S3 yang mengaktifkan Requester pay. Untuk ember yang terdaftar di Lake Formation, peran yang digunakan untuk mendaftarkan ember selalu dipandang sebagai pemohon. Jika bucket diakses oleh AWS akun lain, pemilik bucket akan dikenakan biaya untuk akses data jika peran tersebut milik akun yang sama dengan pemilik bucket.

Cara termudah untuk mendaftarkan lokasi adalah dengan menggunakan peran terkait layanan Lake Formation. Peran ini memberikan izin baca/tulis yang diperlukan di lokasi. Anda juga dapat menggunakan peran khusus untuk mendaftarkan lokasi, asalkan memenuhi persyaratan diPersyaratan untuk peran yang digunakan untuk mendaftarkan lokasi.

penting

Jika Anda menggunakan Kunci yang dikelola AWS (aws/s3) untuk mengenkripsi lokasi Amazon S3, Anda tidak dapat menggunakan peran terkait layanan Lake Formation. Anda harus menggunakan peran khusus dan menambahkan IAM izin pada kunci peran. Detail diberikan nanti di bagian ini.

Prosedur berikut menjelaskan cara mendaftarkan lokasi Amazon S3 yang dienkripsi dengan kunci yang dikelola pelanggan atau. Kunci yang dikelola AWS

Mendaftarkan lokasi yang dienkripsi dengan kunci yang dikelola pelanggan
Mendaftarkan lokasi yang dienkripsi dengan Kunci yang dikelola AWS

Sebelum Anda Memulai

Tinjau persyaratan untuk peran yang digunakan untuk mendaftarkan lokasi.

Untuk mendaftarkan lokasi Amazon S3 yang dienkripsi dengan kunci yang dikelola pelanggan

catatan

Jika KMS kunci atau lokasi Amazon S3 tidak berada di AWS akun yang sama dengan Katalog Data, ikuti petunjuknya sebagai gantinya. Mendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS

Buka AWS KMS konsol di https://console.aws.amazon.com/kms dan masuk sebagai AWS Identity and Access Management (IAM) pengguna administratif atau sebagai pengguna yang dapat mengubah kebijakan kunci KMS kunci yang digunakan untuk mengenkripsi lokasi.
Di panel navigasi, pilih Kunci yang dikelola pelanggan, lalu pilih nama KMS kunci yang diinginkan.
Pada halaman detail KMS utama, pilih tab Kebijakan kunci, lalu lakukan salah satu hal berikut untuk menambahkan peran kustom Anda atau peran terkait layanan Lake Formation sebagai pengguna KMS utama:
- Jika tampilan default ditampilkan (dengan administrator Kunci, Penghapusan kunci, Pengguna kunci, dan bagian AWS Akun lainnya) — Di bawah bagian Pengguna kunci, tambahkan peran kustom Anda atau peran terkait layanan Lake Formation. AWSServiceRoleForLakeFormationDataAccess
- Jika kebijakan kunci (JSON) ditampilkan — Edit kebijakan untuk menambahkan peran kustom Anda atau peran terkait layanan Lake Formation AWSServiceRoleForLakeFormationDataAccess ke objek “Izinkan penggunaan kunci,” seperti yang ditunjukkan pada contoh berikut.
  
  catatan
  Jika objek itu hilang, tambahkan dengan izin yang ditunjukkan dalam contoh. Contoh menggunakan peran terkait layanan.
```
        ...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
                    "arn:aws:iam::111122223333:user/keyuser"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...
```
Buka AWS Lake Formation konsol di https://console.aws.amazon.com/lakeformation/. Masuk sebagai administrator danau data atau sebagai pengguna dengan lakeformation:RegisterResource IAM izin.
Di panel navigasi, di bawah Daftar dan Ingest, pilih Lokasi danau data.
Pilih Daftarkan lokasi, lalu pilih Browse untuk memilih jalur Amazon Simple Storage Service (Amazon S3).
(Opsional, tetapi sangat disarankan) Pilih Tinjau izin lokasi untuk melihat daftar semua sumber daya yang ada di lokasi Amazon S3 yang dipilih dan izinnya.

Mendaftarkan lokasi yang dipilih dapat mengakibatkan pengguna Lake Formation Anda mendapatkan akses ke data yang sudah ada di lokasi tersebut. Melihat daftar ini membantu Anda memastikan bahwa data yang ada tetap aman.
Untuk IAMperan, pilih peran AWSServiceRoleForLakeFormationDataAccess terkait layanan (default) atau peran kustom Anda yang memenuhi. Persyaratan untuk peran yang digunakan untuk mendaftarkan lokasi
Pilih Daftar lokasi.

Untuk informasi selengkapnya tentang peran tertaut layanan, lihat Izin peran terkait layanan untuk Lake Formation.

Untuk mendaftarkan lokasi Amazon S3 yang dienkripsi dengan Kunci yang dikelola AWS

penting

Jika lokasi Amazon S3 tidak berada di AWS akun yang sama dengan Katalog Data, ikuti petunjuknyaMendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS.

Buat IAM peran yang akan digunakan untuk mendaftarkan lokasi. Pastikan memenuhi persyaratan yang tercantum diPersyaratan untuk peran yang digunakan untuk mendaftarkan lokasi.
Tambahkan kebijakan inline berikut ke peran. Ini memberikan izin pada kunci peran. ResourceSpesifikasi harus menunjuk Nama Sumber Daya Amazon (ARN) dari. Kunci yang dikelola AWS Anda dapat memperoleh ARN dari AWS KMS konsol. Untuk mendapatkan yang benarARN, pastikan Anda masuk ke AWS KMS konsol dengan AWS akun dan Wilayah yang sama dengan Kunci yang dikelola AWS yang digunakan untuk mengenkripsi lokasi.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "<Kunci yang dikelola AWS ARN>"
    }
  ]
}
```
Buka AWS Lake Formation konsol di https://console.aws.amazon.com/lakeformation/. Masuk sebagai administrator danau data atau sebagai pengguna dengan lakeformation:RegisterResource IAM izin.
Di panel navigasi, di bawah Daftar dan Ingest, pilih Lokasi danau data.
Pilih Daftarkan lokasi, lalu pilih Jelajahi untuk memilih jalur Amazon S3.
(Opsional, tetapi sangat disarankan) Pilih Tinjau izin lokasi untuk melihat daftar semua sumber daya yang ada di lokasi Amazon S3 yang dipilih dan izinnya.

Mendaftarkan lokasi yang dipilih dapat mengakibatkan pengguna Lake Formation Anda mendapatkan akses ke data yang sudah ada di lokasi tersebut. Melihat daftar ini membantu Anda memastikan bahwa data yang ada tetap aman.
Untuk IAMperan, pilih peran yang Anda buat di Langkah 1.
Pilih Daftar lokasi.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mendaftarkan lokasi Amazon S3

Mendaftarkan lokasi Amazon S3 di akun lain AWS