Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan kunci terkelola pelanggan untuk enkripsi
Anda dapat secara opsional memberikan kunci terkelola Pelanggan untuk enkripsi data di lingkungan Anda. Anda harus membuat KMS kunci terkelola pelanggan di Wilayah yang sama dengan instans MWAA lingkungan Amazon dan bucket Amazon S3 tempat Anda menyimpan sumber daya untuk alur kerja. Jika KMS kunci terkelola pelanggan yang Anda tentukan berada di akun yang berbeda dari yang Anda gunakan untuk mengonfigurasi lingkungan, Anda harus menentukan kunci yang menggunakannya ARN untuk akses lintas akun. Untuk informasi selengkapnya tentang membuat kunci, lihat Membuat Kunci di Panduan AWS Key Management Service Pengembang.
Apa yang didukung
| AWS KMS fitur | Didukung |
|---|---|
|
Ya |
|
|
Tidak |
|
|
Tidak |
Menggunakan Hibah untuk Enkripsi
Topik ini menjelaskan hibah yang MWAA dilampirkan Amazon ke KMS kunci yang dikelola pelanggan atas nama Anda untuk mengenkripsi dan mendekripsi data Anda.
Cara kerjanya
Ada dua mekanisme kontrol akses berbasis sumber daya yang didukung oleh AWS KMS untuk kunci yang dikelola pelanggan: kebijakan KMS kunci dan hibah.
Kebijakan kunci digunakan ketika izin sebagian besar statis dan digunakan dalam mode layanan sinkron. Hibah digunakan ketika izin yang lebih dinamis dan terperinci diperlukan, seperti ketika layanan perlu menentukan izin akses yang berbeda untuk dirinya sendiri atau akun lain.
Amazon MWAA menggunakan dan melampirkan empat kebijakan hibah ke KMS kunci yang dikelola pelanggan Anda. Ini karena izin granular yang diperlukan untuk lingkungan untuk mengenkripsi data saat istirahat dari Log, SQS antrian Amazon CloudWatch , database database Aurora SQL Postgre, rahasia Secrets Manager, bucket Amazon S3, dan tabel DynamoDB.
Saat Anda membuat MWAA lingkungan Amazon dan menentukan KMS kunci yang dikelola pelanggan, Amazon MWAA melampirkan kebijakan hibah ke KMS kunci terkelola pelanggan Anda. Kebijakan ini memungkinkan Amazon MWAA menggunakan KMS kunci yang dikelola pelanggan Anda untuk mengenkripsi sumber daya atas nama Anda yang dimiliki oleh AmazonMWAA. airflow. region}.amazonaws.com
Amazon MWAA membuat, dan melampirkan, hibah tambahan ke KMS kunci tertentu atas nama Anda. Ini termasuk kebijakan untuk menghentikan hibah jika Anda menghapus lingkungan Anda, untuk menggunakan KMS kunci yang dikelola pelanggan Anda untuk Enkripsi Sisi Klien (CSE), dan untuk peran AWS Fargate eksekusi yang perlu mengakses rahasia yang dilindungi oleh kunci yang dikelola pelanggan Anda di Secrets Manager.
Kebijakan hibah
Amazon MWAA menambahkan hibah kebijakan berbasis sumber daya berikut atas nama Anda ke KMS kunci yang dikelola pelanggan. Kebijakan ini memungkinkan penerima hibah dan kepala sekolah MWAA (Amazon) untuk melakukan tindakan yang ditentukan dalam kebijakan.
Hibah 1: digunakan untuk membuat sumber daya bidang data
{ "Name": "mwaa-grant-for-env-mgmt-role-environment name", "GranteePrincipal": "airflow.region.amazonaws.com", "RetiringPrincipal": "airflow.region.amazonaws.com", "Operations": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey", "kms:RetireGrant" ] }
Hibah 2: digunakan untuk ControllerLambdaExecutionRole akses
{ "Name": "mwaa-grant-for-lambda-exec-environment name", "GranteePrincipal": "airflow.region.amazonaws.com", "RetiringPrincipal": "airflow.region.amazonaws.com", "Operations": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:RetireGrant" ] }
Hibah 3: digunakan untuk CfnManagementLambdaExecutionRole akses
{ "Name": " mwaa-grant-for-cfn-mgmt-environment name", "GranteePrincipal": "airflow.region.amazonaws.com", "RetiringPrincipal": "airflow.region.amazonaws.com", "Operations": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ] }
Grant 4: digunakan untuk peran eksekusi Fargate untuk mengakses rahasia backend
{ "Name": "mwaa-fargate-access-for-environment name", "GranteePrincipal": "airflow.region.amazonaws.com", "RetiringPrincipal": "airflow.region.amazonaws.com", "Operations": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:RetireGrant" ] }
Melampirkan kebijakan utama ke kunci yang dikelola pelanggan
Jika Anda memilih untuk menggunakan KMS kunci yang dikelola pelanggan Anda sendiri dengan AmazonMWAA, Anda harus melampirkan kebijakan berikut ke kunci untuk mengizinkan Amazon menggunakannya MWAA untuk mengenkripsi data Anda.
Jika KMS kunci terkelola pelanggan yang Anda gunakan untuk MWAA lingkungan Amazon belum dikonfigurasi untuk berfungsi CloudWatch, Anda harus memperbarui kebijakan kunci untuk mengizinkan Log terenkripsi CloudWatch . Untuk informasi selengkapnya, lihat Enkripsi data log dalam CloudWatch menggunakan AWS Key Management Service layanan.
Contoh berikut merupakan kebijakan kunci untuk CloudWatch Log. Gantikan nilai sampel yang disediakan untuk wilayah tersebut.
{ "Effect": "Allow", "Principal": { "Service": "logs.us-west-2.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*", "Condition": { "ArnLike": { "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-west-2:*:*" } } }
