Protezione dei dati - Amazon EMR
Crittografia a riposoCrittografia in transito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati

Il modello di responsabilità AWS condivisa si applica alla protezione dei dati in Amazon EMR Serverless. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutto il AWS cloud. L'utente è responsabile di mantenere il controllo sui contenuti ospitati su questa infrastruttura. Questo contenuto include le attività di configurazione e gestione della sicurezza per i AWS servizi che utilizzi. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione Privacy dei dati FAQ. Per informazioni sulla protezione dei dati in Europa, consulta il Modello di responsabilità AWS condivisa e il post di GDPR blog sul AWS Security Blog.

Ai fini della protezione dei dati, ti consigliamo di proteggere le credenziali degli AWS account e di configurare singoli account con AWS Identity and Access Management (IAM). In questo modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere il proprio lavoro. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • UsaSSL/TLSper comunicare con AWS le risorse. Consigliamo TLS 1.2 o versioni successive.

  • Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS dei servizi.

  • Utilizza i servizi di sicurezza gestiti avanzati, ad esempio Amazon Macie, che aiutano a individuare e proteggere i dati personali archiviati in Amazon S3.

  • Utilizza le opzioni di crittografia Amazon EMR Serverless per crittografare i dati a riposo e in transito.

  • Se hai bisogno di FIPS 140-2 moduli crittografici convalidati per l'accesso AWS tramite un'interfaccia a riga di comando o un, usa un API endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard () 140-2. FIPS

Consigliamo di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi a formato libero come un campo Nome. Ciò include quando lavori con Amazon EMR Serverless o altri AWS servizi utilizzando la console, API AWS CLI, o AWS SDKs. Tutti i dati che inserisci in Amazon EMR Serverless o in altri servizi potrebbero essere raccolti per essere inclusi nei log di diagnostica. Quando fornisci un messaggio URL a un server esterno, non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.

Crittografia a riposo

La crittografia dei dati consente di impedire agli utenti non autorizzati di leggere dati su un cluster e sui sistemi di archiviazione di dati associati. Sono inclusi i dati salvati su supporti persistenti, noti come dati a riposo, e i dati che possono essere intercettati quando circolano in rete, noti come dati in transito.

La crittografia dei dati richiede chiavi e certificati. Puoi scegliere tra diverse opzioni, tra cui chiavi gestite da AWS Key Management Service, chiavi gestite da Amazon S3 e chiavi e certificati di fornitori personalizzati da te forniti. Quando lo utilizzi AWS KMS come fornitore di chiavi, vengono addebitati costi per l'archiviazione e l'uso delle chiavi di crittografia. Per ulteriori informazioni, consulta Prezzi di AWS KMS.

Prima di specificare le opzioni di crittografia, scegli i sistemi di gestione di chiavi e certificati che intendi utilizzare. Quindi, crea le chiavi e i certificati per i provider personalizzati specificati come parte delle impostazioni di crittografia.

Crittografia a riposo per EMRFS i dati in Amazon S3

Ogni applicazione EMR Serverless utilizza una versione di rilascio specifica, che include EMRFS (EMRFile System). La crittografia Amazon S3 funziona con oggetti EMR File System (EMRFS) letti e scritti su Amazon S3. Puoi specificare la crittografia lato server di Amazon S3 (SSE) o la crittografia lato client (CSE) come modalità di crittografia predefinita quando abiliti la crittografia a riposo. Facoltativamente, è possibile specificare diversi metodi di crittografia per singoli bucket utilizzando override di crittografia per bucket. Indipendentemente dal fatto che la crittografia Amazon S3 sia abilitata, Transport Layer Security (TLS) crittografa EMRFS gli oggetti in transito tra i nodi del EMR cluster e Amazon S3. Se utilizzi Amazon S3 CSE con chiavi gestite dal cliente, il ruolo di esecuzione utilizzato per eseguire lavori in un'applicazione EMR Serverless deve avere accesso alla chiave. Per informazioni approfondite sulla crittografia di Amazon S3, consulta Protection data using encryption nella Amazon Simple Storage Service Developer Guide.

Nota

Quando si utilizza AWS KMS, vengono addebitati costi per l'archiviazione e l'uso delle chiavi di crittografia. Per ulteriori informazioni, consulta Prezzi di AWS KMS.

Crittografia lato server di Amazon S3

Quando configuri la crittografia lato server Amazon S3, Amazon S3 esegue la crittografia dei dati a livello di oggetto, tramite la scrittura dei dati su disco, e ne esegue la decrittografia al momento dell'accesso. Per ulteriori informazioniSSE, consulta la sezione Protezione dei dati utilizzando la crittografia lato server nella Amazon Simple Storage Service Developer Guide.

Puoi scegliere tra due diversi sistemi di gestione delle chiavi quando lo specifichi SSE in Amazon EMR Serverless:

  • SSE-S3 ‐ Amazon S3 gestisce le chiavi per te. Non è richiesta alcuna configurazione aggiuntiva su Serverless. EMR

  • SSE- KMS ‐ Si utilizza una AWS KMS key configurazione con politiche adatte per EMR Serverless. Non è richiesta alcuna configurazione aggiuntiva su EMR Serverless.

Per utilizzare AWS KMS la crittografia per i dati che scrivi su Amazon S3, hai due opzioni quando usi la. StartJobRun API Puoi abilitare la crittografia per tutto ciò che scrivi su Amazon S3 oppure puoi abilitare la crittografia per i dati che scrivi in un bucket specifico. Per ulteriori informazioni su StartJobRunAPI, consulta il Serverless Reference. EMR API

Per attivare AWS KMS la crittografia per tutti i dati che scrivi su Amazon S3, usa i seguenti comandi quando chiami il. StartJobRun API 

--conf spark.hadoop.fs.s3.enableServerSideEncryption=true 
--conf spark.hadoop.fs.s3.serverSideEncryption.kms.keyId=<kms_id>

Per attivare AWS KMS la crittografia dei dati che scrivi in un bucket specifico, usa i seguenti comandi quando chiami il. StartJobRun API

--conf spark.hadoop.fs.s3.bucket.<amzn-s3-demo-bucket1>.enableServerSideEncryption=true
--conf spark.hadoop.fs.s3.bucket.<amzn-s3-demo-bucket1>.serverSideEncryption.kms.keyId=<kms-id>

SSEcon chiavi fornite dal cliente (SSE-C) non è disponibile per l'uso con Serverless. EMR

Crittografia lato client Amazon S3

Con la crittografia lato client di Amazon S3, la crittografia e la decrittografia di Amazon S3 avvengono nel client disponibile in ogni versione di Amazon. EMRFS EMR Gli oggetti vengono crittografati prima di essere caricati su Amazon S3 e decrittati dopo il loro download. Il provider specificato fornisce la chiave di crittografia utilizzata dal client. Il client può utilizzare le chiavi fornite da AWS KMS (CSE-KMS) o una classe Java personalizzata che fornisce la chiave radice sul lato client (-C). CSE Le specifiche di crittografia sono leggermente diverse tra CSE - KMS e CSE -C, a seconda del provider specificato e dei metadati dell'oggetto da decrittografare o crittografare. Se utilizzi Amazon S3 CSE con chiavi gestite dal cliente, il ruolo di esecuzione utilizzato per eseguire lavori in un'applicazione EMR Serverless deve avere accesso alla chiave. Potrebbero essere applicati costi aggiuntiviKMS. Per ulteriori informazioni su queste differenze, consulta la sezione Protezione dei dati utilizzando la crittografia lato client nella Amazon Simple Storage Service Developer Guide.

Crittografia del disco locale

I dati archiviati nello storage temporaneo sono crittografati con chiavi di proprietà del servizio utilizzando l'algoritmo crittografico -256 standard del settore. AES

Gestione delle chiavi

È possibile configurare la rotazione automatica delle KMS chiavi. KMS Verrà effettuata una rotazione delle chiavi una volta all'anno salvando le vecchie chiavi a tempo indeterminato in modo che i dati possano ancora essere decrittografati. Per ulteriori informazioni, consulta Rotazione delle chiavi cliente principali.

Crittografia in transito

Le seguenti funzionalità di crittografia specifiche dell'applicazione sono disponibili con Amazon Serverless: EMR

  • Spark

    • Per impostazione predefinita, la comunicazione tra i driver Spark e gli esecutori è autenticata e interna. RPCla comunicazione tra driver ed esecutori è crittografata.

  • Hive

    • La comunicazione tra il metastore AWS Glue e le applicazioni EMR Serverless avviene tramite. TLS

Dovresti consentire solo connessioni crittografate su HTTPS (TLS) utilizzando le policy dei IAM bucket aws: SecureTransport condition on Amazon S3.