Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia dei log
Crittografia dei log EMR Serverless con storage gestito
Per crittografare i log nello storage gestito con la tua KMS chiave, usa la managedPersistenceMonitoringConfiguration
configurazione quando invii un job run.
{ "monitoringConfiguration": { "managedPersistenceMonitoringConfiguration" : { "encryptionKeyArn": "
key-arn
" } } }
Crittografia dei log EMR serverless con bucket Amazon S3
Per crittografare i log nel tuo bucket Amazon S3 con la KMS tua chiave, usa la configurazione quando s3MonitoringConfiguration
invii un job run.
{ "monitoringConfiguration": { "s3MonitoringConfiguration": { "logUri": "s3://
amzn-s3-demo-logging-bucket
/logs/", "encryptionKeyArn": "key-arn
" } } }
Crittografia dei log EMR Serverless con Amazon CloudWatch
Per crittografare i log in Amazon CloudWatch con la tua KMS chiave, usa la cloudWatchLoggingConfiguration
configurazione quando invii un job run.
{ "monitoringConfiguration": { "cloudWatchLoggingConfiguration": { "enabled": true, "encryptionKeyArn": "key-arn" } } }
Autorizzazioni richieste per la crittografia dei log
In questa sezione
Autorizzazioni utente richieste
L'utente che invia il lavoro o visualizza i log dell'applicazione UIs deve disporre delle autorizzazioni per utilizzare la chiave. È possibile specificare le autorizzazioni nella politica KMS chiave o nella IAM politica per l'utente, il gruppo o il ruolo. Se l'utente che invia il job non dispone delle autorizzazioni KMS chiave, EMR Serverless rifiuta l'invio dell'esecuzione del job.
Esempio di politica chiave
La seguente politica chiave fornisce le autorizzazioni per kms:GenerateDataKey
ekms:Decrypt
:
{ "Effect": "Allow", "Principal":{ "AWS": "arn:aws:iam::
111122223333
:user/user-name
" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }
Politica di esempio IAM
La seguente IAM politica fornisce le autorizzazioni per kms:GenerateDataKey
ekms:Decrypt
:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "
key-arn
" } }
Per avviare l'interfaccia utente di Spark o Tez, devi concedere ai tuoi utenti, gruppi o ruoli le autorizzazioni per accedere a quanto segue: emr-serverless:GetDashboardForJobRun
API
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "emr-serverless:GetDashboardForJobRun" ] } }
Autorizzazioni delle chiavi di crittografia per Amazon S3 e storage gestito
Quando crittografi i log con la tua chiave di crittografia nello storage gestito o nei bucket S3, devi configurare le autorizzazioni delle chiavi come segue. KMS
Il emr-serverless.amazonaws.com
principale deve disporre delle seguenti autorizzazioni nella politica per la chiave: KMS
{ "Effect": "Allow", "Principal":{ "Service": "emr-serverless.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*" "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:emr-serverless:region:
aws-account-id
:/applications/application-id
" } } }
Come procedura consigliata in materia di sicurezza, si consiglia di aggiungere una chiave di aws:SourceArn
condizione alla policy KMS chiave. La chiave di condizione IAM globale aws:SourceArn
aiuta a garantire che EMR Serverless utilizzi la KMS chiave solo per un'applicazioneARN.
Il ruolo di job runtime deve disporre delle seguenti autorizzazioni nella sua IAM politica:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "
key-arn
" } }
Autorizzazioni per le chiavi di crittografia per Amazon CloudWatch
Per associare la KMS chiave ARN al tuo gruppo di log, utilizza la seguente IAM politica per il ruolo Job Runtime.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "logs:AssociateKmsKey" ], "Resource": [ "arn:aws:logs:
Regione AWS
:111122223333
:log-group:my-log-group-name
:*" ] } }
Configura la politica KMS chiave per concedere KMS le autorizzazioni ad Amazon CloudWatch:
{ "Version": "2012-10-17", "Id": "key-default-1", "Statement": { "Effect": "Allow", "Principal": { "Service": "logs.
Regione AWS
.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", ], "Resource": "*", "Condition": { "ArnLike": { "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:Regione AWS
:111122223333
:*" } } } }