Crittografia dei log - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei log

Crittografia dei log EMR Serverless con storage gestito

Per crittografare i log nello storage gestito con la tua KMS chiave, usa la managedPersistenceMonitoringConfiguration configurazione quando invii un job run.

{ "monitoringConfiguration": { "managedPersistenceMonitoringConfiguration" : { "encryptionKeyArn": "key-arn" } } }

Crittografia dei log EMR serverless con bucket Amazon S3

Per crittografare i log nel tuo bucket Amazon S3 con la KMS tua chiave, usa la configurazione quando s3MonitoringConfiguration invii un job run.

{ "monitoringConfiguration": { "s3MonitoringConfiguration": { "logUri": "s3://amzn-s3-demo-logging-bucket/logs/", "encryptionKeyArn": "key-arn" } } }

Crittografia dei log EMR Serverless con Amazon CloudWatch

Per crittografare i log in Amazon CloudWatch con la tua KMS chiave, usa la cloudWatchLoggingConfiguration configurazione quando invii un job run.

{ "monitoringConfiguration": { "cloudWatchLoggingConfiguration": { "enabled": true, "encryptionKeyArn": "key-arn" } } }

Autorizzazioni richieste per la crittografia dei log

Autorizzazioni utente richieste

L'utente che invia il lavoro o visualizza i log dell'applicazione UIs deve disporre delle autorizzazioni per utilizzare la chiave. È possibile specificare le autorizzazioni nella politica KMS chiave o nella IAM politica per l'utente, il gruppo o il ruolo. Se l'utente che invia il job non dispone delle autorizzazioni KMS chiave, EMR Serverless rifiuta l'invio dell'esecuzione del job.

Esempio di politica chiave

La seguente politica chiave fornisce le autorizzazioni per kms:GenerateDataKey ekms:Decrypt:

{ "Effect": "Allow", "Principal":{ "AWS": "arn:aws:iam::111122223333:user/user-name" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }

Politica di esempio IAM

La seguente IAM politica fornisce le autorizzazioni per kms:GenerateDataKey ekms:Decrypt:

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "key-arn" } }

Per avviare l'interfaccia utente di Spark o Tez, devi concedere ai tuoi utenti, gruppi o ruoli le autorizzazioni per accedere a quanto segue: emr-serverless:GetDashboardForJobRun API

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "emr-serverless:GetDashboardForJobRun" ] } }

Autorizzazioni delle chiavi di crittografia per Amazon S3 e storage gestito

Quando crittografi i log con la tua chiave di crittografia nello storage gestito o nei bucket S3, devi configurare le autorizzazioni delle chiavi come segue. KMS

Il emr-serverless.amazonaws.com principale deve disporre delle seguenti autorizzazioni nella politica per la chiave: KMS

{ "Effect": "Allow", "Principal":{ "Service": "emr-serverless.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*" "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:emr-serverless:region:aws-account-id:/applications/application-id" } } }

Come procedura consigliata in materia di sicurezza, si consiglia di aggiungere una chiave di aws:SourceArn condizione alla policy KMS chiave. La chiave di condizione IAM globale aws:SourceArn aiuta a garantire che EMR Serverless utilizzi la KMS chiave solo per un'applicazioneARN.

Il ruolo di job runtime deve disporre delle seguenti autorizzazioni nella sua IAM politica:

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "key-arn" } }

Autorizzazioni per le chiavi di crittografia per Amazon CloudWatch

Per associare la KMS chiave ARN al tuo gruppo di log, utilizza la seguente IAM politica per il ruolo Job Runtime.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "logs:AssociateKmsKey" ], "Resource": [ "arn:aws:logs:Regione AWS:111122223333:log-group:my-log-group-name:*" ] } }

Configura la politica KMS chiave per concedere KMS le autorizzazioni ad Amazon CloudWatch:

{ "Version": "2012-10-17", "Id": "key-default-1", "Statement": { "Effect": "Allow", "Principal": { "Service": "logs.Regione AWS.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", ], "Resource": "*", "Condition": { "ArnLike": { "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:Regione AWS:111122223333:*" } } } }