Crittografia dei notebook e dei file dell'area di lavoro di EMR Studio - Amazon EMR
PrerequisitiInstallazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei notebook e dei file dell'area di lavoro di EMR Studio

In EMR Studio, puoi creare e configurare diverse aree di lavoro per organizzare ed eseguire i notebook. Questi spazi di lavoro archiviano notebook e file correlati nel bucket Amazon S3 specificato. Per impostazione predefinita, questi file sono crittografati con chiavi gestite da Amazon S3 (SSE-S3) con crittografia lato server come livello base di crittografia. Puoi anche scegliere di utilizzare KMS chiavi gestite dal cliente (SSE-KMS) per crittografare i tuoi file. Puoi farlo utilizzando la console di EMR gestione Amazon o tramite AWS CLI e AWS SDK durante la creazione di uno EMR Studio.

EMRLa crittografia dello storage dell'area di lavoro di Studio è disponibile in tutte le regioni in cui EMR Studio è disponibile.

Prerequisiti

Prima di poter crittografare gli appunti e i file dell'area di lavoro di EMR Studio, è necessario AWS Key Management Service creare una chiave di gestione clienti simmetrica (CMK) nella stessa regione Account AWS e nella stessa area di Studio. EMR

La politica in materia di risorse utilizzata AWS KMS deve disporre delle autorizzazioni di accesso necessarie per il EMR ruolo di servizio di Studio. Di seguito è riportato un esempio di IAM politica che concede autorizzazioni di accesso minime per la crittografia dello storage di EMR Studio Workspace: 

{
    "Sid": "AllowEMRStudioServiceRoleAccess",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>"
    },
    "Action": [
        "kms:Decrypt", 
        "kms:GenerateDataKey", 
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "<ACCOUNT_ID>",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::<S3_BUCKET_NAME>",
            "kms:ViaService": "s3.<AWS_REGION>.amazonaws.com"
        }
    }
}

Il ruolo di servizio di EMR Studio deve inoltre disporre delle autorizzazioni di accesso per utilizzare la chiave. AWS KMS Di seguito è riportato un esempio di IAM politica che concede le autorizzazioni di accesso minime per la crittografia dello storage di EMR Studio Workspace:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEMRStudioWorkspaceStorageEncryptionAccess",
            "Effect": "Allow",
            "Action": [
               "kms:Decrypt",
               "kms:GenerateDataKey",
               "kms:ReEncryptFrom",
               "kms:ReEncryptTo",
               "kms:DescribeKey"             
            ],
            "Resource": ["arn:aws:kms:<REGION>:<ACCOUNT_ID>:key/<KEY_IDENTIFIER>"]
        }
    ]
}

Installazione

Segui questi passaggi per creare un nuovo EMR Studio che utilizzi la crittografia dell'archiviazione del workspace.

  1. Apri la EMR console Amazon all'indirizzo https://console.aws.amazon.com/elasticmapreduce/.

  2. Scegli Studios, quindi scegli Create Studio.

  3. Per la posizione S3 per lo storage, inserisci o scegli un percorso Amazon S3. Questa è la posizione di Amazon S3 in cui Amazon EMR archivia i notebook e i file dell'area di lavoro.

  4. Per il ruolo di servizio, inserisci o scegli un ruolo. IAM Questo è il IAM ruolo che Amazon EMR assume.

  5. Scegli Encrypt Workspace file con la tua chiave. AWS KMS

  6. Inserisci o scegli una AWS KMS chiave da utilizzare per crittografare i notebook e i file dell'area di lavoro in Amazon S3.

  7. Scegli Create Studio o Create Studio e Launch Workspaces.

  8. Scegli Encrypt Workspace file con la tua chiave. AWS KMS

  9. Inserisci o scegli uno AWS KMS da utilizzare per crittografare i notebook e i file dell'area di lavoro in Amazon S3.

  10. Seleziona Salva modifiche.

I passaggi seguenti mostrano come aggiornare uno EMR Studio e configurare la crittografia dello storage dell'area di lavoro.

  1. Apri la EMR console Amazon all'indirizzo https://console.aws.amazon.com/elasticmapreduce/.

  2. Scegli uno EMR Studio esistente dall'elenco, quindi scegli Modifica.

  3. Scegli Encrypt Workspace file con la tua AWS KMS chiave.

  4. Inserisci o scegli uno AWS KMS da utilizzare per crittografare i notebook e i file dell'area di lavoro in Amazon S3.

  5. Seleziona Salva modifiche.