Crittografia dei dati scritti da AWS Glue - AWS Glue

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati scritti da AWS Glue

Una configurazione della sicurezza è un set di proprietà di sicurezza che AWS Glue può usare. Puoi usare una configurazione della sicurezza per crittografare i dati inattivi. Gli scenari seguenti mostrano alcuni modi in cui è possibile usare una configurazione della sicurezza.

  • Collega una configurazione di sicurezza a un AWS Glue crawler per scrivere Amazon CloudWatch Logs crittografati. Per ulteriori informazioni su come allegare configurazioni di sicurezza ai crawler, consulta. Fase 3: configurare le impostazioni di sicurezza

  • Collega una configurazione di sicurezza a un processo di estrazione, trasformazione e caricamento (ETL) per scrivere obiettivi Amazon Simple Storage Service (Amazon S3) crittografati e log crittografati. CloudWatch

  • Collegare una configurazione della sicurezza a un processo ETL per scrivere i segnalibri dei processi come dati Amazon S3 crittografati.

  • Collegare una configurazione della sicurezza a un endpoint di sviluppo per scrivere destinazioni Amazon S3 crittografate.

Importante

Attualmente, una configurazione della sicurezza sostituisce qualsiasi impostazione di crittografia lato server (SSE-S3) passata come parametro di un processo ETL. Pertanto, se a un processo sono associati sia una configurazione della sicurezza che un parametro SSE-S3, il parametro SSE-S3 viene ignorato.

Per ulteriori informazioni sulle configurazioni della sicurezza, consulta Gestione delle configurazioni di sicurezza sulla console AWS Glue.

Impostazione di AWS Glue per l'uso di configurazioni della sicurezza

Segui queste fasi per impostare l'ambiente AWS Glue per l'uso di configurazioni della sicurezza.

  1. Crea o aggiorna le tue chiavi AWS Key Management Service (AWS KMS) per concedere le AWS KMS autorizzazioni ai ruoli IAM che vengono passate ai AWS Glue crawler e ai job per crittografare i log. CloudWatch Per ulteriori informazioni, consulta Encrypt Log Data in CloudWatch Logs Using AWS KMS nella Amazon CloudWatch Logs User Guide.

    Nell'esempio seguente "role1", "role2" e "role3" sono ruoli IAM passati a crawler e processi.

    { "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

    L'Serviceistruzione, mostrata come"Service": "logs.region.amazonaws.com", è obbligatoria se utilizzi la chiave per crittografare i log. CloudWatch

  2. Verificare che la chiave AWS KMS sia ENABLED affinché sia possibile usarla.

Nota

Se utilizzi Iceberg come framework di data lake, le tabelle Iceberg dispongono di meccanismi propri per abilitare la crittografia lato server. È necessario abilitare questa configurazione oltre alla configurazione di sicurezza di AWS Glue. Per abilitare la crittografia lato server sulle tabelle Iceberg, consulta le indicazioni contenute nella documentazione di Iceberg.

Creazione di una route a AWS KMS per i crawler e i processi VPC

Puoi connetterti direttamente a AWS KMS attraverso un endpoint privato nel cloud privato virtuale (VPC, Virtual Private Cloud) invece che tramite Internet. Quando usi un endpoint VPC, la comunicazione tra il VPC e AWS KMS avviene interamente all'interno della rete AWS.

Puoi creare un endpoint VPC AWS KMS all'interno di un VPC. Senza questa fase, i processi o i crawler potrebbero avere esito negativo, con un errore kms timeout nei processi o un'eccezione internal service exception nei crawler. Per istruzioni dettagliate, consulta Connessione a AWS KMS mediante un endpoint VPC nella Guida per gli sviluppatori di AWS Key Management Service.

Mentre segui le istruzioni, nella console VPC esegui queste operazioni:

  • Selezionare Abilita nome DNS privato.

  • Scegli il gruppo di sicurezza (con regola autoreferenziale) da usare per il processo o il crawler che accede a JDBC (Java Database Connectivity). Per ulteriori informazioni sulle connessioni AWS Glue, consulta Connessione ai dati.

Quando aggiungi una configurazione della sicurezza a un crawler o a un processo che accede ai datastore JDBC, è necessario che AWS Glue disponga di una route all'endpoint AWS KMS. Puoi fornire la route con un gateway Network Address Translation (NAT) o con un endpoint VPC AWS KMS. Per creare un gateway NAT, consulta Gateway NAT nella Guida per l'utente di Amazon VPC.