Configurazione della crittografia in AWS Glue - AWS Aderenza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della crittografia in AWS Glue

L'esempio di flusso di lavoro seguente evidenzia le opzioni da configurare quando si usa la crittografia con AWS Glue. L'esempio illustra l'uso di chiavi AWS Key Management Service (AWS KMS) specifiche, ma puoi scegliere altre impostazioni in base alle esigenze specifiche. Questo flusso di lavoro mette in evidenza solo le opzioni della configurazione di AWS Glue relative alla crittografia.

  1. Se l'utente della console AWS Glue non usa una policy di autorizzazioni che permette tutte le operazioni API AWS Glue (ad esempio, "glue:*"), verificaì che siano permesse le operazioni seguenti:

    • "glue:GetDataCatalogEncryptionSettings"

    • "glue:PutDataCatalogEncryptionSettings"

    • "glue:CreateSecurityConfiguration"

    • "glue:GetSecurityConfiguration"

    • "glue:GetSecurityConfigurations"

    • "glue:DeleteSecurityConfiguration"

  2. Qualsiasi client che accede o scrive in un catalogo crittografato, ovvero qualsiasi utente della console, crawler, processo o endpoint di sviluppo, necessita delle autorizzazioni seguenti.

    {
 "Version": "2012-10-17",
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "kms:GenerateDataKey",
           "kms:Decrypt",  
           "kms:Encrypt"
      ],
     "Resource": "<key-arns-used-for-data-catalog>"
   }
}

  3. Qualsiasi utente o ruolo che accede a una password di connessione crittografata necessita delle autorizzazioni seguenti.

    {
 "Version": "2012-10-17",        
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "kms:Decrypt"
          ],
     "Resource": "<key-arns-used-for-password-encryption>"
          }
}

  4. Il ruolo di qualsiasi processo di estrazione, trasformazione e caricamento (ETL) che scrive dati crittografati in Amazon S3 necessita delle autorizzazioni seguenti.

    {
 "Version": "2012-10-17",
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "kms:Decrypt",  
           "kms:Encrypt",
           "kms:GenerateDataKey"
      ],
     "Resource": "<key-arns-used-for-s3>"
   }
}

  5. Qualsiasi crawler o processo ETL che scrive voci di File di log Amazon CloudWatch crittografate, necessita delle autorizzazioni seguenti nella policy delle chiavi e nelle policy IAM.

    Nella policy della chiave (non nella policy IAM):

    {
 	"Effect": "Allow",
 	"Principal": {
 		"Service": "logs.region.amazonaws.com"
 	},
 	"Action": [
 		"kms:Encrypt*",
 		"kms:Decrypt*",
 		"kms:ReEncrypt*",
 		"kms:GenerateDataKey*",
 		"kms:Describe*"
 	],
 	"Resource": "<arn of key used for ETL/crawler cloudwatch encryption>"
 }

    Per ulteriori informazioni sulle policy delle chiavi , consulta Utilizzo delle policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service.

    Nella policy IAM collega l'autorizzazione logs:AssociateKmsKey:

    {
 	"Effect": "Allow",
 	"Principal": {
 		"Service": "logs.region.amazonaws.com"
 	},
 	"Action": [
 		"logs:AssociateKmsKey"
 	],
 	"Resource": "<arn of key used for ETL/crawler cloudwatch encryption>"
 }

  6. Un processo ETL che usa un segnalibro di processo crittografato necessita delle autorizzazioni seguenti.

    {
 "Version": "2012-10-17",
  "Statement": {
     "Effect": "Allow",
     "Action": [
           "kms:Decrypt",  
           "kms:Encrypt"
      ],
     "Resource": "<key-arns-used-for-job-bookmark-encryption>"
   }
}

  7. Nella console AWS Glue scegliere Settings (Impostazioni) nel riquadro di navigazione.

    1. Nella pagina Data catalog settings (Impostazioni del catalogo dati) crittografare il catalogo dati selezionando la casella di controllo Metadata encryption (Crittografia dei metadati). Questa opzione permette di crittografare tutti gli oggetti nel catalogo dati con la chiave AWS KMS scelta.

    2. Per la chiave AWS KMS, scegliere aws/glue. Puoi anche scegliere una chiave AWS KMS creata da te.

    Importante

    AWS Glue supporta solo chiavi master del cliente simmetriche (CMK). L'elenco di chiavi AWS KMS mostra solo le chiavi simmetriche. Tuttavia, selezionando Choose a AWS KMS key ARN (Scegli un ARN chiave ), la console consente di inserire un ARN per qualsiasi tipo di chiave. Inserisci solo ARN per le chiavi simmetriche.

    Quando la crittografia è abilitata, il client che accede al catalogo dati deve disporre delle autorizzazioni per AWS KMS.

  8. Nel riquadro di navigazione scegliere Security configurations (Configurazioni di sicurezza). Una configurazione della sicurezza è un set di proprietà di sicurezza che è possibile usare per configurare i processi di AWS Glue. Scegliere quindi Add security configuration (Aggiungi configurazione di sicurezza). Nella configurazione scegliere tra le opzioni seguenti:

    1. Selezionare la crittografia S3. Per Encryption mode (Modalità crittografia), scegliere SSE-KMS. Per AWS KMS key (Chiave AWS KMS), scegliere aws/s3 (verificare che l'utente disponga dell'autorizzazione per usare questa chiave). In questo modo i dati scritti dal processo in Amazon S3 possono usare la chiave AWS Glue AWS KMS gestita da AWS.

    2. Selezionare Crittografia dei log di CloudWatch e scegliere una CMK (Assicurarsi che l'utente disponga dell'autorizzazione per utilizzare questa chiave). Per ulteriori informazioni, consulta Crittografia dei dati di log in CloudWatch Logs utilizzando AWS KMS nella Guida per l'utente di AWS Key Management Service.

      Importante

      AWS Glue supporta solo chiavi master del cliente simmetriche (CMK). L'elenco di chiavi AWS KMS mostra solo le chiavi simmetriche. Tuttavia, selezionando Choose a AWS KMS key ARN (Scegli un ARN chiave ), la console consente di inserire un ARN per qualsiasi tipo di chiave. Inserisci solo ARN per le chiavi simmetriche.

    3. Scegliere Advanced properties (Proprietà avanzate) e selezionare la casella di controllo Job bookmark encryption (Crittografia segnalibro del processo). Per AWS KMS key (Chiave AWS KMS), scegliere aws/glue (verificare che l'utente disponga dell'autorizzazione per usare questa chiave). Ciò permette la crittografia dei segnalibri dei processi scritti in Amazon S3 con la chiave AWS Glue AWS KMS.

  9. Nel riquadro di navigazione, scegli Connections (Connessioni).

    1. Scegliere Add connection (Aggiungi connessione) per creare una connessione al datastore JDBC (Java Database Connectivity) di destinazione del processo ETL.

    2. Per applicare la crittografia SSL (Secure Sockets Layer), selezionare la casella di controllo Require SSL connection (Richiedi connessione SSL) e testare la connessione.

  10. Nel riquadro di navigazione scegliere Jobs (Processi).

    1. Scegliere Add job (Aggiungi processo) per creare un processo che trasforma i dati.

    2. Nella definizione del processo scegliere la configurazione della sicurezza creata.

  11. Nella console AWS Glue eseguire il processo on demand. Verificare che i dati Amazon S3 scritti dal processo, le voci di CloudWatch Logs scritte dal processo e i segnalibri del processo siano tutti crittografati.