Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Il flusso di lavoro di esempio seguente evidenzia le opzioni da configurare quando si utilizza la crittografia con AWS Glue. L'esempio dimostra l'uso di tasti specifici AWS Key Management Service (AWS KMS), ma è possibile scegliere altre impostazioni in base alle proprie esigenze particolari. Questo flusso di lavoro evidenzia solo le opzioni relative alla crittografia durante la configurazione AWS Glue.
-
Se l'utente di AWS Glue la console non utilizza una politica di autorizzazioni che consenta tutto AWS Glue Le operazioni API (ad esempio,
"glue:*"
) confermano che sono consentite le seguenti azioni:"glue:GetDataCatalogEncryptionSettings"
"glue:PutDataCatalogEncryptionSettings"
"glue:CreateSecurityConfiguration"
"glue:GetSecurityConfiguration"
"glue:GetSecurityConfigurations"
"glue:DeleteSecurityConfiguration"
-
Qualsiasi client che accede o scrive in un catalogo crittografato, ovvero qualsiasi utente della console, crawler, processo o endpoint di sviluppo, necessita delle autorizzazioni seguenti.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt" ], "Resource": "
<key-arns-used-for-data-catalog>
" } } -
Qualsiasi utente o ruolo che accede a una password di connessione crittografata necessita delle autorizzazioni seguenti.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "
<key-arns-used-for-password-encryption>
" } } -
Il ruolo di qualsiasi processo di estrazione, trasformazione e caricamento (ETL) che scrive dati crittografati in Amazon S3 necessita delle autorizzazioni seguenti.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": "
<key-arns-used-for-s3>
" } } -
Qualsiasi job o crawler ETL che scrive Amazon CloudWatch Logs crittografati richiede le seguenti autorizzazioni nella chiave e nelle policy IAM.
Nella policy della chiave (non nella policy IAM):
{ "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "
<arn of key used for ETL/crawler cloudwatch encryption>
" }Per ulteriori informazioni sulle policy delle chiavi , consulta Utilizzo delle policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .
Nella policy IAM collega l'autorizzazione
logs:AssociateKmsKey
:{ "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com" }, "Action": [ "logs:AssociateKmsKey" ], "Resource": "
<arn of key used for ETL/crawler cloudwatch encryption>
" } -
Un processo ETL che usa un segnalibro di processo crittografato necessita delle autorizzazioni seguenti.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt" ], "Resource": "
<key-arns-used-for-job-bookmark-encryption>
" } } -
Sul AWS Glue console, scegli Impostazioni nel riquadro di navigazione.
-
Nella pagina Data catalog settings (Impostazioni del catalogo dati) crittografare il catalogo dati selezionando la casella di controllo Metadata encryption (Crittografia dei metadati). Questa opzione cripta tutti gli oggetti nel Data Catalog con la AWS KMS chiave che scegli.
-
Per la chiave AWS KMS , scegliere aws/glue. Puoi anche scegliere una AWS KMS chiave che hai creato.
Importante
AWS Glue supporta solo chiavi master simmetriche del cliente ()CMKs. L'elenco di chiavi AWS KMS mostra solo le chiavi simmetriche. Tuttavia, se si seleziona Scegli un ARN AWS KMS per una chiave, la console consente di inserire un ARN per qualsiasi tipo di chiave. Assicurati di inserire solo chiavi ARNs simmetriche.
Quando la crittografia è abilitata, il client che accede al catalogo dati deve disporre delle autorizzazioni per AWS KMS .
-
-
Nel riquadro di navigazione scegliere Security configurations (Configurazioni di sicurezza). Una configurazione di sicurezza è un insieme di proprietà di sicurezza che possono essere utilizzate per configurare AWS Glue processi. Scegliere quindi Add security configuration (Aggiungi configurazione di sicurezza). Nella configurazione scegliere tra le opzioni seguenti:
-
Selezionare la crittografia S3. Per Encryption mode (Modalità crittografia), scegliere SSE-KMS. Per AWS KMS key (Chiave AWS KMS), scegliere aws/s3 (verificare che l'utente disponga dell'autorizzazione per usare questa chiave). Ciò consente ai dati scritti dal processo su Amazon S3 di utilizzare il file gestito AWS AWS Glue AWS KMS chiave.
-
Seleziona la crittografia CloudWatch dei log e scegli un CMK. (Assicurarsi che l'utente disponga dell'autorizzazione per utilizzare questa chiave). Per ulteriori informazioni, consulta Encrypt Log Data in CloudWatch Logs Using nella Developer Guide AWS KMS.AWS Key Management Service
Importante
AWS Glue supporta solo le chiavi master simmetriche del cliente (). CMKs L'elenco di chiavi AWS KMS mostra solo le chiavi simmetriche. Tuttavia, se si seleziona Scegli un ARN AWS KMS per una chiave, la console consente di inserire un ARN per qualsiasi tipo di chiave. Assicurati di inserire solo chiavi ARNs simmetriche.
-
Scegliere Advanced properties (Proprietà avanzate) e selezionare la casella di controllo Job bookmark encryption (Crittografia segnalibro del processo). Per AWS KMS key (Chiave AWS KMS), scegliere aws/glue (verificare che l'utente disponga dell'autorizzazione per usare questa chiave). Ciò consente la crittografia dei segnalibri di lavoro scritti su Amazon S3 con AWS Glue AWS KMS chiave.
-
-
Nel riquadro di navigazione, scegli Connections (Connessioni).
-
Scegliere Add connection (Aggiungi connessione) per creare una connessione al datastore JDBC (Java Database Connectivity) di destinazione del processo ETL.
-
Per applicare la crittografia SSL (Secure Sockets Layer), selezionare la casella di controllo Require SSL connection (Richiedi connessione SSL) e testare la connessione.
-
-
Nel riquadro di navigazione scegliere Jobs (Processi).
-
Scegliere Add job (Aggiungi processo) per creare un processo che trasforma i dati.
-
Nella definizione del processo scegliere la configurazione della sicurezza creata.
-
-
Sul AWS Glue console, esegui il tuo lavoro su richiesta. Verifica che tutti i dati di Amazon S3 scritti dal processo, CloudWatch i log scritti dal processo e i segnalibri del lavoro siano tutti crittografati.