Registrazione di una posizione Amazon S3 crittografata tra più account AWS - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione di una posizione Amazon S3 crittografata tra più account AWS

AWS Lake Formation si integra con AWS Key Management Service(AWS KMS) per consentirti di configurare più facilmente altri servizi integrati per crittografare e decrittografare i dati nelle sedi Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3).

Sono supportate entrambe le chiavi gestite dal cliente. Chiavi gestite da AWS La crittografia/decrittografia lato client non è supportata.

Importante

Evita di registrare un bucket Amazon S3 con Requester pay abilitato. Per i bucket registrati con Lake Formation, il ruolo utilizzato per registrare il bucket viene sempre visualizzato come richiedente. Se al bucket si accede da un altro AWS account, al proprietario del bucket viene addebitato l'accesso ai dati se il ruolo appartiene allo stesso account del proprietario del bucket.

Questa sezione spiega come registrare una sede Amazon S3 nelle seguenti circostanze:

  • I dati nella posizione Amazon S3 sono crittografati con una KMS chiave creata in. AWS KMS

  • La sede Amazon S3 non si trova nello stesso AWS account di. AWS Glue Data Catalog

  • La KMS chiave è o non si trova nello stesso AWS account del Data Catalog.

La registrazione di un bucket Amazon S3 AWS KMS crittografato AWS nell'account B utilizzando AWS Identity and Access Management un ruolo IAM () nell'account AWS A richiede le seguenti autorizzazioni:

  • Il ruolo nell'account A deve concedere le autorizzazioni sul bucket dell'account B.

  • La politica del bucket nell'account B deve concedere le autorizzazioni di accesso al ruolo nell'account A.

  • Se la KMS chiave è nell'account B, la politica chiave deve concedere l'accesso al ruolo nell'account A e il ruolo nell'account A deve concedere le autorizzazioni sulla chiave. KMS

Nella procedura seguente, si crea un ruolo nell' AWS account che contiene il Data Catalog (l'account A nella discussione precedente). Quindi, si utilizza questo ruolo per registrare la posizione. Lake Formation assume questo ruolo quando accede ai dati sottostanti in Amazon S3. Il ruolo assunto dispone delle autorizzazioni necessarie sulla chiave. KMS Di conseguenza, non è necessario concedere le autorizzazioni sulla KMS chiave ai responsabili che accedono ai dati sottostanti con offerte di ETL lavoro o con servizi integrati come. Amazon Athena

Importante

Non puoi utilizzare il ruolo collegato al servizio Lake Formation per registrare una sede in un altro account. È invece necessario utilizzare un ruolo definito dall'utente. Il ruolo deve soddisfare i requisiti diRequisiti per i ruoli utilizzati per registrare le sedi. Per ulteriori informazioni sul ruolo collegato al servizio, consulta Autorizzazioni di ruolo collegate al servizio per Lake Formation.

Prima di iniziare

Esamina i requisiti per il ruolo utilizzato per registrare la sede.

Per registrare una posizione Amazon S3 crittografata tra più account AWS

  1. Nello stesso AWS account del Data Catalog, accedi AWS Management Console e apri la IAM console all'indirizzohttps://console.aws.amazon.com/iam/.

  2. Crea un nuovo ruolo o visualizza un ruolo esistente che soddisfa i requisiti inRequisiti per i ruoli utilizzati per registrare le sedi. Assicurati che il ruolo includa una policy che conceda le autorizzazioni di Amazon S3 sulla location.

  3. Se la KMS chiave non si trova nello stesso account del Data Catalog, aggiungi al ruolo una policy in linea che conceda le autorizzazioni richieste sulla chiave. KMS Di seguito è riportata una policy di esempio. Replace (Sostituisci) <cmk-region> e <cmk-account-id> con la regione e il numero di account della chiave. KMS Replace (Sostituisci) <key-id> con l'ID della chiave.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey"
         ],
        "Resource": "arn:aws:kms:<cmk-region>:<cmk-account-id>:key/<key-id>"
        }
    ]
}

  4. Sulla console Amazon S3, aggiungi una bucket policy che conceda le autorizzazioni Amazon S3 richieste per il ruolo. Di seguito è riportato un esempio di policy di bucket. Replace (Sostituisci) <catalog-account-id> con il numero di AWS account del Data Catalog, <role-name> con il nome del tuo ruolo, e <bucket-name> con il nome del secchio.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>"
            },
            "Action":"s3:ListBucket",
            "Resource":"arn:aws:s3:::<bucket-name>"
        },
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>"
            },
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource":"arn:aws:s3:::<bucket-name>/*"
        }
    ]
}

  5. In AWS KMS, aggiungi il ruolo di utente della KMS chiave.

    1. Apri la AWS KMS console in https://console.aws.amazon.com/kms. Quindi, accedi come utente amministratore o come utente che può modificare la politica chiave della KMS chiave utilizzata per crittografare la posizione.

    2. Nel riquadro di navigazione, scegli Customer managed keys, quindi scegli il nome della KMS chiave.

    3. Nella pagina dei dettagli KMS chiave, nella scheda Politica chiave, se la JSON visualizzazione della politica chiave non viene visualizzata, scegli Passa alla visualizzazione dei criteri.

    4. Nella sezione Key policy, scegli Modifica e aggiungi l'Amazon Resource Name (ARN) del ruolo all'Allow use of the keyoggetto, come mostrato nell'esempio seguente.

      Nota

      Se quell'oggetto manca, aggiungilo con le autorizzazioni mostrate nell'esempio.

              ...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::<catalog-account-id>:role/<role-name>"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...

      Per ulteriori informazioni, consulta Consentire agli utenti di altri account di utilizzare una KMS chiave nella Guida per gli AWS Key Management Service sviluppatori.

  6. Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/. Accedi all' AWS account Data Catalog come amministratore del data lake.

  7. Nel riquadro di navigazione, in Amministrazione, scegli Posizioni Data lake.

  8. Scegli Registra posizione.

  9. Nella pagina Registra posizione, per il percorso Amazon S3, inserisci il percorso della posizione come. s3://<bucket>/<prefix> Replace (Sostituisci) <bucket> con il nome del bucket e <prefix> con il resto del percorso per la location.

    Nota

    È necessario digitare il percorso perché i bucket tra account non vengono visualizzati nell'elenco quando si sceglie Sfoglia.

  10. Per IAMil ruolo, scegli il ruolo dal passaggio 2.

  11. Scegli la posizione di registrazione.