S3 EMRFSでのの保管時の暗号化 WAL の保管時の暗号化ローカルディスク暗号化転送中の暗号化

Amazon の暗号化オプション EMR

Amazon EMRリリース 4.8.0 以降では、セキュリティ設定を使用して、保管中のデータ、転送中のデータ、またはその両方を暗号化するための設定を指定できます。保管時のデータ暗号化を有効にすると、Amazon S3 内のEMRFSデータ、ローカルディスク内のデータ、またはその両方を暗号化することを選択できます。作成する各セキュリティ設定はクラスター設定EMRではなく Amazon に保存されるため、設定を簡単に再利用して、クラスターを作成するたびにデータ暗号化設定を指定できます。詳細については、「Amazon EMRコンソールまたはを使用してセキュリティ設定を作成する AWS CLI」を参照してください。

次の図は、セキュリティ設定で使用できるさまざまなデータ暗号化オプションを示しています。

Amazon では、転送中および保管時の暗号化オプションがいくつかありますEMR。

以下の暗号オプションも使用できます。また、セキュリティ設定では設定できません。

オプションで、Amazon EMRバージョン 4.1.0 以降では、で透過的な暗号化を設定することもできますHDFS。詳細については、「Amazon リリースガイド」の「Amazon HDFS でのの透過的暗号化EMR」を参照してください。 EMR
セキュリティ設定をサポートEMRしていない Amazon のリリースバージョンを使用している場合は、Amazon S3 のEMRFSデータの暗号化を手動で設定できます。詳細については、「プロパティを使用した Amazon S3 暗号化の指定」を参照してくださいEMRFS。
5.24.0 より前の Amazon EMRバージョンを使用している場合、暗号化されたEBSルートデバイスボリュームは、カスタムを使用する場合にのみサポートされますAMI。詳細については、「Amazon 管理ガイド」の「暗号化された Amazon EBSルートデバイスボリュームAMIを使用したカスタムの作成」を参照してください。 EMR

注記

Amazon EMRバージョン 5.24.0 以降では、をキープロバイダー AWS KMS として指定すると、セキュリティ設定オプションを使用してEBSルートデバイスとストレージボリュームを暗号化できます。詳細については、「ローカルディスク暗号化」を参照してください。

データの暗号化には、キーと証明書が必要です。セキュリティ設定により、によって管理されるキー、Amazon S3 によって管理されるキー AWS Key Management Service、提供するカスタムプロバイダーからのキーと証明書など、複数のオプションから柔軟に選択できます。をキープロバイダー AWS KMS として使用する場合、暗号化キーの保存と使用には料金が適用されます。詳細については、AWS KMS の料金を参照してください。

暗号化オプションを指定する前に、使用するキーと証明書の管理システムを決定します。これにより、暗号化設定の一部として指定するキーと証明書、またはカスタムプロバイダーをまず作成できます。

Amazon S3 内のEMRFSデータの保管時の暗号化

Amazon S3 暗号化は、Amazon S3 との間で読み書きされる Amazon EMR ファイルシステム (EMRFS) オブジェクトと連携します。保管時の暗号化を有効にするときは、Amazon S3 サーバー側の暗号化 (SSE) またはクライアント側の暗号化 (CSE) をデフォルトの暗号化モードとして指定します。オプションで、[Per bucket encryption overrides (バケットごとの暗号化オーバーライド)] を使用して、バケットごとに異なる暗号化方法を指定できます。Amazon S3 暗号化が有効になっているかどうかにかかわらず、Transport Layer Security (TLS) はEMRクラスターノードと Amazon S3 間で転送中のEMRFSオブジェクトを暗号化します。Amazon S3 の暗号化の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「暗号化によるデータの保護」を参照してください。

注記

を使用すると AWS KMS、暗号化キーの保存と使用に対して料金が適用されます。詳細については、「AWS KMS 料金」を参照してください。

Amazon S3 のサーバー側の暗号化

Amazon S3 のサーバー側の暗号化をセットアップすると、Amazon S3 はデータをディスクに書き込むときにオブジェクトレベルで暗号化し、アクセスするときに復号します。の詳細についてはSSE、「Amazon Simple Storage Service ユーザーガイド」の「サーバー側の暗号化を使用したデータの保護」を参照してください。

Amazon SSEでを指定する場合、2 つの異なるキー管理システムから選択できますEMR。

SSE-S3 – Amazon S3 がキーを管理します。
SSE-KMS – を使用して AWS KMS key 、Amazon に適したポリシーをセットアップしますEMR。Amazon の主要な要件の詳細についてはEMR、「暗号化 AWS KMS keys にを使用する」を参照してください。

SSE とお客様提供のキー (SSE-C) は、Amazon では使用できませんEMR。

Amazon S3 クライアント側の暗号化

Amazon S3 クライアント側の暗号化では、Amazon S3 の暗号化と復号はクラスターのEMRFSクライアントで行われます。オブジェクトは Amazon S3 にアップロードされる前に暗号化され、ダウンロード後に復号化されます。指定するプロバイダーが、クライアントが使用する暗号化キーを提供します。クライアントは、 (CSE-KMS) が提供する AWS KMS キー、またはクライアント側のルートキー (CSE-C) を提供するカスタム Java クラスを使用できます。暗号化の詳細は、指定されたプロバイダーと復号化または暗号化されるオブジェクトのメタデータに応じて、CSE-KMSC と CSE-C でわずかに異なります。これらの差異に関する詳細は、「Amazon Simple Storage Service ユーザーガイド」の「クライアント側の暗号化を使用したデータの保護」を参照してください。

注記

Amazon S3 はAmazon S3と交換されるEMRFSデータCSEのみが暗号化されるようにします。クラスターインスタンスボリュームのすべてのデータが暗号化されるわけではありません。さらに、Hue はを使用しないためEMRFS、Hue S3 ファイルブラウザが Amazon S3 に書き込むオブジェクトは暗号化されません。

Amazon でのデータの保管時の暗号化 EMR WAL

先書きログ記録 (SSE) 用にサーバー側の暗号化 () を設定するとWAL、Amazon EMR は保管中のデータを暗号化します。Amazon SSEでを指定する場合、2 つの異なるキー管理システムから選択できますEMR。

SSE-EMR-WAL: Amazon がキーEMRを管理します。デフォルトでは、Amazon は Amazon に保存したデータを EMR EMRWALで暗号化します。SSE-EMR-WAL.
SSE-KMS-WAL: AWS KMS キーを使用して、Amazon EMR に適用されるポリシーを設定しますWAL。Amazon の主要な要件の詳細についてはEMR、「」を参照してください暗号化 AWS KMS keys にを使用する。

Amazon でを有効にするSSE場合、 WALで独自のキーを使用することはできませんEMR。詳細については、「Amazon のログ先行書き込み (WAL）EMR」を参照してください。

ローカルディスク暗号化

Amazon EMR セキュリティ設定を使用してローカルディスク暗号化を有効にすると、次のメカニズムが連携してローカルディスクを暗号化します。

オープンソースHDFS暗号化

HDFS は、分散処理中にクラスターインスタンス間でデータを交換します。また、インスタンスストアボリュームとインスタンスにアタッチされたEBSボリュームとの間でデータを読み取り、書き込みます。ローカルディスク暗号化を有効にすると、次のオープンソース Hadoop 暗号化オプションがアクティブになります。

Secure Hadoop RPC はPrivacy、Simple Authentication Security Layer () を使用するに設定されますSASL。
HDFS ブロックデータ転送時のデータ暗号化はに設定trueされ、256 AES 暗号化を使用するように設定されています。

注記

追加の Apache Hadoop 暗号化をアクティブ化するには、転送時の暗号化を有効にします。詳細については、「転送中の暗号化」を参照してください。これらの暗号化設定では、手動で設定できるHDFS透過的暗号化はアクティブ化されません。詳細については、「Amazon リリースガイド」の「Amazon HDFS でのの透過的暗号化EMR」を参照してください。 EMR

インスタンスストアの暗号化

NVMeベースのをEC2インスタンスストアボリュームSSDsとして使用するインスタンスタイプでは、Amazon NVMeの暗号化設定に関係なくEMR暗号化が使用されます。詳細については、「Amazon EC2ユーザーガイド」の「 NVMeSSDボリューム」を参照してください。他のインスタンスストアボリュームの場合、ボリュームが暗号化と LUKS のどちらを使用して暗号化されているかにかかわらず、ローカルディスク暗号化が有効になっている場合、Amazon は EMRを使用してインスタンスストアEBSボリュームをEBS暗号化しますLUKS。

EBS ボリュームの暗号化

アカウントでEBSボリュームの Amazon EC2暗号化がデフォルトで有効になっているリージョンにクラスターを作成すると、ローカルディスク暗号化が有効になっていなくても、EBSボリュームは暗号化されます。詳細については、「Amazon EC2ユーザーガイド」の「デフォルトでの暗号化」を参照してください。セキュリティ設定でローカルディスク暗号化を有効にすると、Amazon EMR設定がクラスターEC2インスタンスの Amazon EC2 encryption-by-default設定よりも優先されます。

セキュリティ設定を使用してEBSボリュームを暗号化するには、次のオプションを使用できます。

EBS 暗号化 – Amazon EMRバージョン 5.24.0 以降では、EBS暗号化を有効にすることを選択できます。EBS 暗号化オプションは、EBSルートデバイスボリュームとアタッチされたストレージボリュームを暗号化します。EBS 暗号化オプションは、をキープロバイダー AWS Key Management Service として指定した場合にのみ使用できます。EBS 暗号化を使用することをお勧めします。
LUKS 暗号化 – Amazon EBSボリュームのLUKS暗号化を使用する場合、LUKS暗号化はルートデバイスボリュームではなく、アタッチされたストレージボリュームにのみ適用されます。LUKS 暗号化の詳細については、LUKSディスク上の仕様を参照してください。

キープロバイダーの場合、Amazon に適したポリシーEMR、または暗号化アーティファクトを提供するカスタム Java クラス AWS KMS key を使用してを設定できます。を使用する場合 AWS KMS、暗号化キーの保存と使用には料金が適用されます。詳細については、AWS KMS の料金を参照してください。

注記

クラスターでEBS暗号化が有効になっているかどうかを確認するには、 DescribeVolumesAPI呼び出しを使用することをお勧めします。詳細については、「DescribeVolumes」を参照してください。クラスターlsblkでを実行すると、LUKS暗号化ではなく暗号化のステータスのみがチェックされますEBS。

転送中の暗号化

転送時の暗号化では、複数の暗号化メカニズムが有効になります。これらはオープンソースの機能であり、アプリケーション固有であり、Amazon EMRリリースによって異なる場合があります。転送時の暗号化を有効にするには、Amazon Amazon EMRコンソールまたはを使用してセキュリティ設定を作成する AWS CLIでを使用しますEMR。転送中の暗号化が有効になっているEMRクラスターの場合、Amazon は転送中の暗号化を有効にするようにオープンソースのアプリケーション設定EMRを自動的に設定します。高度なユースケースでは、Amazon のデフォルトの動作を上書きするようにオープンソースのアプリケーション設定を直接設定できますEMR。詳細については、「in-transit encryption support matrix」および「Configure applications」を参照してください。

転送中の暗号化に関連するオープンソースアプリケーションの詳細については、以下を参照してください。

セキュリティ設定を使用して転送中の暗号化を有効にすると、Amazon は転送中の暗号化をサポートするすべてのオープンソースアプリケーションエンドポイントに対して転送中の暗号化EMRを有効にします。さまざまなアプリケーションエンドポイントの転送時の暗号化のサポートは、Amazon EMRリリースバージョンによって異なります。詳細については、「転送中の暗号化サポートマトリックス」を参照してください。
オープンソース設定を上書きすることで、以下を実行できます。
- ユーザーが提供したTLS証明書が要件を満たしていない場合はTLS、ホスト名の検証を無効にする
- パフォーマンスと互換性の要件に基づいて、特定のエンドポイントの転送中の暗号化を無効にする
- 使用するTLSバージョンと暗号スイートを制御します。
アプリケーション固有の設定の詳細については、「転送中の暗号化サポートマトリックス」を参照してください。
セキュリティ設定で転送中の暗号化を有効にすることに加えて、一部の通信チャネルでは、転送中の暗号化を有効にするために追加のセキュリティ設定も必要です。例えば、一部のオープンソースアプリケーションエンドポイントでは、転送時の暗号化に Simple Authentication and Security Layer (SASL) を使用します。そのためには、EMRクラスターのセキュリティ設定で Kerberos 認証を有効にする必要があります。これらのエンドポイントの詳細については、「転送中の暗号化サポートマトリックス」を参照してください。
v1.2 TLS 以降をサポートするソフトウェアを使用することをお勧めします。Amazon EMR on には、Java で実行されるオープンソースネットワークで許可されるTLSバージョン、暗号スイート、キーサイズを決定するデフォルトの Corretto JDKディストリビューションがEC2付属しています。現時点では、ほとんどのオープンソースフレームワークは Amazon TLS 7.0.0 以降のリリースで EMR v1.2 以降を適用しています。これは、ほとんどのオープンソースフレームワークが Amazon 7.0.0 以降の Java 17 EMR で実行されるためです。古いバージョンの Amazon TLS EMRリリースでは、古い Java バージョンを使用するため、v1.0 および v1.1 がサポートされるJDK場合がありますが、Corretto は Java がサポートするTLSバージョンを変更し、既存の Amazon EMRリリースに影響を与える可能性があります。

転送時の暗号化で使用する暗号化アーティファクトを指定するには、Amazon S3 にアップロードする証明書の圧縮ファイルを提供するか、暗号化アーティファクトを提供するカスタム Java クラスを参照するかのいずれかを行います。詳細については、「Amazon 暗号化を使用して転送中のデータをEMR暗号化するための証明書を提供する」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon で保管中および転送中のデータを暗号化する EMR

Amazon でのデータ暗号化用のキーと証明書を作成する EMR