Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

Amazon EMR が を使用する方法 AWS KMS

PDF
RSS
フォーカスモード
Amazon EMR が を使用する方法 AWS KMS - AWS Key Management Service
EMR ファイルシステム (EMRFS) のデータを暗号化するクラスターノードのストレージボリュームのデータを暗号化する暗号化コンテキスト

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EMR クラスターを使用する場合、永続的ストレージの場所に保存する前に、保管中のデータを暗号化するようにクラスターを設定できます。保存データは、EMR ファイルシステム (EMRFS) かクラスターノードのストレージボリューム、またはその両方で暗号化できます。保管中のデータを暗号化するには、 AWS KMS keyを使用します。以下のトピックでは、Amazon EMR クラスターが KMS キーを使用して保管中のデータを暗号化する方法について説明します。

重要

Amazon EMR は、対称 KMS キーのみをサポートします。非対称 KMS キーを使用して、Amazon EMR クラスター内の保管中のデータを暗号化することはできません。KMS キーが対称か非対称かを判断する方法については、「さまざまなキータイプの特定」を参照してください。

Amazon EMR クラスターは、 転送中のデータも暗号化します。つまり、クラスターはネットワーク経由でデータを送信する前にデータを暗号化します。KMS キーを使用して送信中のデータを暗号化することはできません。詳細については、Amazon EMR 管理ガイド転送時のデータ暗号化を参照してください。

Amazon EMR で使用できるすべての暗号化オプションの詳細については、Amazon EMR 管理ガイド暗号化オプションを参照してください。

EMR ファイルシステム (EMRFS) のデータを暗号化する

Amazon EMR クラスターは、次の 2 つの分散ファイルシステムを使用します。

  • Hadoop Distributed File System (HDFS) HDFS 暗号化は、 AWS KMSで KMS キーを使用しません。

  • EMR ファイルシステム (EMRFS) EMRFS は HDFS の実装で、Amazon EMR クラスターが Amazon Simple Storage Service (Amazon S3) にデータを格納できるようにします。EMRFS は、4 種類の暗号化オプションをサポートしており、そのうち 2 種類は AWS KMSで KMS キーを使用します。EMRFS 暗号化オプションの 4 種類すべての詳細については、Amazon EMR 管理ガイド暗号化オプションを参照してください。

KMS キーを使用する 2 種類の EMRFS 暗号化オプションは、Amazon S3 が提供する次の暗号化機能を使用します。

KMS を使用して EMRFS 上のデータを暗号化するように Amazon EMR クラスターを設定するときは、Amazon S3 または Amazon EMR クラスターで使用する KMS キーを選択します。SSE-KMS を使用して、エイリアス aws/s3 を持つ Amazon S3 の AWS マネージドキー 、または作成する対称カスタマーマネージドキーを選択できます。クライアント側の暗号化では、作成する対称カスタマーマネージドキーを選択する必要があります。カスタマーマネージドキーを選択する際に、Amazon EMR クラスターに KMS キーの使用許可があることを確認する必要があります。詳細については、「Amazon EMR 管理ガイド」の「暗号化 AWS KMS keys に を使用する」を参照してください。

サーバー側の暗号化とクライアント側の暗号化のどちらの場合でも、選択する KMS キーがエンベロープ暗号化ワークフローのルートキーになります。データは、 の KMS キーで暗号化された一意のデータキーで暗号化されます AWS KMS。暗号化されたデータとその暗号化されたデータキーのコピーは、1 つの暗号化オブジェクトとして S3 バケットに一緒に保存されます。この仕組みについては、次のトピックを参照してください。

SSE-KMS を使用して EMRFS のデータを暗号化するプロセス

SSE-KMS を使用するように Amazon EMR クラスターを設定すると、暗号化プロセスは次のように動作します。

  1. クラスターは、S3 バケットに格納するために Amazon S3 にデータを送信します。

  2. Amazon S3 は AWS KMS、SSE-KMS を使用するようにクラスターを設定したときに選択した KMS キーのキー ID を指定して、GenerateDataKey リクエストを に送信します。リクエストには暗号化コンテキストが含まれます。詳細については、「暗号化コンテキスト」を参照してください。

  3. AWS KMS は一意のデータ暗号化キー (データキー) を生成し、このデータキーの 2 つのコピーを Amazon S3 に送信します。コピーのうち一方は暗号化されない形式 (プレーンテキスト) で、もう一方は KMS キーで暗号化されます。

  4. Amazon S3 は、プレーンテキストデータキーを使用してステップ 1 で受信したデータを暗号化し、使用後できるだけ早くプレーンテキストデータキーをメモリから削除します。

  5. Amazon S3 は、暗号化されたデータとデータキーの暗号化されたコピーを、1 つの暗号化されたオブジェクトとして S3 バケットに格納します。

この復号プロセスは、次のように行われます。

  1. クラスターは、暗号化されたデータオブジェクトを S3 バケットへ要求します。

  2. Amazon S3 は、S3 オブジェクトから暗号化されたデータキーを抽出し、Decrypt リクエスト AWS KMS を使用して暗号化されたデータキーを に送信します。リクエストには暗号化コンテキストが含まれます。

  3. AWS KMS は、暗号化に使用したのと同じ KMS キーを使用して暗号化されたデータキーを復号し、復号された (プレーンテキスト) データキーを Amazon S3 に送信します。

  4. Amazon S3 は、プレーンテキストデータキーを使用して暗号化されたデータを復号化し、使用後できるだけ早くプレーンテキストデータキーをメモリから削除します。

  5. Amazon S3 は、復号化されたデータをクラスターに送信します。

CSE-KMS を使用して EMRFS のデータを暗号化するプロセス

CSE-KMS を使用するように Amazon EMR クラスターを設定すると、暗号化プロセスは次のように動作します。

  1. Amazon S3 にデータを保存する準備ができたら、クラスターは GenerateDataKey リクエストを に送信し AWS KMS、CSE-KMS を使用するようにクラスターを設定したときに選択した KMS キーのキー ID を指定します。リクエストには暗号化コンテキストが含まれます。詳細については、「暗号化コンテキスト」を参照してください。

  2. AWS KMS は一意のデータ暗号化キー (データキー) を生成し、このデータキーの 2 つのコピーをクラスターに送信します。コピーのうち一方は暗号化されない形式 (プレーンテキスト) で、もう一方は KMS キーで暗号化されます。

  3. クラスターは、プレーンテキストデータキーを使用してデータを暗号化し、使用後できるだけ早くそのプレーンテキストデータキーをメモリから削除します。

  4. クラスターは、暗号化データと暗号化されたデータキーのコピーを 1 つの暗号化オブジェクトにまとめます。

  5. クラスターは、暗号化されたオブジェクトを Amazon S3 に送信してストレージします。

この復号プロセスは、次のように行われます。

  1. クラスターは、暗号化されたデータオブジェクトを S3 バケットへ要求します。

  2. Amazon S3 は、暗号化されたオブジェクトをクラスターに送信します。

  3. クラスターは、暗号化されたオブジェクトから暗号化されたデータキーを抽出し、暗号化されたデータキーを Decrypt リクエスト AWS KMS で に送信します。リクエストには暗号化コンテキストが含まれます。

  4. AWS KMS は、暗号化に使用したのと同じ KMS キーを使用して暗号化されたデータキーを復号し、復号された (プレーンテキスト) データキーをクラスターに送信します。

  5. クラスターは、そのプレーンテキストデータキーを使用して、暗号化されたデータを復号し、使用後できるだけ早くプレーンテキストデータキーをメモリから削除します。

クラスターノードのストレージボリュームのデータを暗号化する

Amazon EMR クラスターは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの集合です。クラスター内のインスタンスはそれぞれ、クラスターノードまたはノードと呼ばれます。各ノードには、インスタンスストアボリュームと Amazon Elastic Block Store(Amazon EBS)ボリュームの 2 種類のストレージボリュームがあります。これらのノードでストレージボリュームをいずれも暗号化するには、クラスターを構成して、Linux Unified Key Setup (LUKS) を使用できます (各ノードの起動ボリュームは不可)。これは、ローカルディスクの暗号化と呼ばれます。

クラスター向けにローカルディスクの暗号化を有効にすると、 AWS KMSの KMS キーを使用して LUKS キーを暗号化できます。作成したカスタマーマネージドキーを選択する必要があります。AWS マネージドキー を使用することはできません。カスタマーマネージドキーを選択する場合は、Amazon EMR クラスターに KMS キーを使用するアクセス許可があることを確認する必要があります。詳細については、「Amazon EMR 管理ガイド」の「暗号化 AWS KMS keys に を使用する」を参照してください。

KMS キーを使用してローカルディスクの暗号化を有効にする際、暗号化プロセスは次のようになります。

  1. 各クラスターノードが起動すると、GenerateDataKey リクエストが に送信され AWS KMS、クラスターのローカルディスク暗号化を有効にしたときに選択した KMS キーのキー ID が指定されます。

  2. AWS KMS は一意のデータ暗号化キー (データキー) を生成し、このデータキーの 2 つのコピーをノードに送信します。コピーのうち一方は暗号化されない形式 (プレーンテキスト) で、もう一方は KMS キーで暗号化されます。

  3. ノードでは、LUKS キーを保護するパスワードとして、base64 エンコードバージョンのプレーンテキストデータキーを使用します。ノードは、暗号化されたデータキーのコピーを起動ボリュームに保存します。

  4. ノードが再起動すると、再起動されたノードは暗号化されたデータキーを Decrypt リクエスト AWS KMS とともに に送信します。

  5. AWS KMS は、暗号化に使用したのと同じ KMS キーを使用して暗号化されたデータキーを復号し、復号された (プレーンテキスト) データキーをノードに送信します。

  6. ノードでは、LUKS キーのロックを解除するパスワードとして、base64 エンコードバージョンのプレーンテキストデータキーを使用します。

暗号化コンテキスト

と統合された各サービスは AWS KMS 、 AWS サービスが AWS KMS を使用してデータキーを生成したり、データを暗号化または復号したりするときに、暗号化コンテキストを指定できます。暗号化コンテキストは、 AWS KMS がデータの整合性をチェックするために使用する追加の認証情報です。サービスにおいて、暗号化オペレーションのために暗号化コンテキストを指定する際、復号オペレーションと同じ暗号コンテキストを指定する必要があります。指定しない場合は復号できません。暗号化コンテキストも AWS CloudTrail ログファイルに書き込まれるため、特定の KMS キーが使用された理由を理解するのに役立ちます。

以下のセクションでは、KMS キーを使用する Amazon EMR 暗号化の各シナリオで使用される暗号化コンテキストについて説明します。

SSE-KMS による EMRFS 暗号化の暗号化コンテキスト

SSE-KMS を使用すると、Amazon EMR クラスターは Amazon S3 にデータを送信し、次に Amazon S3 が KMS キーを使用してデータを暗号化してから S3 バケットに保存します。この場合、Amazon S3 は S3 オブジェクトの Amazon リソースネーム (ARN) を、送信先の各 GenerateDataKey および Decrypt リクエストの暗号化コンテキストとして使用します AWS KMS。次の例は、Amazon S3 が使用する暗号化コンテキストの JSON 表現を示しています。

{ "aws:s3:arn" : "arn:aws:s3:::S3_bucket_name/S3_object_key" }

CSE-KMS による EMRFS 暗号化の暗号化コンテキスト

CSE-KMS では、Amazon EMR クラスターは KMS キーを使用してデータを暗号化してから Amazon S3 に送信して保存します。この場合、クラスターは KMS キーの Amazon リソースネーム (ARN) を、送信先の各 GenerateDataKey および Decrypt リクエストの暗号化コンテキストとして使用します AWS KMS。次の例では、クラスターが使用する暗号化コンテキストの JSON 表現を示します。

{ "kms_cmk_id" : "arn:aws:kms:us-east-2:111122223333:key/0987ab65-43cd-21ef-09ab-87654321cdef" }

LUKS によるローカルディスク暗号化の暗号化コンテキスト

Amazon EMR クラスターが LUKS でローカルディスク暗号化を使用するとき、クラスターノードは AWS KMSに送信する GenerateDataKey および Decrypt リクエストで暗号化コンテキストを指定しません。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.