Opções de criptografia para a Amazon EMR - Amazon EMR
Criptografia em repouso para EMRFS no S3Criptografia em repouso para o WALCriptografia de disco localCriptografia em trânsito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Opções de criptografia para a Amazon EMR

Com as EMR versões 4.8.0 e superiores da Amazon, você pode usar uma configuração de segurança para especificar configurações para criptografar dados em repouso, dados em trânsito ou ambos. Ao habilitar a criptografia de dados em repouso, você pode optar por criptografar EMRFS dados no Amazon S3, dados em discos locais ou ambos. Cada configuração de segurança que você cria é armazenada na Amazon e EMR não na configuração do cluster, para que você possa facilmente reutilizar uma configuração para especificar as configurações de criptografia de dados sempre que criar um cluster. Para obter mais informações, consulte Crie uma configuração de segurança com o EMR console da Amazon ou com o AWS CLI.

O diagrama a seguir mostra as diferentes opções de criptografia de dados disponíveis com as configurações de segurança.

Há várias opções de criptografia em trânsito e em repouso disponíveis na Amazon. EMR

As seguintes opções de criptografia também estão disponíveis e não são configuradas usando uma configuração de segurança:

nota

A partir da EMR versão 5.24.0 da Amazon, você pode usar uma opção de configuração de segurança para criptografar o dispositivo EBS raiz e os volumes de armazenamento ao especificar AWS KMS como seu provedor de chaves. Para obter mais informações, consulte Criptografia de disco local.

A criptografia de dados requer chaves e certificados. Uma configuração de segurança oferece a flexibilidade de escolher entre várias opções, incluindo chaves gerenciadas por AWS Key Management Service, chaves gerenciadas pelo Amazon S3 e chaves e certificados de fornecedores personalizados fornecidos por você. Ao usar AWS KMS como seu provedor de chaves, cobranças se aplicam pelo armazenamento e uso de chaves de criptografia. Para obter mais informações, consulte Definição de preço do AWS KMS.

Antes de especificar opções de criptografia, decida quais sistemas de gerenciamento de chaves e certificados você deseja usar, para poder primeiro criar as chaves e os certificados ou os provedores personalizados especificados como parte das configurações de criptografia.

Criptografia em repouso para EMRFS dados no Amazon S3

A criptografia do Amazon S3 funciona com os objetos EMR do Amazon File System (EMRFS) lidos e gravados no Amazon S3. Você especifica a criptografia do lado do servidor (SSE) ou do cliente () do Amazon S3 como o modo de criptografia padrão ao ativar a criptografia em repouso. CSE Opcionalmente, você pode especificar diferentes métodos de criptografia para buckets individuais usando Per bucket encryption overrides (Substituições de criptografia por bucket). Independentemente de a criptografia do Amazon S3 estar habilitada, o Transport Layer Security (TLS) criptografa os EMRFS objetos em trânsito entre os nós do EMR cluster e o Amazon S3. Para obter mais informações sobre criptografia no Amazon S3, consulte Protecting data using encryption no Guia do usuário do Amazon Simple Storage Service.

nota

Quando você usa AWS KMS, cobranças são cobradas pelo armazenamento e uso de chaves de criptografia. Para obter mais informações, consulte Preços do AWS KMS.

Criptografia do lado do servidor do Amazon S3

Quando você configura a criptografia do lado do servidor do Amazon S3, o Amazon S3 criptografa os dados no nível do objeto à medida que os grava no disco e os descriptografa quando são acessados. Para obter mais informações sobre issoSSE, consulte Proteção de dados usando criptografia do lado do servidor no Guia do usuário do Amazon Simple Storage Service.

Você pode escolher entre dois sistemas diferentes de gerenciamento de chaves ao especificar SSE na AmazonEMR:

  • SSE-S3 — O Amazon S3 gerencia as chaves para você.

  • SSE- KMS — Você usa um AWS KMS key para configurar políticas adequadas para a AmazonEMR. Para obter mais informações sobre os principais requisitos da AmazonEMR, consulte Usando AWS KMS keys para criptografia.

SSEcom chaves fornecidas pelo cliente (SSE-C) não está disponível para uso com a Amazon. EMR

Criptografia do lado do cliente do Amazon S3

Com a criptografia do lado do cliente do Amazon S3, a criptografia e a descriptografia do Amazon S3 ocorrem no cliente em seu cluster. EMRFS Os objetos são criptografados antes de serem carregados no Amazon S3 e descriptografados após serem baixados. O provedor especificado por você fornece a chave de criptografia que o cliente usa. O cliente pode usar chaves fornecidas por AWS KMS (CSE-KMS) ou uma classe Java personalizada que fornece a chave raiz do lado do cliente (CSE-C). As especificações da criptografia são ligeiramente diferentes entre CSE - KMS e CSE -C, dependendo do provedor especificado e dos metadados do objeto que está sendo descriptografado ou criptografado. Para obter mais informações sobre essas diferenças, consulte Proteger dados usando a criptografia do lado do cliente no Guia do usuário do Amazon Simple Storage Service.

nota

O Amazon S3 CSE só garante que EMRFS os dados trocados com o Amazon S3 sejam criptografados; nem todos os dados nos volumes de instâncias de cluster são criptografados. Além disso, como o Hue não usaEMRFS, os objetos que o Navegador de arquivos Hue S3 grava no Amazon S3 não são criptografados.

Criptografia em repouso para dados na Amazon EMR WAL

Quando você configura a criptografia do lado do servidor (SSE) para registro antecipado de gravação ()WAL, a Amazon EMR criptografa os dados em repouso. Você pode escolher entre dois sistemas diferentes de gerenciamento de chaves ao especificar SSE na AmazonEMR:

SSE-EMR-WAL

A Amazon EMR gerencia as chaves para você. Por padrão, a Amazon EMR criptografa os dados que você armazenou na Amazon EMR WAL com SSE-EMR-WAL.

SSE-KMS-WAL

Você usa uma AWS KMS chave para configurar políticas que se aplicam à Amazon EMRWAL. Para obter mais informações sobre os principais requisitos da AmazonEMR, consulteUsando AWS KMS keys para criptografia.

Você não pode usar sua própria chave SSE ao habilitar WAL com a AmazonEMR. Para obter mais informações, consulte Write-ahead logs (WAL) para a Amazon. EMR

Criptografia de disco local

Os mecanismos a seguir trabalham juntos para criptografar discos locais quando você ativa a criptografia de disco local usando uma configuração de EMR segurança da Amazon.

Criptografia de código aberto HDFS

HDFStroca dados entre instâncias de cluster durante o processamento distribuído. Ele também lê e grava dados nos volumes de armazenamento de instâncias e nos EBS volumes anexados às instâncias. As seguintes opções de criptografia Hadoop de código-fonte aberto são ativadas quando você habilita a criptografia do disco local:

nota

Você pode ativar a criptografia adicional do Apache Hadoop habilitando a criptografia em trânsito. Para obter mais informações, consulte Criptografia em trânsito. Essas configurações de criptografia não ativam a criptografia HDFS transparente, que você pode configurar manualmente. Para obter mais informações, consulte Criptografia transparente HDFS na Amazon EMR no Guia de EMR lançamento da Amazon.

Criptografia de armazenamento de instância

Para tipos de EC2 instância que usam NVMe based SSDs como volume de armazenamento de instâncias, a NVMe criptografia é usada independentemente das configurações de EMR criptografia da Amazon. Para obter mais informações, consulte NVMeSSDos volumes no Guia EC2 do usuário da Amazon. Para outros volumes de armazenamento de instâncias, a Amazon EMR usa LUKS para criptografar o volume de armazenamento de instâncias quando a criptografia de disco local está ativada, independentemente de EBS os volumes serem criptografados usando EBS criptografia ouLUKS.

EBScriptografia de volume

Se você criar um cluster em uma região em que a EC2 criptografia de EBS volumes da Amazon esteja habilitada por padrão para sua conta, EBS os volumes serão criptografados mesmo que a criptografia de disco local não esteja habilitada. Para obter mais informações, consulte Criptografia por padrão no Guia EC2 do usuário da Amazon. Com a criptografia de disco local ativada em uma configuração de segurança, as EMR configurações da Amazon têm precedência sobre EC2 encryption-by-default as configurações da Amazon para EC2 instâncias de cluster.

As opções a seguir estão disponíveis para criptografar EBS volumes usando uma configuração de segurança:

  • EBScriptografia — A partir da EMR versão 5.24.0 da Amazon, você pode optar por ativar EBS a criptografia. A opção EBS de criptografia criptografa o volume do dispositivo EBS raiz e os volumes de armazenamento conectados. A opção de EBS criptografia está disponível somente quando você especifica AWS Key Management Service como seu provedor de chaves. Recomendamos o uso EBS de criptografia.

  • LUKScriptografia — Se você optar por usar a LUKS criptografia para EBS volumes da Amazon, a LUKS criptografia se aplicará somente aos volumes de armazenamento conectados, não ao volume do dispositivo raiz. Para obter mais informações sobre LUKS criptografia, consulte a especificação LUKS em disco.

    Para seu provedor de chaves, você pode configurar uma AWS KMS key com políticas adequadas para a Amazon EMR ou uma classe Java personalizada que forneça os artefatos de criptografia. Quando você usa AWS KMS, cobranças são cobradas pelo armazenamento e uso de chaves de criptografia. Para obter mais informações, consulte Definição de preço do AWS KMS.

nota

Para verificar se a EBS criptografia está habilitada em seu cluster, é recomendável usar DescribeVolumes API call. Para obter mais informações, consulte DescribeVolumes. A execução lsblk no cluster só verificará o status da LUKS criptografia, em vez da EBS criptografia.

Criptografia em trânsito

Vários mecanismos de criptografia estão habilitados com a criptografia em trânsito. Esses são recursos de código aberto, são específicos do aplicativo e podem variar de acordo com o lançamento da Amazon. EMR Para habilitar a criptografia em trânsito, use Crie uma configuração de segurança com o EMR console da Amazon ou com o AWS CLI na AmazonEMR. Para EMR clusters com criptografia em trânsito ativada, a Amazon configura EMR automaticamente as configurações do aplicativo de código aberto para permitir a criptografia em trânsito. Para casos de uso avançados, você pode configurar diretamente as configurações de aplicativos de código aberto para substituir o comportamento padrão na Amazon. EMR Para obter mais informações, consulte a In-transit encryption support matrix e Configuração de aplicações.

Consulte as seguintes informações para saber mais detalhes específicos sobre aplicações de código aberto relevantes à criptografia em trânsito:

  • Quando você ativa a criptografia em trânsito com uma configuração de segurança, a Amazon EMR habilita a criptografia em trânsito para todos os endpoints de aplicativos de código aberto que oferecem suporte à criptografia em trânsito. Support para criptografia em trânsito para diferentes endpoints de aplicativos varia de acordo com a versão de EMR lançamento da Amazon. Para obter mais informações, consulte a matriz de suporte à criptografia em trânsito.

  • Você pode substituir as configurações de código aberto, o que permite fazer o seguinte:

    • Desative a verificação TLS do nome do host se seus TLS certificados fornecidos pelo usuário não atenderem aos requisitos

    • Desabilite a criptografia em trânsito para determinados endpoints com base nos seus requisitos de performance e compatibilidade

    • Controle quais TLS versões e pacotes de criptografia usar.

    Você encontra mais detalhes sobre as configurações específicas da aplicação na matriz de suporte à criptografia em trânsito

  • Além de habilitar a criptografia em trânsito com uma configuração de segurança, alguns canais de comunicação também exigem configurações de segurança adicionais para que você habilite a criptografia em trânsito. Por exemplo, alguns endpoints de aplicativos de código aberto usam Simple Authentication and Security Layer (SASL) para criptografia em trânsito, o que exige que a autenticação Kerberos esteja habilitada na configuração de segurança do cluster. EMR Para saber mais sobre esses endpoints, consulte a matriz de suporte à criptografia em trânsito.

  • Recomendamos que você use um software compatível com a TLS versão 1.2 ou superior. A EMR Amazon EC2 envia a JDK distribuição padrão do Corretto, que determina quais TLS versões, pacotes de criptografia e tamanhos de chaves são permitidos pelas redes de código aberto que rodam em Java. No momento, a maioria das estruturas de código aberto impõe a versão TLS 1.2 ou superior para Amazon EMR 7.0.0 e versões superiores. Isso ocorre porque a maioria das estruturas de código aberto é executada em Java 17 para Amazon EMR 7.0.0 e versões posteriores. As EMR versões mais antigas da Amazon podem suportar TLS v1.0 e v1.1 porque consomem versões mais antigas do Java, mas o Corretto JDK pode alterar TLS as versões suportadas pelo Java, o que pode afetar as versões existentes da Amazon. EMR

Você especifica os artefatos de criptografia usados para a criptografia em trânsito de uma destas duas maneiras: fornecendo um arquivo compactado de certificados, que é carregado no Amazon S3, ou referenciando uma classe Java personalizada, que fornece artefatos de criptografia. Para obter mais informações, consulte Fornecendo certificados para criptografar dados em trânsito com a criptografia da Amazon EMR.