Registrando uma localização criptografada do Amazon S3

O Lake Formation se integra com AWS Key Management Service (AWS KMS) para permitir que você configure com mais facilidade outros serviços integrados para criptografar e descriptografar dados em locais do Amazon Simple Storage Service (Amazon S3).

Ambos AWS KMS keys e Chaves gerenciadas pela AWS gerenciados pelo cliente e são suportados. Atualmente, só é possível usar criptografia/descriptografia do lado do cliente com o Athena.

Você deve especificar um perfil (IAM) AWS Identity and Access Management ao registrar uma localização no Amazon S3. Para locais criptografados do Amazon S3, o perfil deve ter permissão para criptografar e descriptografar dados com a AWS KMS key, ou a política de chaves do KMS deve conceder permissões sobre a chave do perfil.

Importante

Evite registrar um bucket do Amazon S3 que tenha o Solicitante paga ativado. Para buckets registrados no Lake Formation, a função usada para registrar o bucket é sempre vista como solicitante. Se o bucket for acessado por outra conta da AWS, o proprietário do bucket será cobrado pelo acesso aos dados se a função pertencer à mesma conta do proprietário do bucket.

A maneira mais simples de registrar a localização é usar a função vinculada ao serviço Lake Formation. Essa função concede as permissões de leitura/gravação necessárias no local. Você também pode usar uma função personalizada para registrar o local, desde que ele atenda aos requisitos do Requisitos para funções usadas para registrar locais.

Importante

Se você usou uma Chave gerenciada pela AWS para criptografar a localização do Amazon S3, não poderá usar o perfil vinculado ao serviço do Lake Formation. Você deve usar um papel personalizado e adicionar permissões do IAM na chave do perfil. Os detalhes são fornecidos posteriormente nesta seção.

Os procedimentos a seguir explicam como registrar um local do Amazon S3 criptografado com uma chave gerenciada pelo cliente ou uma Chave gerenciada pela AWS.

Registrar um local criptografado com uma chave gerenciada pelo cliente
Registrando um local criptografado com um Chave gerenciada pela AWS

Antes de começar

Analise os requisitos da função usada para registrar o local.

Para registrar uma localização do Amazon S3 criptografada com uma chave gerenciada pelo cliente

nota

Se a chave KMS ou a localização do Amazon S3 não estiverem na mesma conta AWS do catálogo de dados, siga as instruções em Registrando uma localização criptografada do Amazon S3 em todas as contas AWS em vez disso.

Abra o console AWS KMS em https://console.aws.amazon.com/kms e faça login como um usuário administrativo (IAM) AWS Identity and Access Management ou como um usuário que pode modificar a política de chaves da chave KMS usada para criptografar o local.
No painel de navegação, selecione Chaves gerenciadas pelo cliente e selecione o nome da chave do KMS desejada.
Na página de detalhes da chave KMS, escolha a guia Política de chaves e, em seguida, faça o seguinte para adicionar sua função personalizada ou a função vinculada ao serviço Lake Formation como usuário da chave KMS:
- Se a visualização padrão estiver sendo exibida (com as seções Administradores de chaves, Exclusão de chaves, Usuários de chaves e Outras contas da AWS), na seção Usuários principais, adicione sua função personalizada ou a função AWSServiceRoleForLakeFormationDataAccess vinculada ao serviço Lake Formation.
- Se a política de chaves (JSON) estiver sendo exibida – edite a política para adicionar sua função personalizada ou a função AWSServiceRoleForLakeFormationDataAccess vinculada ao serviço Lake Formation ao objeto “Permitir o uso da chave”, conforme mostrado no exemplo a seguir.
  
  nota
  Se esse objeto estiver ausente, adicione-o com as permissões mostradas no exemplo. O exemplo usa a função vinculada ao serviço.
```
        ...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
                    "arn:aws:iam::111122223333:user/keyuser"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...
```
Abra o console do AWS Lake Formation em https://console.aws.amazon.com/lakeformation/. Faça login como administrador do data lake ou como usuário com a permissão lakeformation:RegisterResource do IAM.
No painel de navegação, em Administração em Locais de data lake.
Escolha Registrar localização e, em seguida, escolha Procurar para selecionar um caminho do Amazon Simple Storage Service (Amazon S3).
(Opcional, mas altamente recomendado) Escolha Revisar permissões de localização para ver uma lista de todos os recursos existentes no local selecionado do Amazon S3 e suas permissões.

Registrar o local selecionado pode fazer com que seus usuários do Lake Formation tenham acesso aos dados que já estão nesse local. A visualização dessa lista ajuda a garantir que os dados existentes permaneçam seguros.
Para o perfil do IAM, escolha a função AWSServiceRoleForLakeFormationDataAccess vinculada ao serviço (a padrão) ou sua função personalizada que atenda a Requisitos para funções usadas para registrar locais.
Escolha Registrar local.

Para obter mais informações sobre a função vinculada ao serviço, consulte Permissões de perfil vinculado ao serviço para o Lake Formation.

Para registrar uma localização do Amazon S3 criptografada com um Chave gerenciada pela AWS

Importante

Se a localização do Amazon S3 não estiver na mesma conta da AWS do catálogo de dados, siga as instruções em Registrando uma localização criptografada do Amazon S3 em todas as contas AWS.

Crie um perfil do IAM para usar para registrar o local. Certifique-se de que ele atenda aos requisitos listados em Requisitos para funções usadas para registrar locais.
Adicione a seguinte política em linha à função. Ele concede permissões sobre a chave da função. A especificação Resource deve designar o nome do recurso da Amazon (ARN) da Chave gerenciada pela AWS. Você pode obter o ARN no console do AWS KMS. Para obter o ARN correto, certifique-se de fazer login no console do AWS KMS com a mesma conta e região da AWS usadas para criptografar o local da Chave gerenciada pela AWS.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "<Chave gerenciada pela AWS ARN>"
    }
  ]
}
```
Abra o console do AWS Lake Formation em https://console.aws.amazon.com/lakeformation/. Faça login como administrador do data lake ou como usuário com a permissão lakeformation:RegisterResource do IAM.
No painel de navegação, em Administração em Locais de data lake.
Escolha Registrar localização e, em seguida, escolha Procurar para selecionar um caminho do Amazon S3.
(Opcional, mas altamente recomendado) Escolha Revisar permissões de localização para ver uma lista de todos os recursos existentes no local selecionado do Amazon S3 e suas permissões.

Registrar o local selecionado pode fazer com que seus usuários do Lake Formation tenham acesso aos dados que já estão nesse local. A visualização dessa lista ajuda a garantir que os dados existentes permaneçam seguros.
Em Perfil do IAM, escolha a função que você criou na Etapa 1.
Escolha Registrar local.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Registrando uma localização do Amazon S3

Registrando uma localização do Amazon S3 em outra conta AWS