本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对作业写入的数据进行加密 DataBrew
DataBrew 任务可以写入加密的 Amazon S3 目标和加密的 Amazon CloudWatch 日志。
设置 DataBrew 为使用加密
按照以下步骤将您的 DataBrew 环境设置为使用加密。
将您的 DataBrew 环境设置为使用加密
-
创建或更新 AWS KMS密钥以向传递给 DataBrew 作业的 AWS Identity and Access Management (IAM) 角色 AWS KMS 授予权限。这些IAM角色用于加密 CloudWatch 日志和 Amazon S3 目标。有关更多信息,请参阅 Amazon Lo CloudWatch gs 用户指南 AWS KMS中的使用加密 CloudWatch 日志数据。
在以下示例中,
“角色1"“角色2”“角色 3”{ "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }如果您使用密钥对 CloudWatch 日志进行加密
"Service": "logs.,则必须使用该region.amazonaws.com"Service语句(如所示)。 -
确保在使用 AWS KMS 密钥
ENABLED之前将其设置为。
有关使用 AWS KMS 密钥策略指定权限的更多信息,请参阅中的使用密钥策略 AWS KMS。
为VPC工作创建通往 AWS KMS 的路线
您可以 AWS KMS 通过虚拟私有云 (VPC) 中的私有端点直接连接,而不必通过 Internet 进行连接。当您使用VPC终端节点时,您的VPC和 AWS KMS 之间的通信完全在 AWS 网络内进行。
您可以在中创建 AWS KMS VPC终端节点VPC。如果不执行此步骤,您的 DataBrew 作业可能会失败kms timeout。有关详细说明,请参阅《AWS Key Management Service 开发人员指南》中的 “AWS KMS 通过VPC端点连接”。
按照这些说明进行操作时,请务必在VPC主机
选择 “启用私有DNS名称”。
对于安全组,选择用于访问 Java 数据库连接的 DataBrew 任务的安全组(包括自引用规则)()。JDBC
当您运行访问JDBC数据存储的 DataBrew 作业时, DataBrew 必须有通往 AWS KMS 终端节点的路由。您可以为路由提供网络地址转换 (NAT) 网关或 AWS KMS VPC终端节点。要创建NAT网关,请参阅 Amazon VPC 用户指南中的NAT网关。
使用密 AWS KMS钥设置加密
当您对任务启用加密时,它会同时适用于 Amazon S3 和 CloudWatch。传递的IAM角色必须具有以下 AWS KMS 权限。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:GenerateDataKey*" ], "Resource": "arn:aws:kms:region:account-id:key/key-id" } }
有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的以下主题:
-
有关信息
SSE-S3,请参阅使用 Amazon S3 托管加密密钥 (SSE-S3) 使用服务器端加密保护数据。 -
有关信息
SSE-KMS,请参阅使用服务器端加密和 AWS KMS托管密钥保护数据 (SSE-KMS)。
