选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

在 AWS Glue 中设置加密

聚焦模式
在 AWS Glue 中设置加密 - AWS Glue

以下示例工作流程重点介绍在对 AWS Glue 使用加密时要配置的选项。该示例演示如何使用特定的 AWS Key Management Service (AWS KMS) 密钥,但您可以根据您的特定需求选择其他设置。此工作流程只重点介绍在设置 AWS Glue 时与加密有关的选项。

  1. 如果 AWS Glue 控制台的用户不使用允许所有 AWS Glue API 操作(例如,"glue:*")的权限策略,请确认允许以下操作:

    • "glue:GetDataCatalogEncryptionSettings"

    • "glue:PutDataCatalogEncryptionSettings"

    • "glue:CreateSecurityConfiguration"

    • "glue:GetSecurityConfiguration"

    • "glue:GetSecurityConfigurations"

    • "glue:DeleteSecurityConfiguration"

  2. 访问加密目录的任何客户端,即任何控制台用户、爬网程序、任务或开发终端节点都需要以下权限:

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt" ], "Resource": "<key-arns-used-for-data-catalog>" } }
  3. 访问加密连接密码的任何用户或角色都需要以下权限。

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "<key-arns-used-for-password-encryption>" } }
  4. 将加密数据写入 Amazon S3 的任何提取、转换和加载(ETL)任务的角色都需要以下权限。

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": "<key-arns-used-for-s3>" } }
  5. 任何写入加密 Amazon CloudWatch Logs 的 ETL 作业或爬网程序在密钥政策和 IAM policy 中都需要以下权限。

    在密钥政策(而不是在 IAM policy)中:

    { "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "<arn of key used for ETL/crawler cloudwatch encryption>" }

    有关 密钥策略的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的使用 AWS KMS 中的密钥策略

    在 IAM policy 中,请附加 logs:AssociateKmsKey 权限:

    { "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com" }, "Action": [ "logs:AssociateKmsKey" ], "Resource": "<arn of key used for ETL/crawler cloudwatch encryption>" }
  6. 任何使用加密作业书签的 ETL 作业都需要以下权限。

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt" ], "Resource": "<key-arns-used-for-job-bookmark-encryption>" } }
  7. 在 AWS Glue 控制台的导航窗格上选择 Settings (设置)

    1. 在存储库的 Data catalog settings (数据目录设置) 页面上,选择 Metadata encryption (元数据加密),加密您的数据目录。此选项将使用您选择的 AWS KMS 密钥加密数据目录中的所有对象。

    2. 对于 AWS KMS 密钥 (Amazon KMS 密钥),请选择 aws/glue。您也可以选择您创建的 AWS KMS 键。

    重要

    AWS Glue 只支持对称客户主密钥(CMK)。AWS KMS key (Amazon KMS 密钥) 列表仅显示对称密钥。但是,如果选择 Choose a AWS KMS key ARN (选择 Amazon KMS 密钥 ARN),控制台允许您为任何密钥类型输入 ARN。确保仅为对称密钥输入 ARN。

    启用了加密时,正在访问数据目录的客户端必须具有 AWS KMS 权限。

  8. 在导航窗格中,选择 Security configurations (安全配置)。安全配置是可用于配置 AWS Glue 过程的一组安全属性。然后选择 Add security configuration (添加安全配置)。在配置中,选择以下任何选项:

    1. 选择 S3 加密。对于 Encryption mode (加密模式),选择 SSE-KMS。对于 AWS KMS key (Amazon KMS 密钥),选择 aws/s3(确保用户有权限使用此密钥)。这支持任务写入 Amazon S3 的数据可以使用 AWS 托管的 AWS Glue AWS KMS 密钥。

    2. 选择 CloudWatch 日志加密,然后选择 CMK。(确保用户有权使用此密钥)。有关更多信息,请参阅《AWS Key Management Service 用户指南》中的使用 AWS KMS 加密 CloudWatch Logs 中的日志数据

      重要

      AWS Glue 只支持对称客户主密钥(CMK)。AWS KMS key (Amazon KMS 密钥) 列表仅显示对称密钥。但是,如果选择 Choose a AWS KMS key ARN (选择 Amazon KMS 密钥 ARN),控制台允许您为任何密钥类型输入 ARN。确保仅为对称密钥输入 ARN。

    3. 选择高级属性,然后选择任务书签加密。对于 AWS KMS key (Amazon KMS 密钥),选择 aws/glue(确保用户有权限使用此密钥)。这样,就可以使用 AWS Glue AWS KMS 密钥对写入 Amazon S3 的任务书签进行加密。

  9. 在导航窗格中,选择 Connections (站点到站点 VPN 连接)

    1. 选择 Add connection (添加连接) 以创建到作为 ETL 作业目标的 Java 数据库连接 (JDBC) 数据存储的连接。

    2. 要强制使用安全套接字层 (SSL) 加密,请选择 Require SSL connection (需要 SSL 连接),并测试您的连接。

  10. 在导航窗格中,选择作业

    1. 选择 Add job (添加作业) 以创建转换数据的作业。

    2. 在作业定义中,选择您创建的安全配置。

  11. 在 AWS Glue 控制台中,按需运行作业。验证任务写入的任何 Amazon S3 数据、任务写入的 CloudWatch Logs 以及任务书签都已全部加密。

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。