在AWS Glue主控台上管理安全性設定 - AWS Glue

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在AWS Glue主控台上管理安全性設定

警告

AWS Glue Ray 工作目前不支援安全性組態。

AWS Glue 中安全組態的包含在您寫入加密資料時所需的屬性。您將在 AWS Glue 主控台建立安全組態,以提供爬蟲程式、任務以及開發端點所使用的加密屬性。

若要查看您已建立的所有安全性設定清單,請開啟AWS Glue主控台,https://console.aws.amazon.com/glue/然後在瀏覽窗格中選擇 [安全性設定]。

安全組態清單顯示有關各個組態的下列屬性:

名稱

在建立組態時提供的唯一獨特名稱。名稱可包含字母 (A-Z)、數字 (0-9)、連字號 (-) 或底線 (_),並且長度上限為 255 個字元。

啟用 Amazon S3 加密

如果開啟,則會針對資料型錄中的中繼資料存放區啟用 SSE-KMSSSE-S3 等 Amazon Simple Storage Service (Amazon S3) 等加密模式。

啟用 Amazon CloudWatch 日誌加密

如果開啟,將日誌寫入 Amazon 時會啟SSE-KMS用 Amazon S3 加密模式 CloudWatch。

進階設定:啟用任務書籤加密

如果開啟,則會在為任務加上書籤時啟用 CSE-KMS 等 Amazon S3 加密模式。

您可以在主控台的 Security configurations (安全組態) 部分中新增或刪除組態。若要查看組態詳細資訊,請在清單中選擇組態的名稱。詳細資訊包含您在建立組態時所定義的資訊。

新增安全組態

若要使用 AWS Glue 主控台新增安全組態,請在 Security configurations (安全組態) 頁面,選擇 Add security configuration (新增安全性設定)

螢幕擷取畫面會顯示「新增安全性組態」頁面。

安全性組態屬性

輸入不重複的安全性組態名稱。名稱可包含字母 (A-Z)、數字 (0-9)、連字號 (-) 或底線 (_),並且長度上限為 255 個字元。

加密設定

您可以為存放在 Amazon S3 資料目錄中的中繼資料和 Amazon 中的日誌啟用靜態加密。 CloudWatch若要使用AWS Glue主控台上的 AWS Key Management Service (AWS KMS) 金鑰設定資料和中繼資料的加密,請將政策新增至主控台使用者。此政策必須將允許的資源指定為用於加密 Amazon S3 資料存放區的金鑰 Amazon 資源名稱 (ARNs),如下列範例所示。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt"], "Resource": "arn:aws:kms:region:account-id:key/key-id"} }
重要

將安全性組態附加至爬行者程式或工作時,傳遞的IAM角色必須具有 AWS KMS 權限。如需詳細資訊,請參閱對 AWS Glue 寫入的資料加密

當您定義組態時,您可為下列屬性提供值:

啟用 S3 加密

撰寫 Amazon S3 資料時,您可以使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3),或使用受 AWS KMS 管金鑰 (SSE-KMS) 使用伺服器端加密。此欄位為選用欄位。若要允許存取 Amazon S3,請選擇 AWS KMS 金鑰,或選擇 [輸入金鑰] ARN 並提供金鑰的。ARN在表單ARN中輸入arn:aws:kms:region:account-id:key/key-id。您也可以提供作ARN為索引鍵別名,例如arn:aws:kms:region:account-id:alias/alias-name

如果您為任務啟用 Spark UI,則上傳到 Amazon S3 的 Spark UI 日誌檔案將採用相同的加密方式。

重要

AWS Glue僅支援對稱的客戶主金鑰 (CMKs)。AWS KMS key (KMS 金鑰) 清單僅會顯示對稱金鑰。不過,如果您選取 [選擇 AWS KMS 金鑰]ARN,主控台可讓您輸入ARN任何金鑰類型的。請確定您只輸入ARNs對稱金鑰。

啟用 CloudWatch 記錄檔加密

伺服器端 (SSE-KMS) 加密是用來加密 CloudWatch 記錄檔。此欄位為選用欄位。若要將其開啟,請選擇 AWS KMS 金鑰,或選擇 [輸入金鑰] ARN 並提供金鑰的。ARN在表單ARN中輸入arn:aws:kms:region:account-id:key/key-id。您也可以提供作ARN為索引鍵別名,例如arn:aws:kms:region:account-id:alias/alias-name

進階設定:任務書籤加密

用戶端 (CSE-KMS) 加密用於加密工作書籤。此欄位為選用欄位。書籤資料會先加密後才傳送至 Amazon S3​ 儲存。若要將其開啟,請選擇 AWS KMS 金鑰,或選擇 [輸入金鑰] ARN 並提供金鑰的。ARN在表單ARN中輸入arn:aws:kms:region:account-id:key/key-id。您也可以提供作ARN為索引鍵別名,例如arn:aws:kms:region:account-id:alias/alias-name

如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的下列主題: