Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung von Daten, die von Jobs geschrieben wurden DataBrew
DataBrew Jobs können in verschlüsselte Amazon S3 S3-Ziele und verschlüsselte CloudWatch Amazon-Logs schreiben.
Themen
Einrichtung für DataBrew die Verwendung von Verschlüsselung
Gehen Sie wie folgt vor, um Ihre DataBrew Umgebung für die Verwendung von Verschlüsselung einzurichten.
So richten Sie Ihre DataBrew Umgebung für die Verwendung von Verschlüsselung ein
-
Erstellen oder aktualisieren Sie Ihre AWS KMS-Schlüssel, um den AWS Identity and Access Management(IAM-) Rollen, die an DataBrew Jobs übergeben werden,AWS KMS Berechtigungen zu erteilen. Diese IAM-Rollen werden verwendet, um CloudWatch Logs und Amazon S3 S3-Ziele zu verschlüsseln. Weitere Informationen finden Sie unter Verschlüsseln von Protokolldaten in CloudWatch Logs Using AWS KMS im Amazon CloudWatch Logs-Benutzerhandbuch.
Im folgenden Beispiel
sind"role3""role1", und IAM-Rollen, die an Jobs übergeben DataBrew werden. Diese Richtlinienerklärung beschreibt eine KMS-Schlüsselrichtlinie, die den aufgelisteten IAM-Rollen die Erlaubnis erteilt, mit diesem KMS-Schlüssel zu verschlüsseln und zu entschlüsseln."role2"{ "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }Die
ServiceAnweisung, dargestellt als, ist erforderlich"Service": "logs., wenn Sie den Schlüssel zum Verschlüsseln von Protokollen verwenden. CloudWatchregion.amazonaws.com" -
Stellen Sie sicher, dass der AWS KMS Schlüssel auf eingestellt ist,
ENABLEDbevor er verwendet wird.
Weitere Informationen zum Angeben von Berechtigungen mithilfe von AWS KMS Schlüsselrichtlinien finden Sie unter Verwenden von Schlüsselrichtlinien in AWS KMS.
Eine Route erstellen zu AWS KMS für VPC-Jobs
Sie können sich direkt mit AWS KMSüber einen privaten Endpunkt in Ihrer Virtual Private Cloud (VPC) verbinden, anstatt sich über das Internet zu verbinden. Wenn Sie einen VPC-Endpunkt verwenden,AWS KMS erfolgt die Kommunikation zwischen Ihrer VPC und dem vollständig innerhalb des AWS Netzwerks.
Sie können einen AWS KMS VPC-Endpunkt innerhalb einer VPC erstellen. Ohne diesen Schritt könnten Ihre DataBrew Jobs mit einem fehlschlagen. kms timeout Eine ausführliche Anleitung finden Sie unter Herstellen einer Verbindung zu AWS KMS einem VPC-Endpunkt im AWS Key Management Service Entwicklerhandbuch.
Wenn Sie diese Anweisungen auf der VPC-Konsole
Wählen Sie „Privaten DNS-Namen aktivieren“.
Wählen Sie unter Sicherheitsgruppe die Sicherheitsgruppe (einschließlich einer selbstreferenzierenden Regel) aus, die Sie für Ihren DataBrew Job verwenden, der auf Java Database Connectivity (JDBC) zugreift.
Wenn Sie einen DataBrew Job ausführen, der auf JDBC-Datenspeicher zugreift, muss eine Route zum Endpunkt vorhanden sein. DataBrew AWS KMS Sie können die Route mit einem NAT-Gateway (Network Address Translation) oder mit einem AWS KMS VPC-Endpunkt bereitstellen. Informationen zum Erstellen eines NAT-Gateways finden Sie unter NAT-Gateways im Amazon-VPC-Benutzerhandbuch.
Verschlüsselung einrichten mit AWS KMS-Schlüssel
Wenn Sie die Verschlüsselung für einen Job aktivieren, gilt dies sowohl für Amazon S3 als auch CloudWatch. Die übergebene IAM-Rolle muss über die folgenden AWS KMS Berechtigungen verfügen.
Weitere Informationen finden Sie in den folgenden Themen im Benutzerhandbuch zum Amazon Simple Storage Service:
-
Weitere Informationen dazu
SSE-S3finden Sie unter Schützen von Daten mithilfe von Server-Side Verschlüsselung mit S3-Managed Amazon-Verschlüsselungsschlüsseln (SSE-S3). -
Weitere Informationen
SSE-KMSfinden Sie unter Schützen von Daten durch Server-Side Verschlüsselung mit AWS KMS-verwalteten Schlüsseln (). SSE-KMS