View a markdown version of this page

Verschlüsselung von Daten, die von Jobs geschrieben wurden DataBrew - AWS Glue DataBrew Entwicklerhandbuch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung von Daten, die von Jobs geschrieben wurden DataBrew

DataBrew Jobs können in verschlüsselte Amazon S3 S3-Ziele und verschlüsselte CloudWatch Amazon-Logs schreiben.

Einrichtung für DataBrew die Verwendung von Verschlüsselung

Gehen Sie wie folgt vor, um Ihre DataBrew Umgebung für die Verwendung von Verschlüsselung einzurichten.

So richten Sie Ihre DataBrew Umgebung für die Verwendung von Verschlüsselung ein
  1. Erstellen oder aktualisieren Sie Ihre AWS KMS-Schlüssel, um den AWS Identity and Access Management(IAM-) Rollen, die an DataBrew Jobs übergeben werden,AWS KMS Berechtigungen zu erteilen. Diese IAM-Rollen werden verwendet, um CloudWatch Logs und Amazon S3 S3-Ziele zu verschlüsseln. Weitere Informationen finden Sie unter Verschlüsseln von Protokolldaten in CloudWatch Logs Using AWS KMS im Amazon CloudWatch Logs-Benutzerhandbuch.

    Im folgenden Beispiel "role3" sind "role1""role2", und IAM-Rollen, die an Jobs übergeben DataBrew werden. Diese Richtlinienerklärung beschreibt eine KMS-Schlüsselrichtlinie, die den aufgelisteten IAM-Rollen die Erlaubnis erteilt, mit diesem KMS-Schlüssel zu verschlüsseln und zu entschlüsseln.

    { "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

    Die Service Anweisung, dargestellt als, ist erforderlich"Service": "logs.region.amazonaws.com", wenn Sie den Schlüssel zum Verschlüsseln von Protokollen verwenden. CloudWatch

  2. Stellen Sie sicher, dass der AWS KMS Schlüssel auf eingestellt ist, ENABLED bevor er verwendet wird.

Weitere Informationen zum Angeben von Berechtigungen mithilfe von AWS KMS Schlüsselrichtlinien finden Sie unter Verwenden von Schlüsselrichtlinien in AWS KMS.

Eine Route erstellen zu AWS KMS für VPC-Jobs

Sie können sich direkt mit AWS KMSüber einen privaten Endpunkt in Ihrer Virtual Private Cloud (VPC) verbinden, anstatt sich über das Internet zu verbinden. Wenn Sie einen VPC-Endpunkt verwenden,AWS KMS erfolgt die Kommunikation zwischen Ihrer VPC und dem vollständig innerhalb des AWS Netzwerks.

Sie können einen AWS KMS VPC-Endpunkt innerhalb einer VPC erstellen. Ohne diesen Schritt könnten Ihre DataBrew Jobs mit einem fehlschlagen. kms timeout Eine ausführliche Anleitung finden Sie unter Herstellen einer Verbindung zu AWS KMS einem VPC-Endpunkt im AWS Key Management Service Entwicklerhandbuch.

Wenn Sie diese Anweisungen auf der VPC-Konsole befolgen, stellen Sie sicher, dass Sie Folgendes tun:

  • Wählen Sie „Privaten DNS-Namen aktivieren“.

  • Wählen Sie unter Sicherheitsgruppe die Sicherheitsgruppe (einschließlich einer selbstreferenzierenden Regel) aus, die Sie für Ihren DataBrew Job verwenden, der auf Java Database Connectivity (JDBC) zugreift.

Wenn Sie einen DataBrew Job ausführen, der auf JDBC-Datenspeicher zugreift, muss eine Route zum Endpunkt vorhanden sein. DataBrew AWS KMS Sie können die Route mit einem NAT-Gateway (Network Address Translation) oder mit einem AWS KMS VPC-Endpunkt bereitstellen. Informationen zum Erstellen eines NAT-Gateways finden Sie unter NAT-Gateways im Amazon-VPC-Benutzerhandbuch.

Verschlüsselung einrichten mit AWS KMS-Schlüssel

Wenn Sie die Verschlüsselung für einen Job aktivieren, gilt dies sowohl für Amazon S3 als auch CloudWatch. Die übergebene IAM-Rolle muss über die folgenden AWS KMS Berechtigungen verfügen.

Weitere Informationen finden Sie in den folgenden Themen im Benutzerhandbuch zum Amazon Simple Storage Service: