Angeben der Amazon-S3-Verschlüsselung mit EMRFS-Eigenschaften - Amazon EMR
AWS KMS keys für die EMRFS-Verschlüsselung verwendenServerseitige Verschlüsselung im Amazon S3

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Angeben der Amazon-S3-Verschlüsselung mit EMRFS-Eigenschaften

Wichtig

Ab Amazon-EMR-Version 4.8.0 können Sie Sicherheitskonfigurationen verwenden, um Verschlüsselungseinstellungen einfacher und mit mehr Optionen einzurichten. Wir empfehlen die Verwendung von Sicherheitskonfigurationen. Weitere Informationen finden Sie unter Datenverschlüsselung konfigurieren. Die in diesem Abschnitt beschriebenen Konsolenbefehle sind für Versionen vor 4.8.0 verfügbar. Wenn Sie die AWS CLI zum Konfigurieren der Amazon-S3-Verschlüsselung sowohl in der Cluster-Konfiguration als auch in einer Sicherheitskonfiguration in nachfolgenden Versionen verwenden, hat die Sicherheitskonfiguration Vorrang vor der Cluster-Konfiguration.

Wenn Sie einen Cluster erstellen, können Sie die serverseitige Verschlüsselung (SSE) oder die clientseitige Verschlüsselung (CSE) für EMRFS-Daten in Amazon S3 mithilfe der Konsole oder mithilfe von emrfs-site Klassifizierungseigenschaften über die oder das EMR-SDK festlegen. AWS CLI SSE und CSE in Amazon S3 schließen sich gegenseitig aus. Sie können jede der beiden Optionen, aber nicht beide auswählen.

AWS CLI Anweisungen finden Sie unten im entsprechenden Abschnitt für Ihren Verschlüsselungstyp.

So geben Sie EMRFS-Verschlüsselungsoptionen mit der an AWS Management Console

  1. Navigieren Sie zur neuen Amazon-EMR-Konsole und wählen Sie in der Seitennavigation die Option Zur alten Konsole wechseln aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter Verwenden der alten Konsole.

  2. Wählen Sie Create Cluster (Cluster erstellen) und Go to advanced options (Zu erweiterten Optionen) aus.

  3. Wählen Sie Release (Version) 4.7.2 oder früher aus.

  4. Wählen Sie weitere Optionen für Software and Steps (Software und Steps) aus wie für Ihre Anwendung erforderlich. Wählen Sie anschließend Next (Weiter) aus.

  5. Wählen Sie in den Bereichen Hardware (Hardware) und General Cluster Settings (Allgemeine Cluster-Einstellungen) Einstellungen aus wie für Ihre Anwendung erforderlich.

  6. Wählen Sie im Bereich Security (Sicherheit) in Authentication and encryption (Authentifizierung und Verschlüsselung) die zu verwendende Option S3 Encryption (with EMRFS) (S3-Verschlüsselung (mit EMFRS)) aus.

    Anmerkung

    Serverseitige S3-Verschlüsselung mit KMS-Schlüsselverwaltung (SSE-KMS) steht für Amazon-EMR-Version 4.4 oder früher nicht zur Verfügung.

    • Wenn Sie eine Option wählen, die AWS -Schlüsselverwaltung verwendet, müssen Sie eine AWS -KMS-Schlüssel-ID auswählen. Weitere Informationen finden Sie unter AWS KMS keys für die EMRFS-Verschlüsselung verwenden.

    • Wenn Sie S3 client-side encryption with custom materials provider (Clientseitige S3-Verschlüsselung mit benutzerdefiniertem Materialanbieter) auswählen, müssen Sie einen Wert in Class name (Klassenname) und JAR location (JAR-Speicherort) angeben. Weitere Informationen finden Sie unter Clientseitige Verschlüsselung für Amazon S3.

  7. Wählen Sie weitere Optionen wie für Ihre Anwendung erforderlich aus. Wählen Sie anschließend Create Cluster (Cluster erstellen) aus.

AWS KMS keys für die EMRFS-Verschlüsselung verwenden

Der AWS KMS -Verschlüsselungsschlüssel muss in derselben Region erstellt werden wie Ihre Amazon-EMR-Cluster-Instance und die mit EMRFS verwendeten Amazon-S3-Buckets. Wenn sich der von Ihnen angegebene Schlüssel in einem anderen Konto befindet als dem, das Sie zur Konfiguration eines Clusters verwenden, müssen Sie den Schlüssel mit seinem ARN angeben.

Die Rolle für das EC2 Amazon-Instance-Profil muss über die Berechtigung zur Nutzung des von Ihnen angegebenen KMS-Schlüssels verfügen. Die Standardrolle für das Instance-Profil in Amazon EMR istEMR_EC2_DefaultRole. Wenn Sie eine andere Rolle für das Instance-Profil oder IAM-Rollen für EMRFS-Anfragen an Amazon S3 verwenden, stellen Sie sicher, dass jede Rolle je nach Bedarf als Schlüsselbenutzer hinzugefügt wird. So erhält die Rolle die Berechtigung, den KMS-Schlüssel zu verwenden. Weitere Informationen finden Sie unter Nutzung von Schlüsselrichtlinien im AWS Key Management Service -Entwicklerhandbuch und Konfigurieren von IAM-Rollen für EMRFS-Anfragen an Amazon S3.

Sie können mit der AWS Management Console Ihr Instance-Profil oder das EC2 Instance-Profil der Liste der Schlüsselbenutzer für den angegebenen -CMK hinzufügen. Alternativ können Sie oder ein KMS Schlüssel verwenden AWS , um eine entsprechende Schlüsselrichtlinie anzufügen. AWS CLI

Hinweis: Amazon EMR unterstützt nur symmetrische KMS-Schlüssel. Sie können keinen asymmetrischen KMS-Schlüssel verwenden, um Data-at-Rest in einem Amazon-EMR-Cluster zu verschlüsseln. Wie Sie feststellen, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, erfahren Sie unter Erkennen symmetrischer und asymmetrischer KMS-Schlüssel.

Im folgenden Verfahren wird beschrieben, wie Sie das Amazon-EMR-Instance-Profil mithilfe der EMR_EC2_DefaultRole als Schlüsselbenutzer mit AWS Management Console hinzufügen. Dabei wird davon ausgegangen, dass Sie bereits einen KMS-Schlüssel erstellt haben. Weitere Informationen über die Erstellung eines neuen KMS-Schlüsseln finden Sie unter Erstellen von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch.

So fügen Sie das EC2 Instance-Profil für Amazon EMR zur Liste der Verschlüsselungsschlüssel-Benutzer hinzu

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um die zu ändern AWS-Region, verwenden Sie die Regionenauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie den Alias des zu ändernden KMS-Schlüssels aus.

  4. Wählen Sie auf der Seite mit den Schlüsseldetails unter Key Users (Schlüsselbenutzer( die Option Add (Hinzufügen) aus.

  5. Wählen Sie die entsprechende Rolle im Dialogfeld Add key users (Schlüsselbenutzer hinzufügen) aus. Der Name der Standardrolle lautet EMR_EC2_DefaultRole.

  6. Wählen Sie Hinzufügen aus.

Serverseitige Verschlüsselung im Amazon S3

Wenn Sie die Amazon-S3-Verschlüsselung einrichten, verschlüsselt Amazon S3 die Daten auf der Objektebene, während die Daten auf den Datenträger geschrieben werden, und entschlüsselt sie, wenn auf sie zugegriffen wird. Weitere Informationen über SSE finden Sie unter Schutz von Daten durch serverseitige Verschlüsselung im Amazon Simple Storage Service User Guide.

Wenn Sie SSE in Amazon EMR einrichten, haben Sie die Wahl zwischen zwei verschiedenen Systemen für die Schlüsselverwaltung:

  • SSE-S3 – Hierbei verwaltet Amazon S3 die Aktivierungsschlüssel für Sie.

  • SSE-KMS — Sie verwenden eine AWS KMS key , um Richtlinien einzurichten, die für Amazon EMR geeignet sind. Weitere Informationen zu den wichtigsten Anforderungen für Amazon EMR finden Sie unter Verwenden von AWS KMS keys zur Verschlüsselung.

SSE mit vom Kunden bereitgestellten Schlüsseln (SSE-C) ist für Amazon EMR nicht verfügbar.

Um einen Cluster mit aktiviertem SSE-S3 zu erstellen, verwenden Sie AWS CLI

  • Geben Sie den folgenden Befehl ein:

    aws emr create-cluster --release-label emr-4.7.2 or earlier \
--instance-count 3 --instance-type m5.xlarge --emrfs Encryption=ServerSide

Sie können SSE-S3 auch aktivieren, indem Sie fs.s3 setzen. enableServerSideDie Eigenschaft Encryption ist in den Eigenschaften auf true gesetzt. emrfs-site Lesen Sie dazu das Beispiel für SSE-KMS unten, und lassen Sie die Eigenschaft für Key-ID weg.

Um einen Cluster mit aktiviertem SSE-KMS zu erstellen, verwenden Sie AWS CLI
Anmerkung

SSE-KMS steht nur in Amazon-EMR-Version 4.5.0 und höher zur Verfügung.

  • Geben Sie den folgenden AWS CLI Befehl ein, um einen Cluster mit SSE-KMS zu erstellen, wobei keyID es sich beispielsweise um einen handelt AWS KMS key: a4567b8-9900-12ab-1234-123a45678901

    aws emr create-cluster --release-label emr-4.7.2 or earlier --instance-count 3 \
--instance-type m5.xlarge --use-default-roles \
--emrfs Encryption=ServerSide,Args=[fs.s3.serverSideEncryption.kms.keyId=keyId]

    --ODER--

    Geben Sie den folgenden AWS CLI Befehl unter Verwendung der emrfs-site Klassifizierung ein und stellen Sie eine JSON-Konfigurationsdatei bereit, deren Inhalt dem folgenden Beispiel ähnelt: myConfig.json

    aws emr create-cluster --release-label emr-4.7.2 or earlier --instance-count 3 --instance-type m5.xlarge --applications Name=Hadoop --configurations file://myConfig.json --use-default-roles

    Beispielinhalt von myConfig.json:

    [
  {
    "Classification":"emrfs-site",
    "Properties": {
       "fs.s3.enableServerSideEncryption": "true",
       "fs.s3.serverSideEncryption.kms.keyId":"a4567b8-9900-12ab-1234-123a45678901"
    }
  }
]

Konfigurationseigenschaften für SSE-S3 und SSE-KMS

Diese Eigenschaften können unter Verwendung der emrfs-site- Konfigurationsklassifikation konfiguriert werden. SSE-KMS steht nur in Amazon-EMR-Version 4.5.0 und höher zur Verfügung.

Eigenschaft Standardwert Beschreibung
fs.s3.enableServerSideEncryption false

Wenn dies auf true festgelegt wurde, werden in Amazon S3 gespeicherte Objekte mittels serverseitiger Verschlüsselung verschlüsselt. Wenn kein Schlüssel ausgewählt wurde, wird SSE-S3 verwendet.
fs.s3.serverSideEncryption.kms.keyId n/a

Gibt eine AWS KMS Schlüssel-ID oder einen ARN an. Wenn ein Schlüssel ausgewählt wurde, wird SSE-KMS verwendet.