Verschlüsseln von Daten im Ruhezustand - AWS Glue

Verschlüsseln von Daten im Ruhezustand

AWS Glue unterstützt die Verschlüsselung von Daten im Ruhezustand für Erstellen von Visual-ETL-Aufträgenund Entwickeln von Skripts unter Verwendung von Entwicklungsendpunkten Sie können ETL-Aufträge (Extrahieren, Transformieren und Laden) sowie Entwicklungsendpunkte konfigurieren, um AWS Key Management Service (AWS KMS)-Schlüssel zum Schreiben verschlüsselter Daten im Ruhezustand zu verwenden. Sie können auch die im AWS Glue Data Catalog gespeicherten Metadaten mithilfe von Schlüsseln, die Sie mit AWS KMS verwalten, verschlüsseln. Darüber hinaus können Sie AWS KMS-Schlüssel zur Verschlüsselung von Auftragslesezeichen und den Protokollen nutzen, die von Crawlern und ETL-Aufträgen generiert werden.

Sie können Metadatenobjekte in Ihrem AWS Glue Data Catalog zusätzlich zu den Daten verschlüsseln, die von Aufträgen, Crawlern und Entwicklungsendpunkten in Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs geschrieben werden. Wenn Sie Aufträge, Crawler und Entwicklungsendpunkte in AWS Glue erstellen, können Sie Verschlüsselungseinstellungen bereitstellen, indem Sie eine Sicherheitskonfiguration anhängen. Sicherheitskonfigurationen enthalten Amazon-S3-verwaltete serverseitige Verschlüsselungsschlüssel (SSE-S3) oder Kundenmasterschlüssel (CMKs), die in AWS KMS (SSE-KMS) gespeichert sind. Sie können Sicherheitskonfigurationen über die AWS Glue-Konsole erstellen.

Sie können die Verschlüsselung des gesamten Data Catalogs auch in Ihrem Konto aktivieren. Sie tun dies, indem Sie CMKs angeben, die in AWS KMS gespeichert sind.

Wichtig

AWS Glue unterstützt nur symmetrische kundenseitig verwaltete Schlüssel. Weitere Informationen finden Sie unter Kundenseitig verwaltete Schlüssel (CMK) im AWS Key Management Service-Entwicklerhandbuch.

Wenn die Verschlüsselung eingeschaltet ist, werden SSE-S3- oder SSE-KMS-Schlüssel verwendet, um Daten im Ruhezustand zu schreiben, wenn Sie Data-Catalog-Objekte hinzufügen, Crawler ausführen, Aufträge ausführen oder Entwicklungsendpunkte starten. Darüber hinaus können Sie AWS Glue so konfigurieren, dass es nur über ein vertrauenswürdiges Transport Layer Security (TSL)-Protokoll auf Java Database Connectivity (JDBC)-Datenspeicher zugreift.

In AWS Glue steuern Sie die Verschlüsselungseinstellungen an den folgenden Stellen:

  • Die Einstellungen von Data Catalog

  • Die Sicherheitskonfigurationen, die Sie erstellen.

  • Die serverseitige Verschlüsselungseinstellung (SSE-S3 oder SSE-KMS), die als Parameter an Ihren AWS Glue-ETL-Auftrag (Extrahieren, Transformieren und Laden) übergeben wird.

Weitere Informationen zum Einrichten Ihrer Verschlüsselung finden Sie unter Einrichten der Verschlüsselung in AWS Glue.

Themen