Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verschlüsseln von Daten im Ruhezustand
AWS Glue unterstützt Datenverschlüsselung im Ruhezustand für [Erstellen von Visual-ETL-Aufträgen](author-job-glue.md) und[Entwickeln von Skripts unter Verwendung von Entwicklungsendpunkten](dev-endpoint.md). Sie können ETL-Aufträge (Extrahieren, Transformieren und Laden) sowie Entwicklungsendpunkte konfigurieren, um [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/)-Schlüssel zum Schreiben verschlüsselter Daten im Ruhezustand zu verwenden. Sie können auch die Metadaten verschlüsseln, die in den [AWS Glue Data Catalog](components-overview.md#data-catalog-intro) von Ihnen verwalteten Schlüsseln gespeichert sind. AWS KMS Darüber hinaus können Sie AWS KMS Schlüssel verwenden, um Job-Lesezeichen und die von [Crawlern](https://docs.aws.amazon.com/glue/latest/dg/add-crawler.html) und ETL-Jobs generierten Logs zu verschlüsseln.
Sie können Metadatenobjekte AWS Glue Data Catalog in Ihrem zusätzlich zu den Daten verschlüsseln, die von Jobs, Crawlern und Entwicklungsendpunkten in Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs geschrieben wurden. Wenn Sie Aufträge, Crawler und Entwicklungsendpunkte in AWS Glue erstellen, können Sie Verschlüsselungseinstellungen bereitstellen, indem Sie eine Sicherheitskonfiguration anhängen. Sicherheitskonfigurationen enthalten von Amazon S3 verwaltete serverseitige Verschlüsselungsschlüssel (SSE-S3) oder Kunden-Masterschlüssel (), die in (SSE-KMSCMKs) gespeichert sind. AWS KMS Sie können Sicherheitskonfigurationen über die AWS Glue-Konsole erstellen.
Sie können die Verschlüsselung des gesamten Data Catalogs auch in Ihrem Konto aktivieren. Sie tun dies, indem Sie gespeichert in angeben. CMKs AWS KMS
**Wichtig**
AWS Glue unterstützt nur symmetrische kundenseitig verwaltete Schlüssel. Weitere Informationen finden Sie unter Vom [Kunden verwaltete Schlüssel (CMKs)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) im *AWS Key Management Service Entwicklerhandbuch*.
Wenn die Verschlüsselung eingeschaltet ist, werden SSE-S3- oder SSE-KMS-Schlüssel verwendet, um Daten im Ruhezustand zu schreiben, wenn Sie Data-Catalog-Objekte hinzufügen, Crawler ausführen, Aufträge ausführen oder Entwicklungsendpunkte starten. Darüber hinaus können Sie AWS Glue so konfigurieren, dass es nur über ein vertrauenswürdiges Transport Layer Security (TSL)-Protokoll auf Java Database Connectivity (JDBC)-Datenspeicher zugreift.
In AWS Glue steuern Sie die Verschlüsselungseinstellungen an den folgenden Stellen:
+ Die Einstellungen von Data Catalog
+ Die Sicherheitskonfigurationen, die Sie erstellen.
+ Die serverseitige Verschlüsselungseinstellung (SSE-S3 oder SSE-KMS), die als Parameter an Ihren AWS Glue-ETL-Auftrag (Extrahieren, Transformieren und Laden) übergeben wird.
Weitere Informationen zum Einrichten Ihrer Verschlüsselung finden Sie unter [Einrichten der Verschlüsselung in AWS Glue](set-up-encryption.md).
**Topics**
+ [Verschlüsseln Ihres Data Catalog](encrypt-glue-data-catalog.md)
+ [Verschlüsselung von Verbindungspasswörtern](encrypt-connection-passwords.md)
+ [Verschlüsselung von Daten, die geschrieben wurden von AWS Glue](encryption-security-configuration.md)
# Verschlüsseln Ihres Data Catalog
AWS Glue Data Catalog Die Verschlüsselung bietet mehr Sicherheit für Ihre sensiblen Daten. AWS Glue integriert sich in AWS Key Management Service (AWS KMS), um Metadaten zu verschlüsseln, die im Datenkatalog gespeichert sind. Sie können die Verschlüsselungseinstellungen für Ressourcen im Datenkatalog mithilfe der AWS Glue Konsole oder der AWS CLI aktivieren oder deaktivieren.
Wenn Sie die Verschlüsselung für Ihren Datenkatalog aktivieren, werden alle neuen Objekte, die Sie erstellen, verschlüsselt. Wenn Sie die Verschlüsselung deaktivieren, werden die neu erstellten Objekte nicht verschlüsselt, aber vorhandene verschlüsselte Objekte bleiben verschlüsselt.
Sie können Ihren gesamten Datenkatalog mit AWS verwalteten oder vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln. Weitere Informationen zu Schlüsseltypen und Status finden Sie unter [AWS Key Management Service Konzepte](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html#key-state-cmk-type) im AWS Key Management Service Entwicklerhandbuch.
**Anmerkung**
Wenn Sie den verschlüsselten Datenkatalog mit einem Crawler verwenden, müssen Sie die Verschlüsselungseinstellungen beibehalten. Das Entfernen von Verschlüsselungseinstellungen, nachdem ein Crawler einen verschlüsselten Katalog verarbeitet hat, löst Fehler aus. Wenn Sie Verschlüsselungseinstellungen entfernen müssen, erstellen Sie einen neuen Crawler, anstatt den vorhandenen Crawler zu ändern.
## AWS verwaltete Schlüssel
AWS Verwaltete Schlüssel sind KMS-Schlüssel in Ihrem Konto, die in Ihrem Namen von einem integrierten AWS Dienst erstellt, verwaltet und verwendet werden. AWS KMS Sie können die AWS verwalteten Schlüssel in Ihrem Konto einsehen, ihre wichtigsten Richtlinien einsehen und ihre Verwendung in AWS CloudTrail Protokollen überprüfen. Sie haben jedoch nicht die Möglichkeit, diese Schlüssel zu verwalten oder ihre Berechtigungen zu ändern.
Encryption at Rest wird automatisch in AWS KMS die Verwaltung der AWS verwalteten Schlüssel integriert AWS Glue , die zur Verschlüsselung Ihrer Metadaten verwendet werden. Wenn bei der Aktivierung der Metadatenverschlüsselung kein AWS verwalteter Schlüssel vorhanden ist, AWS KMS wird automatisch ein neuer Schlüssel für Sie erstellt.
Weitere Informationen finden Sie unter [Von AWS verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk).
## Kundenseitig verwaltete Schlüssel
Kundenverwaltete Schlüssel sind KMS-Schlüssel in Ihrem AWS-Konto System, die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel. Sie können:
+ Sie können ihre wichtigsten Richtlinien, IAM-Richtlinien und Erteilungen einrichten und pflegen
+ Sie können diese aktivieren und deaktivieren
+ Sie können ihr kryptographisches Material rotieren
+ Tags hinzufügen
+ Sie können Aliase erstellen, die auf sie verweisen
+ Sie können sie zum Löschen einplanen
Weitere Informationen zum Verwalten von Berechtigungen eines kundenseitig verwalteten Schlüssels finden Sie unter [Kundenseitig verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
**Wichtig**
AWS Glue unterstützt nur symmetrische, vom Kunden verwaltete Schlüssel. In der Liste der KMS-Schlüssel werden nur symmetrische Schlüssel angezeigt. Wenn Sie jedoch auf **Einen KMS-Schlüssel-ARN auswählen** klicken, können Sie in der Konsole einen ARN für jeden Schlüsseltyp eingeben. Stellen Sie sicher, dass Sie nur ARNs für symmetrische Schlüssel eingeben.
Folgen Sie dazu den Schritten zum [Erstellen eines symmetrischen kundenverwalteten Schlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) im Entwicklerhandbuch zum AWS Key Management Service .
Wenn Sie die Data-Catalog-Verschlüsselung im Ruhezustand aktivieren, werden folgende Ressourcentypen mit KMS-Schlüsseln verschlüsselt:
+ Datenbanken
+ Tabellen
+ Partitionen
+ Tabellenversionen
+ Spaltenstatistiken
+ Benutzerdefinierte Funktionen
+ Data-Catalog-Ansichten
## AWS Glue Verschlüsselungskontext
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) ist ein optionaler Satz von Schlüssel-Wert-Paaren, der zusätzliche Kontextinformationen zu den Daten enthalten kann. AWS KMS verwendet den Verschlüsselungskontext als [Additional Authenticated Data](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad) (AAD) zur Unterstützung der [authentifizierten Verschlüsselung](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#define-authenticated-encryption). Wenn Sie einen Verschlüsselungskontext in eine Anforderung zum Verschlüsseln von Daten einbeziehen, wird der Verschlüsselungskontext an die verschlüsselten Daten AWS KMS gebunden. Um Daten zu entschlüsseln, fügen Sie denselben Verschlüsselungskontext in die Anforderung ein. AWS Glue verwendet bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel `glue_catalog_id` und der Wert der ist. `catalogId`
```
"encryptionContext": {
"glue_catalog_id": "111122223333"
}
```
Wenn Sie einen AWS verwalteten Schlüssel oder einen symmetrischen, vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihres Datenkatalogs verwenden, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um festzustellen, wie der Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von AWS CloudTrail oder Amazon CloudWatch Logs generiert werden.
## Aktivieren der Verschlüsselung
Sie können die Verschlüsselung für Ihre AWS Glue Data Catalog Objekte in den **Datenkatalogeinstellungen** der AWS Glue Konsole oder mithilfe von aktivieren AWS CLI.
------
#### [ Console ]
**So aktivieren Sie die Verschlüsselung über die Konsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Glue Konsole unter [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).
1. Wählen Sie im Navigationsbereich die Option **Datenkatalog**.
1. Aktivieren Sie auf der Seite mit den **Einstellungen für den Datenkatalog** das Kontrollkästchen **Metadatenverschlüsselung** und wählen Sie einen AWS KMS Schlüssel aus.
Wenn Sie die Verschlüsselung aktivieren und keinen vom Kunden verwalteten Schlüssel angeben, verwenden die Verschlüsselungseinstellungen einen AWS verwalteten KMS-Schlüssel.
1. (Optional) Wenn Sie einen vom Kunden verwalteten Schlüssel zum Verschlüsseln Ihres Datenkatalogs verwenden, haben Sie im Datenkatalog die Möglichkeit, eine IAM-Rolle zum Verschlüsseln und Entschlüsseln von Ressourcen zu registrieren. Sie müssen Ihrer IAM-Rolle Berechtigungen erteilen, die AWS Glue Sie in Ihrem Namen übernehmen können. Dazu gehören AWS KMS Berechtigungen zum Verschlüsseln und Entschlüsseln von Daten.
Wenn Sie eine neue Ressource im Datenkatalog erstellen, AWS Glue übernimmt sie die IAM-Rolle, die für die Verschlüsselung der Daten vorgesehen ist. Ähnlich verhält es sich, wenn ein Verbraucher auf die Ressource zugreift, AWS Glue übernimmt er die IAM-Rolle zur Entschlüsselung von Daten. Wenn Sie eine IAM-Rolle mit den notwendigen Berechtigungen registrieren, benötigt der aufrufende Principal keine Berechtigungen mehr, um auf den Schlüssel zuzugreifen und die Daten zu entschlüsseln.
**Wichtig**
Sie können KMS-Operationen nur dann an eine IAM-Rolle delegieren, wenn Sie einen kundenverwalteten Schlüssel für die Verschlüsselung der Data-Catalog-Ressourcen verwenden. Die KMS-Rollendelegierungsfunktion unterstützt derzeit nicht die Verwendung von AWS -verwalteten Schlüsseln zum Verschlüsseln von Data-Catalog-Ressourcen.
**Warnung**
Wenn Sie eine IAM-Rolle für die Delegierung von KMS-Vorgängen aktivieren, können Sie nicht mehr auf die Datenkatalogressourcen zugreifen, die zuvor mit einem verwalteten Schlüssel verschlüsselt wurden. AWS
1. Um eine IAM-Rolle zu aktivieren, die davon ausgehen AWS Glue kann, Daten in Ihrem Namen zu ver- und entschlüsseln, wählen Sie die Option **KMS-Operationen an eine IAM-Rolle delegieren**.
1. Wählen Sie als Nächstes eine IAM-Rolle aus.
Eine Anleitung zum Erstellen einer IAM;-Rolle finden Sie unter [Erstellen von IAM-Rollen für AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/create-an-iam-role.html).
Die IAM-Rolle, die den Zugriff auf den Datenkatalog AWS Glue voraussetzt, muss über die Berechtigungen zum Verschlüsseln und Entschlüsseln von Metadaten im Datenkatalog verfügen. Sie können eine IAM-Rolle erstellen und die folgenden Inline-Richtlinien anfügen:
+ Fügen Sie die folgende Richtlinie hinzu, um AWS KMS Berechtigungen zum Verschlüsseln und Entschlüsseln des Datenkatalogs einzubeziehen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/"
}
]
}
```
------
+ Fügen Sie als Nächstes die folgende Vertrauensrichtlinie zur Rolle hinzu, damit der AWS Glue Dienst die IAM-Rolle übernimmt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
+ Fügen Sie als Nächstes die `iam:PassRole`-Berechtigung zur IAM-Rolle hinzu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/"
]
}
]
}
```
------
Wenn Sie die Verschlüsselung aktivieren und keine IAM-Rolle für die Übernahme angegeben haben, muss der Principal, der AWS Glue auf den Datenkatalog zugreift, über die erforderlichen Berechtigungen verfügen, um die folgenden API-Operationen auszuführen:
+ `kms:Decrypt`
+ `kms:Encrypt`
+ `kms:GenerateDataKey`
------
#### [ AWS CLI ]
**Um die Verschlüsselung mit dem SDK zu aktivieren oder AWS CLI**
+ Verwenden Sie die API-Operation `PutDataCatalogEncryptionSettings`. Wenn kein Schlüssel angegeben ist, wird der AWS verwaltete Verschlüsselungsschlüssel für das Kundenkonto AWS Glue verwendet, um den Datenkatalog zu verschlüsseln.
```
aws glue put-data-catalog-encryption-settings \
--data-catalog-encryption-settings '{
"EncryptionAtRest": {
"CatalogEncryptionMode": "SSE-KMS-WITH-SERVICE-ROLE",
"SseAwsKmsKeyId": "arn:aws:kms:::key/",
"CatalogEncryptionServiceRole":"arn:aws:iam:::role/"
}
}'
```
------
Wenn Sie die Verschlüsselung aktivieren, werden alle Objekte, die Sie in den Data-Catalog-Objekten erstellen, verschlüsselt. Wenn Sie diese Einstellung deaktivieren, werden die Objekte, die Sie im Data Katalog erstellen, nicht mehr verschlüsselt. Sie können weiterhin mit den erforderlichen KMS-Berechtigungen auf die vorhandenen verschlüsselten Objekte im Datenkatalog zugreifen.
| |
| --- |
| Der AWS KMS Schlüssel muss im AWS KMS Schlüsselspeicher für alle damit verschlüsselten Objekte im Datenkatalog verfügbar bleiben. Wenn Sie den Schlüssel entfernen, können die Objekte nicht mehr entschlüsselt werden. In einigen Szenarien kann dies sinnvoll sein, um den Zugriff auf Metadaten des Data Catalog zu verhindern. |
## Überwachen Sie Ihre KMS-Schlüssel für AWS Glue
Wenn Sie KMS-Schlüssel mit Ihren Datenkatalogressourcen verwenden, können Sie AWS CloudTrail oder Amazon CloudWatch Logs verwenden, um Anfragen zu verfolgen, die AWS Glue an gesendet AWS KMS werden. AWS CloudTrail überwacht und zeichnet KMS-Vorgänge auf, AWS Glue die auf Daten zugreifen, die mit Ihren KMS-Schlüsseln verschlüsselt sind.
Die folgenden Beispiele sind AWS CloudTrail Ereignisse für die `GenerateDataKey` Operationen `Decrypt` und.
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAXPHTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAXPHTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-01-10T14:33:56Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "glue.amazonaws.com"
},
"eventTime": "2024-01-10T15:18:11Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "eu-west-2",
"sourceIPAddress": "glue.amazonaws.com",
"userAgent": "glue.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"glue_catalog_id": "111122223333"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "43b019aa-34b8-4798-9b98-ee968b2d63df",
"eventID": "d7614763-d3fe-4f84-a1e1-3ca4d2a5bbd5",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms::111122223333:key/"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
#### [ GenerateDataKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAXPHTESTANDEXAMPLE:V_00_GLUE_KMS_GENERATE_DATA_KEY_111122223333",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/V_00_GLUE_KMS_GENERATE_DATA_KEY_111122223333",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAXPHTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-01-05T21:15:47Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "glue.amazonaws.com"
},
"eventTime": "2024-01-05T21:15:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "eu-west-2",
"sourceIPAddress": "glue.amazonaws.com",
"userAgent": "glue.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:eu-west-2:AKIAIOSFODNN7EXAMPLE:key/AKIAIOSFODNN7EXAMPLE",
"encryptionContext": {
"glue_catalog_id": "111122223333"
},
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "64d1783a-4b62-44ba-b0ab-388b50188070",
"eventID": "1c73689b-2ef2-443b-aed7-8c126585ca5e",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-2:111122223333:key/AKIAIOSFODNN7EXAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
```
```
# Verschlüsselung von Verbindungspasswörtern
Sie können Verbindungskennwörter in der abrufen, AWS Glue Data Catalog indem Sie die `GetConnections` API-Operationen `GetConnection` und verwenden. Diese Passwörter werden in der Data-Catalog-Verbindung gespeichert und verwendet, wenn AWS Glue eine Verbindung mit einem Java Database Connectivity (JDBC)-Datenspeicher herstellt. Beim Erstellen oder Aktualisieren der Verbindung wurde durch eine Option in den Datenkatalogeinstellungen festgelegt, ob das Passwort verschlüsselt war, und falls ja, welcher Schlüssel AWS Key Management Service (AWS KMS) angegeben wurde.
In der AWS Glue-Konsole können Sie diese Option auf der Seite **Data catalog settings (Data-Catalog-Einstellungen)** aktivieren.
**Verschlüsseln von Verbindungspasswörtern**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Glue Konsole unter [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).
1. Wählen Sie im Navigationsbereich **Settings (Einstellungen)** aus.
1. Aktivieren Sie auf der Seite **Data catalog settings (Data Catalog-Einstellungen)** **Encrypt connection passwords (Verbindungspasswörter verschlüsseln)** und wählen Sie einen AWS KMS -Schlüssel.
**Wichtig**
AWS Glueunterstützt nur symmetrische Kunden-Masterschlüssel (CMKs). In der Liste der **AWS KMS -Schlüssel** werden nur symmetrische Schlüssel angezeigt. Wenn Sie jedoch „** AWS KMS Schlüssel-ARN auswählen“ auswählen**, können Sie in der Konsole einen ARN für einen beliebigen Schlüsseltyp eingeben. Stellen Sie sicher, dass Sie nur ARNs für symmetrische Schlüssel eingeben.
Weitere Informationen finden Sie unter [Einstellungen des Datenkatalogs](console-data-catalog-settings.md).
# Verschlüsselung von Daten, die geschrieben wurden von AWS Glue
Eine *Sicherheitskonfiguration* ist eine Reihe von Sicherheitseigenschaften, die von AWS Glue verwendet werden können. Sie können eine Sicherheitskonfiguration verwenden, um Daten im Ruhezustand zu verschlüsseln. Die folgenden Szenarien zeigen einige der Möglichkeiten, wie Sie eine Sicherheitskonfiguration verwenden können.
+ Hängen Sie eine Sicherheitskonfiguration an einen AWS Glue Crawler an, um verschlüsselte CloudWatch Amazon-Logs zu schreiben. Weitere Informationen zum Anfügen von Sicherheitskonfigurationen an Crawler finden Sie unter [Schritt 3: Konfigurieren der Sicherheitseinstellungen](define-crawler-configure-security-settings.md).
+ Hängen Sie eine Sicherheitskonfiguration an einen ETL-Job (Extrahieren, Transformieren und Laden) an, um verschlüsselte Amazon Simple Storage Service (Amazon S3) -Ziele und verschlüsselte CloudWatch Protokolle zu schreiben.
+ Fügen Sie eine Sicherheitskonfiguration an einen ETL-Auftrag an, um seine Auftragslesezeichen als verschlüsselte Amazon-S3-Daten zu schreiben.
+ Fügen Sie eine Sicherheitskonfiguration an einen Entwicklungsendpunkt an, um verschlüsselte Amazon-S3-Ziele zu schreiben.
**Wichtig**
Derzeit überschreibt eine Sicherheitskonfiguration jede serverseitige Verschlüsselungseinstellung (SSE-S3), die als ETL-Auftragsparameter übergeben wird. Wenn also sowohl eine Sicherheitskonfiguration als auch ein SSE-S3-Parameter einem Auftrag zugeordnet sind, wird der SSE-S3-Parameter ignoriert.
Weitere Informationen zu den Sicherheitskonfigurationen finden Sie unter [Verwalten von Sicherheitskonfigurationen in der AWS Glue-Konsole](console-security-configurations.md).
**Topics**
+ [Einrichten von AWS Glue zur Verwendung der Sicherheitskonfigurationen](#encryption-setup-Glue)
+ [Eine Route AWS KMS für VPC-Jobs und Crawler erstellen](#encryption-kms-vpc-endpoint)
+ [Verwalten von Sicherheitskonfigurationen in der AWS Glue-Konsole](console-security-configurations.md)
## Einrichten von AWS Glue zur Verwendung der Sicherheitskonfigurationen
Führen Sie diese Schritte aus, um Ihre AWS Glue-Umgebung für die Verwendung von Sicherheitskonfigurationen einzurichten.
1. Erstellen oder aktualisieren Sie Ihre AWS Key Management Service (AWS KMS) -Schlüssel, um den IAM-Rollen AWS KMS Berechtigungen zu gewähren, die an AWS Glue Crawler und Jobs zur Verschlüsselung CloudWatch von Protokollen weitergegeben werden. Weitere Informationen finden Sie unter [Verschlüsseln von Protokolldaten in CloudWatch Logs Using AWS KMS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
Im folgenden Beispiel *"role3"* sind*"role1"*, und IAM-Rollen*"role2"*, die an Crawler und Jobs übergeben werden.
```
{
"Effect": "Allow",
"Principal": { "Service": "logs.region.amazonaws.com",
"AWS": [
"role1",
"role2",
"role3"
] },
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*"
}
```
Die `Service` Anweisung, dargestellt als, ist erforderlich`"Service": "logs.region.amazonaws.com"`, wenn Sie den Schlüssel zum Verschlüsseln CloudWatch von Protokollen verwenden.
1. Stellen Sie sicher, dass der AWS KMS Schlüssel vorhanden ist, `ENABLED` bevor er verwendet wird.
**Anmerkung**
Wenn Sie Iceberg als Ihr Data Lake Framework verwenden, verfügen die Iceberg-Tabellen über eigene Verfahren, die serverseitige Verschlüsselung ermöglichen. Sie sollten diese Konfiguration zusätzlich zu den AWS Glue Sicherheitskonfigurationen aktivieren. Um die serverseitige Verschlüsselung für Iceberg-Tabellen zu aktivieren, lesen Sie die Anleitung in der [Iceberg-Dokumentation](https://iceberg.apache.org/docs/latest/aws/#s3-server-side-encryption).
## Eine Route AWS KMS für VPC-Jobs und Crawler erstellen
Sie können sich direkt mit AWS KMS über einen privaten Endpunkt in Ihrer Virtual Private Cloud (VPC) verbinden, anstatt sich über das Internet zu verbinden. Wenn Sie einen VPC-Endpunkt verwenden, AWS KMS erfolgt die Kommunikation zwischen Ihrer VPC und dem vollständig innerhalb des AWS Netzwerks.
Sie können einen AWS KMS VPC-Endpunkt innerhalb einer VPC erstellen. Ohne diesen Schritt können Ihre Aufträge oder Crawler mit einem `kms timeout` auf Aufträgen oder `internal service exception` auf Crawlern fehlschlagen. Ausführliche Anweisungen finden Sie unter [Herstellen einer AWS KMS Verbindung zu einem VPC-Endpunkt](https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html) im *AWS Key Management Service Entwicklerhandbuch*.
Wenn Sie diese Anweisungen befolgen, müssen Sie auf der [VPC-Konsole](https://console.aws.amazon.com//vpc) Folgendes tun:
+ Wählen Sie **Enable Private DNS name (Privaten DNS-Namen aktivieren)** aus.
+ Wählen Sie die **Security group (Sicherheitsgruppe)** (mit selbstreferenzierender Regel), die Sie für Ihren Auftrag oder Crawler verwenden, der auf die Java Database Connectivity (JDBC) zugreift. Weitere Informationen zu AWS Glue-Verbindungen finden Sie unter [Herstellen einer Verbindung zu Daten](glue-connections.md).
Wenn Sie einem Crawler oder Job, der auf JDBC-Datenspeicher zugreift, eine Sicherheitskonfiguration hinzufügen, AWS Glue muss eine Route zum Endpunkt vorhanden sein. AWS KMS Sie können die Route mit einem NAT-Gateway (Network Address Translation) oder mit einem AWS KMS VPC-Endpunkt bereitstellen. Informationen zum Erstellen eines NAT-Gateways finden Sie unter [NAT-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) im *Amazon-VPC-Benutzerhandbuch*.
# Verwalten von Sicherheitskonfigurationen in der AWS Glue-Konsole
**Warnung**
AWS Glue Sicherheitskonfigurationen werden derzeit in Ray-Jobs nicht unterstützt.
Eine *Sicherheitskonfiguration* in AWS Glue enthält die Eigenschaften, die erforderlich sind, wenn Sie verschlüsselte Daten schreiben. Sie erstellen Sicherheitskonfigurationen auf der AWS Glue-Konsole, um die Verschlüsselungseigenschaften bereitzustellen, die von Crawlern, Aufträgen und Entwicklungsendpunkten verwendet werden.
Zum Anzeigen einer Liste aller Sicherheitskonfigurationen, die Sie erstellt haben, öffnen Sie die AWS Glue-Konsole über [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/) und wählen Sie im Navigationsbereich **Security configurations (Sicherheitskonfigurationen)** aus.
Die Liste der **Sicherheitskonfigurationen** zeigt die folgenden Eigenschaften für jede Konfiguration an:
**Name**
Der eindeutige Name, den Sie bei der Erstellung der Konfiguration angegeben haben. Der Name darf Buchstaben (A–Z), Zahlen (0–9), Bindestriche (-) oder Unterstriche (\$1) enthalten und bis zu 255 Zeichen lang sein.
**Amazon-S3-Verschlüsselung aktivieren**
Wenn diese Option aktiviert ist, wird der Amazon Simple Storage Service (Amazon S3)-Verschlüsselungsmodus wie zum Beispiel `SSE-KMS` oder `SSE-S3` für Metadatenspeicherung im Datenkatalog verwendet.
**Verschlüsselung von CloudWatch Amazon-Protokollen aktivieren**
Wenn aktiviert, wird der Amazon S3 S3-Verschlüsselungsmodus `SSE-KMS` aktiviert, z. B. beim Schreiben von Protokollen an Amazon CloudWatch.
**Erweiterte Einstellungen: Verschlüsselung von Auftrags-Lesezeichen aktivieren**
Wenn diese Option aktiviert ist, wird der Amazon S3-Verschlüsselungsmodus (z. B. `CSE-KMS`) aktiviert, wenn Aufträge mit Lesezeichen versehen werden.
Sie können Konfigurationen im Abschnitt **Security configurations (Sicherheitskonfigurationen)** auf der Konsole hinzufügen oder löschen. Um weitere Details über eine Konfiguration zu sehen, wählen Sie den Namen der Konfiguration in der Liste aus. Zu den Details gehören die Informationen, die Sie beim Erstellen der Konfiguration definiert haben.
## Hinzufügen einer Sicherheitskonfiguration
Um eine Sicherheitskonfiguration mithilfe der AWS Glue-Konsole hinzuzufügen, wählen Sie auf der Seite **Security configurations (Sicherheitskonfigurationen)** **Add security configuration (Sicherheitskonfigurationen hinzufügen)**.
![\[Der Screenshot zeigt die Seite „Hinzufügen von Sicherheitskonfiguration“\]](http://docs.aws.amazon.com/de_de/glue/latest/dg/images/add_security_configuration.png)
**Eigenschaften der Sicherheitskonfiguration**
Geben Sie einen eindeutigen Namen für die Sicherheitskonfiguration ein. Der Name darf Buchstaben (A–Z), Zahlen (0–9), Bindestriche (-) oder Unterstriche (\$1) enthalten und bis zu 255 Zeichen lang sein.
**Verschlüsselungseinstellungen**
Sie können die Verschlüsselung im Ruhezustand für Metadaten aktivieren, die im Datenkatalog in Amazon S3 und in Protokollen in Amazon CloudWatch gespeichert sind. Um die Verschlüsselung von Daten und Metadaten mit AWS Key Management Service (AWS KMS) -Schlüsseln auf der AWS Glue Konsole einzurichten, fügen Sie dem Konsolenbenutzer eine Richtlinie hinzu. In dieser Richtlinie müssen die zulässigen Ressourcen als wichtige Amazon-Ressourcennamen (ARNs) angegeben werden, die zum Verschlüsseln von Amazon S3-Datenspeichern verwendet werden, wie im folgenden Beispiel.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:Encrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id"
}
}
```
------
**Wichtig**
Wenn eine Sicherheitskonfiguration an einen Crawler oder Job angehängt wird, muss die übergebene IAM-Rolle über Berechtigungen verfügen. AWS KMS Weitere Informationen finden Sie unter [Verschlüsselung von Daten, die geschrieben wurden von AWS Glue](encryption-security-configuration.md).
Wenn Sie eine Konfiguration definieren, können Sie Werte für die folgenden Eigenschaften angeben:
**S3-Verschlüsselung aktivieren**
Wenn Sie Amazon S3 S3-Daten schreiben, verwenden Sie entweder serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) oder serverseitige Verschlüsselung mit AWS KMS verwalteten Schlüsseln (SSE-KMS). Dies ist ein optionales Feld. Um den Zugriff auf Amazon S3 zu ermöglichen, wählen Sie einen AWS KMS Schlüssel aus, oder wählen **Sie Enter a key ARN** und geben Sie den ARN für den Schlüssel ein. Geben Sie den ARN in der Form `arn:aws:kms:region:account-id:key/key-id` ein. Sie können den ARN auch in Form eines Schlüssel-Alias bereitstellen, wie z. B. `arn:aws:kms:region:account-id:alias/alias-name`.
Wenn Sie die Spark-Benutzeroberfläche für Ihren Auftrag aktivieren, wird die auf Amazon S3 hochgeladene Spark-Benutzeroberflächen-Protokolldatei mit derselben Verschlüsselung angewendet.
AWS Glueunterstützt nur symmetrische Kunden-Masterschlüssel (CMKs). In der Liste der **AWS KMS -Schlüssel** werden nur symmetrische Schlüssel angezeigt. Wenn Sie jedoch „** AWS KMS Schlüssel-ARN auswählen“ auswählen**, können Sie in der Konsole einen ARN für einen beliebigen Schlüsseltyp eingeben. Stellen Sie sicher, dass Sie nur ARNs für symmetrische Schlüssel eingeben.
**Aktivieren Sie die CloudWatch Protokollverschlüsselung**
Die serverseitige Verschlüsselung (SSE-KMS) wird zur Verschlüsselung von Protokollen verwendet. CloudWatch Dies ist ein optionales Feld. Um ihn zu aktivieren, wählen Sie einen AWS KMS Schlüssel aus, oder wählen Sie **Einen Schlüssel-ARN eingeben** und geben Sie den ARN für den Schlüssel ein. Geben Sie den ARN in der Form `arn:aws:kms:region:account-id:key/key-id` ein. Sie können den ARN auch in Form eines Schlüssel-Alias bereitstellen, wie z. B. `arn:aws:kms:region:account-id:alias/alias-name`.
**Erweiterte Einstellungen: Verschlüsselung von Auftrags-Lesezeichen**
Es wird eine Client-seitige Verschlüsselung (CSE-KMS) verwendet, um Auftrags-Lesezeichen zu verschlüsseln. Dies ist ein optionales Feld. Die Lesezeichendaten werden verschlüsselt, bevor sie zur Speicherung an Amazon S3 gesendet werden. Um ihn zu aktivieren, wählen Sie einen AWS KMS Schlüssel aus, oder wählen Sie **Einen Schlüssel-ARN eingeben** und geben Sie den ARN für den Schlüssel ein. Geben Sie den ARN in der Form `arn:aws:kms:region:account-id:key/key-id` ein. Sie können den ARN auch in Form eines Schlüssel-Alias bereitstellen, wie z. B. `arn:aws:kms:region:account-id:alias/alias-name`.
Weitere Informationen finden Sie in den folgenden Themen im *Benutzerhandbuch zum Amazon Simple Storage Service*:
+ Weitere Informationen über `SSE-S3` finden Sie unter [Protecting Data Using Server-Side Encryption with Amazon S3-Managed Encryption Keys (SSE-S3) (Schutz von Daten durch serverseitige Verschlüsselung mit Amazon S3-Managed Encryption Keys (SSE-S3))](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
+ Weitere Informationen dazu `SSE-KMS` finden Sie unter [Schützen von Daten mithilfe serverseitiger Verschlüsselung mit AWS KMS keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
+ Informationen zu `CSE-KMS` finden Sie unter [Verwenden eines in AWS KMS gespeicherten KMS-Schlüssels](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-kms-managed-master-key-intro).