View a markdown version of this page

Cifrar los datos escritos por Jobs DataBrew - AWS Glue DataBrew Guía para desarrolladores

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrar los datos escritos por Jobs DataBrew

DataBrew los trabajos pueden escribir en destinos cifrados de Amazon S3 y en Amazon CloudWatch Logs cifrados.

¿Está configurando DataBrew el uso del cifrado?

Siga este procedimiento para configurar su DataBrew entorno para que utilice el cifrado.

Para configurar su DataBrew entorno para que utilice el cifrado
  1. Cree o actualice sus claves de AWS KMS para conceder AWS KMS permisos a las funciones AWS Identity and Access Management(de IAM) que se transfieren a los DataBrew trabajos. Estas funciones de IAM se utilizan para cifrar los CloudWatch registros y los objetivos de Amazon S3. Para obtener más información, consulte Cifrar datos de registro en CloudWatch registros mediante AWS KMS la Guía del usuario de Amazon CloudWatch Logs.

    En el siguiente ejemplo, "role1""role2", y "role3" son funciones de IAM que se transfieren a DataBrew los trabajos. Esta declaración de política describe una política de claves de KMS que permite a las funciones de IAM enumeradas cifrar y descifrar con esta clave de KMS.

    { "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

    La Service declaración, que se muestra como"Service": "logs.region.amazonaws.com", es obligatoria si se utiliza la clave para cifrar los registros. CloudWatch

  2. Asegúrese de que la AWS KMS clave esté configurada en ENABLED antes de usarla.

Para obtener más información sobre cómo especificar los permisos mediante políticas AWS KMS clave, consulte Uso de políticas clave en AWS KMS.

Crear una ruta a AWS KMS para trabajos de VPC

Puede conectarse directamente a AWS KMS a través de un punto de enlace privado en su nube virtual privada (VPC) en lugar de conectarse a través de Internet. Cuando utiliza un punto final de VPC, la comunicación entre su VPC y la VPC AWS KMS se lleva a cabo íntegramente dentro de la red.AWS

Puede crear un punto final de AWS KMS VPC dentro de una VPC. Sin este paso, sus DataBrew trabajos podrían fallar con un. kms timeout Para obtener instrucciones detalladas, consulte Conexión a AWS KMS través de un punto final de VPC en la Guía para AWS Key Management Service desarrolladores.

Siguiendo estas instrucciones, en la consola de VPC, asegúrese de hacer lo siguiente:

  • Selecciona Habilitar nombre DNS privado.

  • En Grupo de seguridad, elija el grupo de seguridad (incluida una regla de autorreferencia) que utilizará para su DataBrew trabajo de acceso a la conectividad de bases de datos de Java (JDBC).

Cuando ejecute un DataBrew trabajo que acceda a los almacenes de datos de JDBC, DataBrew debe tener una ruta al punto final.AWS KMS Puede proporcionar a la ruta una puerta de enlace de traducción de direcciones de red (NAT) o un punto final de AWS KMS VPC. Para crear una gateway NAT, consulte Gateways NAT en la Guía del usuario de Amazon VPC.

Configurar el cifrado con AWS Claves de KMS

Cuando habilita el cifrado en un trabajo, se aplica tanto a Amazon S3 como a CloudWatch. La función de IAM que se transfiera debe tener los siguientes AWS KMS permisos.

Para obtener más información, consulte los siguientes temas en la Guía del usuario de Amazon Simple Storage Service: