Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrar los datos escritos por Jobs DataBrew
DataBrew los trabajos pueden escribir en destinos cifrados de Amazon S3 y en Amazon CloudWatch Logs cifrados.
Temas
¿Está configurando DataBrew el uso del cifrado?
Siga este procedimiento para configurar su DataBrew entorno para que utilice el cifrado.
Para configurar su DataBrew entorno para que utilice el cifrado
-
Cree o actualice sus claves de AWS KMS para conceder AWS KMS permisos a las funciones AWS Identity and Access Management(de IAM) que se transfieren a los DataBrew trabajos. Estas funciones de IAM se utilizan para cifrar los CloudWatch registros y los objetivos de Amazon S3. Para obtener más información, consulte Cifrar datos de registro en CloudWatch registros mediante AWS KMS la Guía del usuario de Amazon CloudWatch Logs.
En el siguiente ejemplo,
"role1", y"role2"son funciones de IAM que se transfieren a DataBrew los trabajos. Esta declaración de política describe una política de claves de KMS que permite a las funciones de IAM enumeradas cifrar y descifrar con esta clave de KMS."role3"{ "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }La
Servicedeclaración, que se muestra como"Service": "logs., es obligatoria si se utiliza la clave para cifrar los registros. CloudWatchregion.amazonaws.com" -
Asegúrese de que la AWS KMS clave esté configurada en
ENABLEDantes de usarla.
Para obtener más información sobre cómo especificar los permisos mediante políticas AWS KMS clave, consulte Uso de políticas clave en AWS KMS.
Crear una ruta a AWS KMS para trabajos de VPC
Puede conectarse directamente a AWS KMS a través de un punto de enlace privado en su nube virtual privada (VPC) en lugar de conectarse a través de Internet. Cuando utiliza un punto final de VPC, la comunicación entre su VPC y la VPC AWS KMS se lleva a cabo íntegramente dentro de la red.AWS
Puede crear un punto final de AWS KMS VPC dentro de una VPC. Sin este paso, sus DataBrew trabajos podrían fallar con un. kms timeout Para obtener instrucciones detalladas, consulte Conexión a AWS KMS través de un punto final de VPC en la Guía para AWS Key Management Service desarrolladores.
Siguiendo estas instrucciones, en la consola de VPC
Selecciona Habilitar nombre DNS privado.
En Grupo de seguridad, elija el grupo de seguridad (incluida una regla de autorreferencia) que utilizará para su DataBrew trabajo de acceso a la conectividad de bases de datos de Java (JDBC).
Cuando ejecute un DataBrew trabajo que acceda a los almacenes de datos de JDBC, DataBrew debe tener una ruta al punto final.AWS KMS Puede proporcionar a la ruta una puerta de enlace de traducción de direcciones de red (NAT) o un punto final de AWS KMS VPC. Para crear una gateway NAT, consulte Gateways NAT en la Guía del usuario de Amazon VPC.
Configurar el cifrado con AWS Claves de KMS
Cuando habilita el cifrado en un trabajo, se aplica tanto a Amazon S3 como a CloudWatch. La función de IAM que se transfiera debe tener los siguientes AWS KMS permisos.
Para obtener más información, consulte los siguientes temas en la Guía del usuario de Amazon Simple Storage Service:
-
Para obtener más información
SSE-S3, consulte Protección de datos mediante el Server-Side cifrado con claves de S3-Managed cifrado de Amazon (SSE-S3). -
Para obtener más información
SSE-KMS, consulte Protección de datos mediante el Server-Side cifrado con claves AWS administradas por KMS (). SSE-KMS