Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado en reposo mediante una clave KMS del cliente para el servicio EMR WAL
Los registros de escritura anticipada (WAL) de EMR proporcionan soporte clave de KMS al cliente. encryption-at-rest Los siguientes detalles detallados sobre cómo se integra Amazon EMR WAL con: AWS KMS
Los registros de escritura anticipada (WAL) de EMR interactúan AWS durante las siguientes operaciones:CreateWAL,,,,, AppendEdit ArchiveWALCheckPoint CompleteWALFlush DeleteWAL GetCurrentWALTimeReplayEdits, de forma EMR_EC2_DefaultRole predeterminada. Cuando se TrimWAL invoca alguna de las operaciones anteriores de la lista, la WAL de EMR realiza Decrypt y contra la clave KMS. GenerateDataKey
Consideraciones
Tenga en cuenta lo siguiente cuando utilice el cifrado AWS KMS basado para EMR WAL:
-
La configuración de cifrado no se puede cambiar después de crear un EMR WAL.
-
Si utiliza el cifrado de KMS con su propia clave de KMS, la clave debe estar en la misma región que su clúster de Amazon EMR.
-
Usted es responsable de mantener todos los permisos de IAM necesarios y se recomienda no revocar los permisos necesarios durante la vigencia del WAL. De lo contrario, provocará escenarios de error inesperados, como la imposibilidad de eliminar el EMR WAL, ya que la clave de cifrado asociada no existe.
-
El uso de las AWS KMS claves conlleva un coste. Para obtener más información, consulte Precios de AWS Key Management Service
.
Permisos de IAM necesarios
Para utilizar la clave KMS de su cliente para cifrar la WAL de EMR en reposo, debe asegurarse de establecer los permisos adecuados para el rol de cliente de EMR WAL y el director de servicio de EMR WAL. emrwal.amazonaws.com
Permisos para el rol de cliente EMR WAL
A continuación, se muestra la política de IAM necesaria para el rol de cliente WAL de EMR:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", ], "Resource": "*" } }
El cliente EMR WAL del clúster EMR se utilizará de forma predeterminada. EMR_EC2_DefaultRole Si utilizas un rol diferente para el perfil de instancia en el clúster de EMR, asegúrate de que cada rol tenga los permisos adecuados.
Para obtener más información sobre la administración de la política de roles, consulta Cómo añadir y eliminar permisos de identidad de IAM.
Permisos para la política de claves de KMS
Debe asignar el rol de cliente EMR WAL y el servicio Decrypt y GenerateDataKey* permiso EMR WAL en su política de KMS. Para obtener más información sobre la administración de políticas clave, consulte la política clave de KMS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::accountID:role/EMR_EC2_DefaultRole" ], "Service": [ "emrwal.amazonaws.com" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": [ "*" ] } ] }
El rol especificado en el fragmento puede cambiar si cambias el rol predeterminado.
Supervisión de la interacción de Amazon EMR WAL con AWS KMS
Contexto de cifrado WAL de Amazon EMR
Un contexto de cifrado es un conjunto de pares clave-valor que contiene datos arbitrarios no secretos. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, vincula AWS KMS criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.
En sus solicitudes GenerateDataKeyy Decrypt para AWS KMS, Amazon EMR WAL utiliza un contexto de cifrado con un par nombre-valor que identifican el nombre WAL de EMR.
"encryptionContext": { "aws:emrwal:walname": "111222333444555-testworkspace-emrwalclustertest-emrwaltestwalname" }
Puede utilizar el contexto de cifrado para identificar estas operaciones criptográficas en los registros y registros de auditoría, como AWS CloudTrail Amazon CloudWatch Logs, y como condición para la autorización en las políticas y las concesiones.
