Consideraciones Permisos de IAM necesarios Monitoreo de la interacción de Amazon EMR WAL con AWS KMS

Cifrado en reposo con una clave de KMS del cliente para el servicio EMR WAL

Los registros WAL de EMR admiten cifrado en reposo con claves de KMS proporcionadas por el cliente. A continuación, se presenta una descripción general de cómo Amazon EMR WAL se integra con AWS KMS:

Los registros de escritura anticipada (WAL) de EMR interactúan con AWS durante las siguientes operaciones: CreateWAL, AppendEdit, ArchiveWALCheckPoint, CompleteWALFlush, DeleteWAL, GetCurrentWALTime, ReplayEdits, TrimWAL mediante el EMR_EC2_DefaultRole de forma predeterminada. Cuando se ejecuta cualquiera de las operaciones anteriores, EMR WAL realiza Decrypt y GenerateDataKey contra la clave de KMS.

Consideraciones

Considere lo siguiente cuando utilice cifrado basado en AWS KMS para EMR WAL:

La configuración de cifrado no puede modificarse después de crear un EMR WAL.
Cuando utilice cifrado con KMS mediante su propia clave de KMS, esa clave debe existir en la misma región que su clúster de Amazon EMR.
Usted es responsable de mantener todos los permisos de IAM necesarios; se recomienda no revocar estos permisos mientras el WAL esté activo. De lo contrario, pueden producirse fallas inesperadas, como la imposibilidad de eliminar un EMR WAL cuando la clave de cifrado asociada ya no existe.
El uso de claves AWS KMS conlleva un coste asociado. Para más información, consulte Precios de AWS Key Management Service.

Permisos de IAM necesarios

Para usar su clave de KMS y cifrar EMR WAL en reposo, asegúrese de otorgar los permisos adecuados al rol del cliente de EMR WAL y al emrwal.amazonaws.com de la entidad principal de servicio de EMR WAL.

Permisos para el rol del cliente de EMR WAL

La siguiente es la política de IAM necesaria para el rol del cliente de EMR WAL:

El cliente de EMR WAL en el clúster EMR usa EMR_EC2_DefaultRole de manera predeterminada. Si utiliza un rol diferente para el perfil de instancia en el clúster EMR, asegúrese de que cada rol incluya los permisos adecuados.

Para obtener más información sobre la administración de políticas de roles, consulte Adición y eliminación de permisos de identidad de IAM.

Permisos para la política de claves de KMS

Debe otorgar al rol del cliente de EMR WAL y al servicio de EMR WAL los permisos de Decrypt y GenerateDataKey* en su política de KMS. Para obtener más información sobre la administración de políticas de claves, consulte Política de claves de KMS.

El rol especificado en el fragmento puede cambiar si usted modifica el rol predeterminado.

Monitoreo de la interacción de Amazon EMR WAL con AWS KMS

Contexto de cifrado de Amazon EMR WAL

Un contexto de cifrado es un conjunto de pares de clave-valor que contiene datos no secretos arbitrarios. Cuando se incluye un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.

En sus solicitudes de GenerateDataKey y Decrypt a AWS KMS, Amazon EMR WAL usa un contexto de cifrado con un par nombre-valor que identifica el nombre del EMR WAL.


"encryptionContext": {
    "aws:emrwal:walname": "111222333444555-testworkspace-emrwalclustertest-emrwaltestwalname"
}

Puede utilizar el contexto de cifrado para identificar esta operación criptográfica en los registros y logs de auditoría, como AWS CloudTrailhttps://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html y Amazon CloudWatch Logs, y como una condición para la autorización de las políticas y concesiones.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Opciones de cifrado para Amazon EMR

Creación de claves y certificados para el cifrado de datos con Amazon EMR