View a markdown version of this page

Chiffrer les données écrites par les jobs DataBrew - AWS Glue DataBrew Guide du développeur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrer les données écrites par les jobs DataBrew

DataBrew les tâches peuvent écrire sur des cibles Amazon S3 chiffrées et sur Amazon CloudWatch Logs chiffrés.

Configuration DataBrew pour utiliser le chiffrement

Suivez cette procédure pour configurer votre DataBrew environnement afin qu'il utilise le chiffrement.

Pour configurer votre DataBrew environnement afin d'utiliser le chiffrement
  1. Créez ou mettez à jour vos clés AWS KMS pour accorder des AWS KMS autorisations aux rôles Gestion des identités et des accès AWS(IAM) transmis aux DataBrew tâches. Ces rôles IAM sont utilisés pour chiffrer les CloudWatch journaux et les cibles Amazon S3. Pour plus d'informations, consultez la section Chiffrer les données de journal dans CloudWatch les journaux à l'aide AWS KMS du guide de l'utilisateur Amazon CloudWatch Logs.

    Dans l'exemple suivant, "role1""role2", et "role3" sont des rôles IAM transmis à des DataBrew tâches. Cette déclaration de politique décrit une politique de clé KMS qui autorise les rôles IAM répertoriés à chiffrer et à déchiffrer avec cette clé KMS.

    { "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

    L'Serviceinstruction, représentée sous la forme"Service": "logs.region.amazonaws.com", est obligatoire si vous utilisez la clé pour chiffrer CloudWatch les journaux.

  2. Assurez-vous que la AWS KMS clé est réglée sur ENABLED avant de l'utiliser.

Pour plus d'informations sur la spécification des autorisations à l'aide de politiques AWS KMS clés, consultez la section Utilisation de politiques clés dans AWS KMS.

Création d'un itinéraire vers AWS KMS pour les tâches VPC

Vous pouvez vous connecter directement àAWS KMS via un point de terminaison privé dans votre VPC au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison VPC, la communication entre votre VPC et celui-ci AWS KMS s'effectue entièrement au sein du réseau.AWS

Vous pouvez créer un point de terminaison AWS KMS VPC au sein d'un VPC. Sans cette étape, vos DataBrew tâches risquent d'échouer avec unkms timeout. Pour obtenir des instructions détaillées, consultez la section Connexion AWS KMS via un point de terminaison VPC dans le guide du AWS Key Management Service développeur.

Lorsque vous suivez ces instructions, sur la console VPC, veillez à effectuer les opérations suivantes :

  • Choisissez Activer le nom DNS privé.

  • Pour Groupe de sécurité, choisissez le groupe de sécurité (y compris une règle d'autoréférencement) que vous utilisez pour votre DataBrew tâche qui accède à Java Database Connectivity (JDBC).

Lorsque vous exécutez une DataBrew tâche qui accède aux magasins de données JDBC, vous DataBrew devez disposer d'un itinéraire vers le point de terminaison.AWS KMS Vous pouvez fournir l'itinéraire à l'aide d'une passerelle de traduction d'adresses réseau (NAT) ou d'un point de AWS KMS terminaison VPC. Pour créer une passerelle NAT, veuillez consulter Passerelles NAT dans le Guide de l'utilisateur Amazon VPC.

Configuration du chiffrement avec AWS Clés KMS

Lorsque vous activez le chiffrement sur une tâche, il s'applique à la fois à Amazon S3 et CloudWatch. Le rôle IAM transmis doit disposer des AWS KMS autorisations suivantes.

Pour en savoir plus, consulter les rubriques suivantes dans le Guide de l'utilisateur d'Amazon Simple Storage Service :