Chiffrement au repos à l'aide d'une clé KMS client pour le service EMR WAL - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement au repos à l'aide d'une clé KMS client pour le service EMR WAL

Les journaux d'écriture anticipée (WAL) EMR fournissent une assistance clé au client en matière de KMS. encryption-at-rest Voici des informations détaillées sur la manière dont Amazon EMR WAL est intégré à : AWS KMS

Les journaux d'écriture anticipée (WAL) EMR interagissent avec eux AWS lors des opérations suivantes :CreateWAL,,,AppendEdit,, ArchiveWALCheckPoint CompleteWALFlush DeleteWAL GetCurrentWALTimeReplayEdits, TrimWAL EMR_EC2_DefaultRole par défaut. Lorsque l'une des opérations précédentes répertoriées est invoquée, le WAL EMR effectue Decrypt et contre la clé KMS. GenerateDataKey

Considérations

Tenez compte des points suivants lorsque vous utilisez le chiffrement AWS KMS basé pour EMR WAL :

  • La configuration de chiffrement ne peut pas être modifiée après la création d'un EMR WAL.

  • Lorsque vous utilisez le chiffrement KMS avec votre propre clé KMS, celle-ci doit se trouver dans la même région que votre cluster Amazon EMR.

  • Vous êtes responsable du maintien de toutes les autorisations IAM requises et il est recommandé de ne pas révoquer les autorisations nécessaires pendant la durée de vie du WAL. Sinon, cela provoquera des scénarios de défaillance inattendus, tels que l'impossibilité de supprimer le WAL EMR, car la clé de chiffrement associée n'existe pas.

  • L'utilisation des AWS KMS clés entraîne un coût. Pour en savoir plus, consultez Pricing AWS Key Management Service (Tarification).

Autorisations IAM requises

Pour utiliser la clé KMS de votre client pour chiffrer le WAL EMR au repos, vous devez vous assurer de définir les autorisations appropriées pour le rôle client EMR WAL et le principal de service EMR WAL. emrwal.amazonaws.com

Autorisations pour le rôle client EMR WAL

Vous trouverez ci-dessous la politique IAM requise pour le rôle de client EMR WAL :

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", ], "Resource": "*" } }

Le client EMR WAL sur le cluster EMR sera utilisé par défaut. EMR_EC2_DefaultRole Si vous utilisez un rôle différent pour le profil d'instance dans le cluster EMR, assurez-vous que chaque rôle dispose des autorisations appropriées.

Pour plus d'informations sur la gestion de la politique de rôle, reportez-vous à la section Ajout et suppression d'autorisations d'identité IAM.

Autorisations pour la politique des clés KMS

Vous devez attribuer le rôle de client EMR WAL et le service EMR WAL Decrypt et l'GenerateDataKey*autorisation dans votre politique KMS. Pour en savoir plus sur la gestion des politiques clés, reportez-vous à la section Politique des clés KMS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::accountID:role/EMR_EC2_DefaultRole" ], "Service": [ "emrwal.amazonaws.com" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": [ "*" ] } ] }

Le rôle spécifié dans l'extrait peut changer si vous modifiez le rôle par défaut.

Surveillance de l'interaction entre Amazon EMR WAL et AWS KMS

Contexte de chiffrement Amazon EMR WAL

Un contexte de chiffrement est un ensemble de paires clé-valeur contenant des données arbitraires non secrètes. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, lie AWS KMS cryptographiquement le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez transmettre le même contexte de chiffrement.

Dans ses requêtes GenerateDataKeyet Decrypt à AWS KMS, Amazon EMR WAL utilise un contexte de chiffrement avec une paire nom-valeur identifiant le nom du WAL EMR.

"encryptionContext": { "aws:emrwal:walname": "111222333444555-testworkspace-emrwalclustertest-emrwaltestwalname" }

Vous pouvez utiliser le contexte de chiffrement pour identifier ces opérations cryptographiques dans les enregistrements et journaux d'audit, tels que AWS CloudTrail Amazon CloudWatch Logs, et comme condition d'autorisation dans les politiques et les autorisations.