Le chiffrement des données est arrêté pour AWS Glue Data Quality - AWS Glue
AWS clés possédéesClés gérées par le clientCréation d’une clé gérée par le clientCréation d'une configuration de sécuritéAWS Contexte de chiffrement de Glue Data QualitySurveillance de vos clés de chiffrement pour AWS Glue Data QualityEn savoir plus

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Le chiffrement des données est arrêté pour AWS Glue Data Quality

AWS Glue Data Qualityfournit un chiffrement par défaut pour protéger les données sensibles des clients au repos à l'aide de clés de chiffrement AWS détenues par nos soins.

AWS clés possédées

AWS Glue Data Quality utilise ces clés pour chiffrer automatiquement les actifs de qualité des données des clients. Vous ne pouvez pas consulter, gérer ou utiliser les clés AWS détenues, ni auditer leur utilisation. Toutefois, vous n’avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez la section sur les clés AWS détenues dans le Guide du AWS KMS développeur.

Le chiffrement des données au repos par défaut permet de réduire les frais opérationnels et la complexité liés à la protection des données sensibles. Dans le même temps, il vous permet de créer des applications sécurisées qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement.

Bien que vous ne puissiez pas désactiver cette couche de chiffrement ou sélectionner un autre type de chiffrement, vous pouvez ajouter une deuxième couche de chiffrement aux clés de chiffrement AWS détenues existantes en choisissant une clé gérée par le client lorsque vous créez vos ressources de qualité des données.

Clés gérées par le client

Clés gérées par le client : AWS Glue Data Quality prend en charge l'utilisation d'une clé symétrique gérée par le client que vous créez, détenez et gérez. Cela ajoute une deuxième couche de chiffrement par rapport au chiffrement AWS propre existant. Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :

  • Établissement et gestion des stratégies de clé

  • Établissement et gestion des politiques IAM

  • Activation et désactivation des stratégies de clé

  • Rotation des matériaux de chiffrement de clé

  • Ajout de balises

  • Création d’alias de clé

  • Planification des clés pour la suppression

Pour plus d'informations, consultez la section Clés gérées par le client dans le Guide du AWS KMS développeur.

Le tableau suivant résume la manière dont AWS Glue Data Quality chiffre les différents actifs de Data Quality.

Type de données AWS chiffrement par clé détenue Chiffrement par clé gérée par le client

Ensemble de règles de qualité des données

Chaîne d’ensemble de règles DQDL référencée par l’ensemble de règles DQ persistant. Pour le moment, ces ensembles de règles persistants ne sont utilisés que dans l’expérience catalogue de données AWS Glue.

Activé Activé

Rule/Analyzer Résultats relatifs à la qualité des données

Artefacts de résultat qui contiennent le pass/fail statut de chaque règle d'un ensemble de règles ainsi que les métriques collectées par les règles et les analyseurs.

Activé Activé

Observations

Des observations sont générées lorsqu’une anomalie est détectée dans les données. Elles contiennent des informations sur les limites supérieure et inférieure attendues et une règle suggérée basée sur ces limites. Si elles sont générées, elles sont affichées avec les résultats de qualité des données.

Activé Activé

Statistiques

Contient des informations sur les métriques collectées après avoir évalué les données selon un ensemble de règles, telles que la valeur de la métrique (par exemple RowCount, Exhaustivité), les noms des colonnes et d'autres métadonnées.

Activé Activé

Modèles statistiques de détection des anomalies

Les modèles statistiques contiennent les séries temporelles des limites supérieure et inférieure pour une métrique donnée, générées sur la base d’évaluations précédentes des données client.

Activé Activé
Note

AWS Data Quality active automatiquement le chiffrement au repos à l'aide de clés AWS détenues pour protéger gratuitement les données personnelles identifiables. Toutefois, AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d’informations sur la tarification, consultez Tarification d’AWS KMS.

Pour plus d'informations sur AWS KMS, voir AWS KMS.

Création d’une clé gérée par le client

Vous pouvez créer une clé symétrique gérée par le client en utilisant le AWS Management Console, ou le AWS KMS APIs.

Pour créer une clé symétrique gérée par le client :

Stratégie de clé

Les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez la section Politiques relatives aux AWS KMS clés dans le Guide du AWS Key Management Service développeur.

Pour utiliser votre clé gérée par le client avec les ressources de qualité des données, les opérations d’API suivantes doivent être autorisées dans la stratégie de clé :

  • kms:Decrypt— Déchiffre le texte chiffré par une clé en utilisant AWS KMS GenerateDataKeyWithoutPlaintext

  • kms:DescribeKey : fournit les détails des clés gérées par le client pour permettre à Amazon Location de valider la clé.

  • kms:GenerateDataKeyWithoutPlaintext— Renvoie une clé de données symétrique unique à utiliser en dehors de AWS KMS. Cette opération renvoie une clé de données chiffrée sous une clé KMS de chiffrement symétrique que vous spécifiez. Les octets de la clé sont aléatoires. Ils ne sont pas liés à l’appelant ni à la clé KMS. Sert à réduire le nombre d’appels KMS que le client doit passer.

  • kms:ReEncrypt* : déchiffre le texte chiffré, puis le rechiffre entièrement au sein d’ AWS KMS. Vous pouvez utiliser cette opération pour modifier la clé KMS sous laquelle les données sont chiffrées, par exemple lorsque vous faites pivoter manuellement une clé KMS ou que vous modifiez la clé KMS qui protège un texte chiffré. Vous pouvez également l’utiliser pour rechiffrer du texte chiffré sous la même clé KMS, par exemple pour modifier le contexte de chiffrement d’un texte chiffré.

Voici des exemples de déclarations de stratégie que vous pouvez ajouter pour Amazon Location : 

"Statement" : [ 
    {
        "Sid" : "Allow access to principals authorized to use AWS Glue Data Quality",
        "Effect" : "Allow",
        "Principal" : {
            "AWS": "arn:aws:iam::<account_id>:role/ExampleRole"
        },
        "Action" : [ 
            "kms:Decrypt", 
            "kms:DescribeKey",
            "kms:GenerateDataKeyWithoutPlaintext",
            "kms:ReEncrypt*"
        ],
        "Resource" : "*",
        "Condition" : {
            "StringEquals" : {
                "kms:ViaService" : "glue.amazonaws.com",
                "kms:CallerAccount" : "111122223333"
            }
        },
    {
        "Sid": "Allow access for key administrators",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
          },
        "Action" : [ 
            "kms:*"
         ],
        "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
        "Sid" : "Allow read-only access to key metadata to the account",
        "Effect" : "Allow",
        "Principal" : {
            "AWS" : "arn:aws:iam::111122223333:root"
        },
        "Action" : [ 
            "kms:Describe*",
            "kms:Get*",
            "kms:List*",
        ],
        "Resource" : "*"
    }
]

Remarques concernant l'utilisation des clés KMS dans AWS Glue Data Quality

AWS Glue Data Quality ne prend pas en charge les transitions clés. Cela signifie que si vous chiffrez vos actifs de qualité des données avec la clé A et que vous décidez de passer à la clé B, nous ne chiffrerons pas à nouveau les données chiffrées avec la clé A pour utiliser la clé B. Vous pouvez toujours passer à la clé B, mais vous devrez conserver l’accès à la clé A pour accéder aux données précédemment chiffrées avec la clé A.

Pour plus d'informations sur la spécification des autorisations dans une politique, consultez la section Autorisations pour les AWS services dans les politiques clés du Guide du AWS Key Management Service développeur.

Pour plus d'informations sur la résolution des problèmes d'accès par clé, consultez la section Résolution des problèmes d'accès par clé dans le Guide du AWS Key Management Service développeur.

Création d'une configuration de sécurité

Dans AWS Glue, la ressource Security Configurations contient les propriétés nécessaires pour écrire des données chiffrées.

Pour chiffrer les actifs liés à la qualité de vos données :

  1. Dans Paramètres de chiffrement, sous Paramètres avancés, choisissez Activer le chiffrement de la qualité des données.

  2. Sélectionnez votre clé KMS ou choisissez Créer une AWS KMS clé

La capture d'écran montre la page Ajouter une configuration de sécurité. L'option Activer DataQuality le chiffrement est sélectionnée.

AWS Contexte de chiffrement de Glue Data Quality

Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur qui contient des informations contextuelles supplémentaires sur les données.

AWS KMS utilise le contexte de chiffrement comme données authentifiées supplémentaires pour prendre en charge le chiffrement authentifié. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande.

AWS Exemple de contexte de chiffrement de Glue Data Quality

"encryptionContext": {
    "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    "hierarchy-version": "1",
    "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
    "create-time": "2024-06-07T13:47:23:000861Z",
    "tablename": "AwsGlueMlEncryptionKeyStore",
    "type": "beacon:ACTIVE"
}

Utilisation du contexte de chiffrement à des fins de surveillance

Lorsque vous utilisez une clé symétrique gérée par le client pour chiffrer les données de votre suivi ou de votre collection de périmètres virtuels, vous pouvez également utiliser le contexte de chiffrement dans les enregistrements et les journaux d’audit pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par AWS CloudTrail ou Amazon CloudWatch Logs.

Surveillance de vos clés de chiffrement pour AWS Glue Data Quality

Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos ressources AWS Glue Data Quality, vous pouvez utiliser AWS CloudTrail ou Amazon CloudWatch Logs suivre les demandes auxquelles AWS Glue Data Quality envoie AWS KMS.

Les exemples suivants sont des AWS CloudTrail événements pour GenerateDataKeyWithoutPlainText et Decrypt pour surveiller les opérations KMS appelées par AWS Glue Data Quality afin d'accéder aux données chiffrées par votre clé gérée par le client.

Decrypt 

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "arn": "arn:aws:sts::111122223333:role/CustomerRole",
        "accountId": "111122223333",
        "invokedBy": "glue.amazonaws.com"
    },
    "eventTime": "2024-07-02T20:03:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "glue.amazonaws.com",
    "userAgent": "glue.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:ACTIVE",
            "version": "branch:version:ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
        }
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

GenerateDataKeyWithoutPlaintext 

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "arn": "arn:aws:sts::111122223333:role/CustomerRole",
        "accountId": "111122223333",
        "invokedBy": "glue.amazonaws.com"
    },
    "eventTime": "2024-07-02T20:03:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKeyWithoutPlaintext",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "glue.amazonaws.com",
    "userAgent": "glue.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:version:ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
        }
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

ReEncyrpt 

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "arn": "arn:aws:sts::111122223333:role/CustomerRole",
        "accountId": "111122223333",
        "invokedBy": "glue.amazonaws.com"
    },
    "eventTime": "2024-07-17T21:34:41Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ReEncrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "glue.amazonaws.com",
    "userAgent": "glue.amazonaws.com",
    "requestParameters": {
        "destinationEncryptionContext": {
             "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:ACTIVE"
            "version": "branch:version:12345678-SAMPLE"
        },
        "destinationKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "sourceAAD": "1234567890-SAMPLE+Z+lqoYOHj7VtWxJLrvh+biUFbliYDAQkobM=",
        "sourceKeyId": "arn:aws:kms:ap-southeast-2:585824196334:key/17ca05ca-a8c1-40d7-b7fd-30abb569a53a",
        "destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "sourceEncryptionContext": {
            "kms-arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "branch-key-id": "111122223333+arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
            "hierarchy-version": "1",
            "aws-crypto-ec:aws:glue:securityConfiguration": "111122223333:customer-security-configuration-name",
            "create-time": "2024-06-07T13:47:23:000861Z",
            "tablename": "AwsGlueMlEncryptionKeyStore",
            "type": "branch:version:ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
        },
        "destinationAAD": "1234567890-SAMPLE",
        "sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

En savoir plus

Les ressources suivantes fournissent plus d'informations sur le chiffrement des données au repos.