Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrement de données au repos
AWS Glue prend en charge le chiffrement des données au repos pour [Création de tâches ETL visuelles](author-job-glue.md) et[Développement de scripts à l'aide de points de terminaison de développement](dev-endpoint.md). Vous pouvez configurer des tâches d'extraction, de transformation et de chargement (ETL) et des points de terminaison de développement pour utiliser des clés [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) pour l'écriture de données chiffrées au repos. Vous pouvez également chiffrer les métadonnées stockées dans les clés [AWS Glue Data Catalog](components-overview.md#data-catalog-intro) d'utilisation que vous utilisez pour gérer AWS KMS. En outre, vous pouvez utiliser des AWS KMS clés pour chiffrer les signets de tâches et les journaux générés par les robots d'[exploration et les](https://docs.aws.amazon.com/glue/latest/dg/add-crawler.html) tâches ETL.
Vous pouvez chiffrer des objets de métadonnées AWS Glue Data Catalog en plus des données écrites sur Amazon Simple Storage Service (Amazon S3) et CloudWatch Amazon Logs par des jobs, des robots d'exploration et des points de terminaison de développement. Lorsque vous créez des tâches, des crawlers et des points de terminaison de développement dans AWS Glue, vous pouvez fournir des paramètres de chiffrement en attachant une configuration de sécurité. Les configurations de sécurité contiennent des clés de chiffrement côté serveur (SSE-S3) gérées par Amazon S3 ou des clés principales du client () stockées dans (SSE-KMSCMKs). AWS KMS Vous pouvez créer des configurations de sécurité à l'aide de la console AWS Glue.
Vous pouvez activer le chiffrement de la totalité du catalogue de données dans votre compte. Pour ce faire, spécifiez « CMKs stocké dans AWS KMS ».
**Important**
AWS Glue ne prend en charge que les clés symétriques gérées par le client. Pour plus d'informations, voir [Customer Managed Keys (CMKs)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) dans le *Guide du AWS Key Management Service développeur*.
Une fois le chiffrement activé, lorsque vous ajoutez des objets du catalogue de données, exécutez des crawlers ou des tâches, ou bien démarrez des points de terminaison de développement, les clés SSE-S3 ou SSE-KMS sont utilisées pour écrire les données au repos. En outre, vous pouvez configurer AWS Glue pour accéder uniquement aux stockages de données JDBC (Java Database Connectivity) par le biais d'un protocole TLS (Transport Layer Security) approuvé.
Dans AWS Glue, vous contrôlez les paramètres de chiffrement dans les emplacements suivants :
+ Paramètres de votre catalogue de données.
+ Les configurations de sécurité que vous créez.
+ Le paramètre de chiffrement côté serveur (SSE-S3 ou SSE-KMS) qui est transmis à votre tâche d'extraction, de transformation et de chargement (ETL) AWS Glue.
Pour plus d'informations sur la mise en place du chiffrement, consultez [Configuration du chiffrement dans AWS Glue](set-up-encryption.md).
**Topics**
+ [
# Chiffrement de votre catalogue de données
](encrypt-glue-data-catalog.md)
+ [
# Chiffrement des mots de passe de connexion
](encrypt-connection-passwords.md)
+ [
# Chiffrement des données écrites par AWS Glue
](encryption-security-configuration.md)
# Chiffrement de votre catalogue de données
AWS Glue Data Catalog le chiffrement renforce la sécurité de vos données sensibles. AWS Glue s'intègre à AWS Key Management Service (AWS KMS) pour chiffrer les métadonnées stockées dans le catalogue de données. Vous pouvez activer ou désactiver les paramètres de chiffrement pour les ressources du catalogue de données à l'aide de la AWS Glue console ou du AWS CLI.
Lorsque vous activez le chiffrement pour votre catalogue de données, tous les nouveaux objets que vous créez sont chiffrés. Lorsque vous désactivez le chiffrement, les nouveaux objets que vous créez ne sont pas chiffrés, mais les objets chiffrés existants restent chiffrés.
Vous pouvez chiffrer l'intégralité de votre catalogue de données à l'aide de clés de chiffrement AWS gérées ou de clés de chiffrement gérées par le client. Pour plus d'informations sur les types de clés et les états, consultez [AWS Key Management Service les concepts](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html#key-state-cmk-type) du Guide du AWS Key Management Service développeur.
**Note**
Lorsque vous utilisez le catalogue de données chiffré avec un robot, vous devez conserver les paramètres de chiffrement. La suppression des paramètres de chiffrement après qu’un robot a traité un catalogue chiffré entraîne des erreurs. Si vous devez supprimer des paramètres de chiffrement, créez un autre robot au lieu de modifier celui qui existe déjà.
## AWS clés gérées
AWS les clés gérées sont des clés KMS de votre compte qui sont créées, gérées et utilisées en votre nom par un AWS service intégré à AWS KMS. Vous pouvez consulter les clés AWS gérées de votre compte, consulter leurs politiques clés et vérifier leur utilisation dans AWS CloudTrail les journaux. Toutefois, vous ne pouvez pas gérer ces clés ni modifier leurs autorisations.
Encryption at rest s'intègre AWS KMS automatiquement AWS à la gestion AWS Glue des clés gérées utilisées pour chiffrer vos métadonnées. Si aucune clé AWS gérée n'existe lorsque vous activez le chiffrement des métadonnées, une nouvelle clé est AWS KMS automatiquement créée pour vous.
Pour en savoir plus, consultez [Clés gérées par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk).
## Clés gérées par le client
Les clés gérées par le client sont des clés KMS Compte AWS que vous créez, détenez et gérez. Vous avez un contrôle total sur ces clés KMS. Vous pouvez effectuer les actions suivantes :
+ Établir et maintenir leurs stratégies de clé, leurs politiques IAM et leurs autorisations
+ Les activer et les désactiver
+ Effectuer une rotation de leur matériel de chiffrement
+ Ajouter des balises
+ Créer des alias qui y font référence
+ Les planifier en vue de leur suppression
Pour plus d’informations sur la gestion des autorisations d’une clé gérée par le client, consultez [Clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
**Important**
AWS Glue prend uniquement en charge les clés symétriques gérées par le client. La liste de clés KMS n’affiche que des clés symétriques. Toutefois, si vous sélectionnez **Choisir un ARN de clé KMS**, la console vous permet d’entrer un ARN pour n’importe quel type de clé. Assurez-vous de n'entrer que ARNs pour les clés symétriques.
Pour créer une CMK symétrique, suivez les étapes de [création de clés symétriques gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le Guide du développeur AWS Key Management Service .
Lorsque vous activez le chiffrement du catalogue de données au repos, les types de ressources suivants sont chiffrés à l’aide de clés KMS :
+ Bases de données
+ Tables
+ Partitions
+ Versions de table
+ Statistiques de colonne
+ Fonctions définies par l’utilisateur
+ Affichages du catalogue de données
## AWS Glue contexte de chiffrement
Un [contexte de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) est un ensemble facultatif de paires clé-valeur qui contiennent des informations contextuelles supplémentaires sur les données. AWS KMS utilise le contexte de chiffrement en tant que[ données authentifiées supplémentaires](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad) pour prendre en charge le [chiffrement authentifié](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#define-authenticated-encryption). Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande. AWS Glue utilise le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques, où la clé est `glue_catalog_id` et la valeur est le`catalogId`.
```
"encryptionContext": {
"glue_catalog_id": "111122223333"
}
```
Lorsque vous utilisez une clé AWS gérée ou une clé symétrique gérée par le client pour chiffrer votre catalogue de données, vous pouvez également utiliser le contexte de chiffrement dans les enregistrements d'audit et les journaux pour identifier la manière dont la clé est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par AWS CloudTrail ou dans Amazon CloudWatch les journaux.
## Activation du chiffrement
Vous pouvez activer le chiffrement de vos AWS Glue Data Catalog objets dans les **paramètres du catalogue de données** de la AWS Glue console ou en utilisant le AWS CLI.
------
#### [ Console ]
**Pour activer le chiffrement à l’aide de la console**
1. Connectez-vous à la AWS Glue console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).
1. Dans le panneau de navigation, choisissez **catalogue de données**.
1. Sur la page des **paramètres du catalogue de données**, cochez la case **Chiffrement des métadonnées** et choisissez une AWS KMS clé.
Lorsque vous activez le chiffrement, si vous ne spécifiez pas de clé gérée par le client, les paramètres de chiffrement utilisent une clé KMS AWS gérée.
1. (Facultatif) Lorsque vous utilisez une clé gérée par le client pour chiffrer votre catalogue de données, celui-ci propose une option permettant d’enregistrer un rôle IAM pour chiffrer et déchiffrer les ressources. Vous devez accorder à votre rôle IAM des autorisations qui AWS Glue peuvent être assumées en votre nom. Cela inclut AWS KMS les autorisations de chiffrement et de déchiffrement des données.
Lorsque vous créez une nouvelle ressource dans le catalogue de données, elle AWS Glue assume le rôle IAM fourni pour chiffrer les données. De même, lorsqu'un consommateur accède à la ressource, il AWS Glue assume le rôle IAM pour déchiffrer les données. Si vous enregistrez un rôle IAM avec les autorisations requises, le principal appelant n’a plus besoin d’autorisations pour accéder à la clé et déchiffrer les données.
**Important**
Vous ne pouvez déléguer des opérations KMS à un rôle IAM que si vous utilisez une clé gérée par le client pour chiffrer les ressources du catalogue de données. La fonctionnalité de délégation de rôles KMS ne prend pas en charge l’utilisation de clés gérées par AWS pour chiffrer les ressources du catalogue de données pour le moment.
**Avertissement**
Lorsque vous activez un rôle IAM pour déléguer les opérations KMS, vous ne pouvez plus accéder aux ressources du catalogue de données qui étaient précédemment chiffrées à l'aide d'une clé AWS gérée.
1. Pour activer un rôle IAM AWS Glue capable de chiffrer et de déchiffrer les données en votre nom, sélectionnez l'option **Déléguer les opérations KMS à un rôle IAM**.
1. Ensuite, choisissez un rôle IAM.
Pour créer un rôle IAM, consultez [Création d'un rôle IAM pour AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/create-an-iam-role.html).
Le rôle IAM censé accéder AWS Glue au catalogue de données doit disposer des autorisations nécessaires pour chiffrer et déchiffrer les métadonnées du catalogue de données. Vous pouvez créer un rôle IAM et y attacher les politiques en ligne suivantes :
+ Ajoutez la politique suivante pour inclure AWS KMS les autorisations permettant de chiffrer et de déchiffrer le catalogue de données.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/"
}
]
}
```
------
+ Ajoutez ensuite la politique de confiance suivante au rôle pour que le AWS Glue service assume le rôle IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
+ Ajoutez ensuite l’autorisation `iam:PassRole` au rôle IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/"
]
}
]
}
```
------
Lorsque vous activez le chiffrement, si vous n'avez pas spécifié de rôle IAM AWS Glue à assumer, le principal accédant au catalogue de données doit être autorisé à effectuer les opérations d'API suivantes :
+ `kms:Decrypt`
+ `kms:Encrypt`
+ `kms:GenerateDataKey`
------
#### [ AWS CLI ]
**Pour activer le chiffrement à l'aide du SDK ou AWS CLI**
+ Utilisez l’opération d’API `PutDataCatalogEncryptionSettings`. Si aucune clé n'est spécifiée, AWS Glue utilise une clé de chiffrement AWS gérée pour le compte client afin de chiffrer le catalogue de données.
```
aws glue put-data-catalog-encryption-settings \
--data-catalog-encryption-settings '{
"EncryptionAtRest": {
"CatalogEncryptionMode": "SSE-KMS-WITH-SERVICE-ROLE",
"SseAwsKmsKeyId": "arn:aws:kms:::key/",
"CatalogEncryptionServiceRole":"arn:aws:iam:::role/"
}
}'
```
------
Une fois le chiffrement activé, tous les objets que vous créez dans les objets du catalogue de données sont chiffrés. Si vous désactivez ce paramètre, les objets que vous créez dans le catalogue de données ne sont plus chiffrés. Vous pouvez continuer à accéder aux objets chiffrés existants dans le catalogue de données avec les autorisations KMS requises.
| |
| --- |
| La AWS KMS clé doit rester disponible dans le magasin de AWS KMS clés pour tous les objets chiffrés avec elle dans le catalogue de données. Si vous supprimez la clé, les objets ne peuvent plus être déchiffrés. Dans certains scénarios, vous pouvez opter pour cette solution pour empêcher l’accès aux métadonnées du catalogue de données. |
## Surveillance de vos clés KMS pour AWS Glue
Lorsque vous utilisez des clés KMS avec les ressources de votre catalogue de données, vous pouvez utiliser AWS CloudTrail Amazon CloudWatch nos journaux pour suivre les demandes AWS Glue envoyées à AWS KMS. AWS CloudTrail surveille et enregistre les opérations KMS qui AWS Glue appellent à accéder à des données chiffrées par vos clés KMS.
Les exemples suivants sont AWS CloudTrail des événements relatifs aux `GenerateDataKey` opérations `Decrypt` et.
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAXPHTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAXPHTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-01-10T14:33:56Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "glue.amazonaws.com"
},
"eventTime": "2024-01-10T15:18:11Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "eu-west-2",
"sourceIPAddress": "glue.amazonaws.com",
"userAgent": "glue.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"glue_catalog_id": "111122223333"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "43b019aa-34b8-4798-9b98-ee968b2d63df",
"eventID": "d7614763-d3fe-4f84-a1e1-3ca4d2a5bbd5",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms::111122223333:key/"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
#### [ GenerateDataKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAXPHTESTANDEXAMPLE:V_00_GLUE_KMS_GENERATE_DATA_KEY_111122223333",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/V_00_GLUE_KMS_GENERATE_DATA_KEY_111122223333",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAXPHTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-01-05T21:15:47Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "glue.amazonaws.com"
},
"eventTime": "2024-01-05T21:15:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "eu-west-2",
"sourceIPAddress": "glue.amazonaws.com",
"userAgent": "glue.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:eu-west-2:AKIAIOSFODNN7EXAMPLE:key/AKIAIOSFODNN7EXAMPLE",
"encryptionContext": {
"glue_catalog_id": "111122223333"
},
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "64d1783a-4b62-44ba-b0ab-388b50188070",
"eventID": "1c73689b-2ef2-443b-aed7-8c126585ca5e",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-2:111122223333:key/AKIAIOSFODNN7EXAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
```
```
# Chiffrement des mots de passe de connexion
Vous pouvez récupérer les mots de passe de connexion dans AWS Glue Data Catalog le à l'aide des opérations `GetConnections` d'API `GetConnection` et. Ces mots de passe sont stockés dans la connexion du catalogue de données et sont utilisés lorsque AWS Glue se connecte à un magasin de données Java Database Connectivity (JDBC). Lorsque la connexion a été créée ou mise à jour, une option dans les paramètres du catalogue de données déterminait si le mot de passe était crypté et, dans l'affirmative, quelle clé AWS Key Management Service (AWS KMS) était spécifiée.
Dans la console AWS Glue, vous pouvez activer cette option sur la page des **paramètres de catalogue de données**.
**Pour chiffrer des mots de passe de connexion**
1. Connectez-vous à la AWS Glue console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).
1. Choisissez **Settings** (Paramètres) dans le volet de navigation.
1. Dans la page **Data catalog settings (Paramètres de catalogue de données)**, sélectionnez **Encrypt connection passwords (Chiffrer les mots de passe de connexion)** et choisissez une clé AWS KMS .
**Important**
AWS Glueprend uniquement en charge les clés principales symétriques du client (CMKs). La liste de **AWS KMS key (clé KMS)** n'affiche que des clés symétriques. Toutefois, si vous sélectionnez **Choisir un ARN de AWS KMS clé**, la console vous permet de saisir un ARN pour n'importe quel type de clé. Assurez-vous de n'entrer que ARNs pour les clés symétriques.
Pour de plus amples informations, veuillez consulter [Paramètres du catalogue de données](console-data-catalog-settings.md).
# Chiffrement des données écrites par AWS Glue
Une *configuration de sécurité* est un ensemble de propriétés de sécurité pouvant être utilisées par AWS Glue. Vous pouvez utiliser une configuration de sécurité pour chiffrer les données au repos. Les scénarios suivants illustrent les différentes façons dont vous pouvez utiliser une configuration de sécurité.
+ Associez une configuration de sécurité à un AWS Glue robot d'exploration pour écrire des Amazon CloudWatch Logs chiffrés. Pour plus d’informations sur l’attachement de configurations de sécurité aux robots, consultez [Étape 3 : Configurer les paramètres de sécurité](define-crawler-configure-security-settings.md).
+ Associez une configuration de sécurité à une tâche d'extraction, de transformation et de chargement (ETL) pour écrire des cibles Amazon Simple Storage Service (Amazon S3) chiffrées et CloudWatch des journaux chiffrés.
+ Attacher une configuration de sécurité à une tâche ETL pour écrire ses signets de tâche sous forme de données Amazon S3 chiffrées.
+ Attacher une configuration de sécurité à un point de terminaison de développement pour écrire des cibles Amazon S3 chiffrées.
**Important**
Actuellement, une configuration de sécurité remplace tout paramètre de chiffrement côté serveur (SSE-S3) qui est transmis en tant que paramètre de tâche ETL. Par conséquent, si une configuration de sécurité et un paramètre SSE-S3 sont associés à une tâche, le paramètre SSE-S3 est ignoré.
Pour plus d'informations sur les configurations de sécurité, consultez [Gestion des configurations de sécurité sur la console AWS Glue](console-security-configurations.md).
**Topics**
+ [
## Configuration d'AWS Glue pour utiliser des configurations de sécurité
](#encryption-setup-Glue)
+ [
## Création d'un itinéraire AWS KMS pour les tâches VPC et les robots d'exploration
](#encryption-kms-vpc-endpoint)
+ [
# Gestion des configurations de sécurité sur la console AWS Glue
](console-security-configurations.md)
## Configuration d'AWS Glue pour utiliser des configurations de sécurité
Exécutez les étapes suivantes pour configurer votre environnement AWS Glue pour utiliser des configurations de sécurité.
1. Créez ou mettez à jour vos clés AWS Key Management Service (AWS KMS) pour accorder AWS KMS des autorisations aux rôles IAM qui sont transmis aux AWS Glue robots d'exploration et aux tâches pour chiffrer CloudWatch les journaux. Pour plus d'informations, consultez la section [Chiffrer les données de journal dans CloudWatch les journaux à l'aide AWS KMS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) du *guide de l'utilisateur Amazon CloudWatch Logs*.
Dans l'exemple suivant, *"role1"**"role2"*, et *"role3"* sont des rôles IAM transmis aux robots d'exploration et aux tâches.
```
{
"Effect": "Allow",
"Principal": { "Service": "logs.region.amazonaws.com",
"AWS": [
"role1",
"role2",
"role3"
] },
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*"
}
```
L'`Service`instruction, représentée sous la forme`"Service": "logs.region.amazonaws.com"`, est obligatoire si vous utilisez la clé pour chiffrer CloudWatch les journaux.
1. Assurez-vous que la AWS KMS clé est bien `ENABLED` là avant de l'utiliser.
**Note**
Si vous utilisez Iceberg comme cadre de lac de données, les tables Iceberg disposent de leurs propres mécanismes pour activer le chiffrement côté serveur. Vous devez activer ces configurations en plus des configurations AWS Glue de sécurité. Pour activer le chiffrement côté serveur sur les tables Iceberg, consultez les conseils de la [documentation d'Iceberg](https://iceberg.apache.org/docs/latest/aws/#s3-server-side-encryption).
## Création d'un itinéraire AWS KMS pour les tâches VPC et les robots d'exploration
Vous pouvez vous connecter directement à AWS KMS via un point de terminaison privé dans votre VPC au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison VPC, la communication entre votre VPC et celui-ci AWS KMS s'effectue entièrement au sein du réseau. AWS
Vous pouvez créer un point de terminaison AWS KMS VPC au sein d'un VPC. Sans cette étape, vos tâches ou crawlers peuvent échouer avec un `kms timeout` sur les tâches ou une `internal service exception` sur les crawlers. Pour obtenir des instructions détaillées, consultez la section [Connexion AWS KMS via un point de terminaison VPC](https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html) dans le guide du *AWS Key Management Service développeur*.
Au fur et à mesure que vous suivez ces instructions, sur la [console VPC](https://console.aws.amazon.com//vpc),vous devez effectuer les opérations suivantes :
+ Sélectionnez **Enable Private DNS name (Activer le nom DNS privé)**.
+ Choisissez le **groupe de sécurité** (avec une règle à référence circulaire) que vous utilisez pour votre tâche ou votre crawler qui accède à Java Database Connectivity (JDBC). Pour plus d’informations sur les connexions AWS Glue, consultez [Connexion aux données](glue-connections.md).
Lorsque vous ajoutez une configuration de sécurité à un robot ou à une tâche qui accède aux magasins de données JDBC, vous AWS Glue devez disposer d'un itinéraire vers le point de terminaison. AWS KMS Vous pouvez fournir l'itinéraire à l'aide d'une passerelle de traduction d'adresses réseau (NAT) ou d'un point de AWS KMS terminaison VPC. Pour créer une passerelle NAT, veuillez consulter [Passerelles NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) dans le *Guide de l'utilisateur Amazon VPC*.
# Gestion des configurations de sécurité sur la console AWS Glue
**Avertissement**
AWS Glue les configurations de sécurité ne sont actuellement pas prises en charge dans les tâches Ray.
Une *configuration de sécurité* dans AWS Glue contient les propriétés nécessaires lorsque vous écrivez des données chiffrées. Vous créez des configurations de sécurité sur la console AWS Glue pour fournir les propriétés de chiffrement qui sont utilisés par les crawlers, les tâches et des points de terminaison de développement.
Pour afficher la liste de toutes les configurations de sécurité que vous avez créées, ouvrez la console AWS Glue à l'adresse [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/) et choisissez **Configurations de sécurité** dans le volet de navigation.
La liste **Configurations de sécurité** affiche les propriétés suivantes pour chaque configuration :
**Nom**
Nom unique fourni lors de la création de la configuration. Le nom peut contenir des lettres (A à Z), des chiffres (0 à 9), des tirets (-) ou des traits de soulignement (\$1) et jusqu'à 255 caractères.
**Activer le chiffrement Amazon S3**
Si cette option est activée, le mode de chiffrement Amazon Simple Storage Service (Amazon S3) tel que `SSE-KMS` ou `SSE-S3` est activé pour le magasin de métadonnées du catalogue de données.
**Activer le chiffrement CloudWatch des journaux Amazon**
S'il est activé, le mode de chiffrement Amazon S3, tel qu'`SSE-KMS`il est activé lors de l'écriture de journaux sur Amazon CloudWatch.
**Paramètres avancés : activer le chiffrement des signets de tâches**
Si cette option est activée, le mode de chiffrement Amazon S3 tel que `CSE-KMS` est activé lorsque les tâches sont marquées d'un signet.
Vous pouvez ajouter ou supprimer des configurations dans la section **Configurations de sécurité** sur la console. Pour afficher plus de détails sur une configuration, choisissez son nom dans la liste. Les détails incluent les informations que vous avez définies lors de la création de la configuration.
## Ajout d'une configuration de sécurité
Pour ajouter une configuration de sécurité à l'aide de la console AWS Glue, dans la page **Security Configurations** (Configurations de sécurité), choisissez **Add security configuration** (Ajouter une configuration de sécurité).
![\[La capture d'écran montre la page Ajouter une configuration de sécurité.\]](http://docs.aws.amazon.com/fr_fr/glue/latest/dg/images/add_security_configuration.png)
**Propriétés de configuration de sécurité**
Saisissez un nom de configuration de sécurité unique. Le nom peut contenir des lettres (A à Z), des chiffres (0 à 9), des tirets (-) ou des traits de soulignement (\$1) et jusqu'à 255 caractères.
**Paramètres de chiffrement**
Vous pouvez activer le chiffrement au repos pour les métadonnées stockées dans le catalogue de données d'Amazon S3 et les journaux d'Amazon CloudWatch. Pour configurer le chiffrement des données et des métadonnées à l'aide des clés AWS Key Management Service (AWS KMS) sur la AWS Glue console, ajoutez une politique à l'utilisateur de la console. Cette politique doit spécifier les ressources autorisées sous forme de noms de ressources Amazon clés (ARNs) utilisés pour chiffrer les magasins de données Amazon S3, comme dans l'exemple suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:Encrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id"
}
}
```
------
**Important**
Lorsqu'une configuration de sécurité est attachée à un robot ou à une tâche, le rôle IAM transmis doit disposer AWS KMS d'autorisations. Pour de plus amples informations, veuillez consulter [Chiffrement des données écrites par AWS Glue](encryption-security-configuration.md).
Lorsque vous définissez une configuration, vous pouvez fournir les valeurs des propriétés suivantes :
**Activer le chiffrement S3**
Lorsque vous écrivez des données Amazon S3, vous utilisez soit le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3), soit le chiffrement côté serveur avec AWS KMS des clés gérées (SSE-KMS). Ce champ est facultatif. Pour autoriser l'accès à Amazon S3, choisissez une AWS KMS clé ou choisissez **Enter a key ARN** et fournissez l'ARN de la clé. Entrez l'ARN sous la forme `arn:aws:kms:region:account-id:key/key-id`. Vous pouvez également fournir l'ARN sous la forme d'un alias de clé, (par exemple,) `arn:aws:kms:region:account-id:alias/alias-name`.
Si vous activez l'interface utilisateur Spark pour votre tâche, le fichier journal de l'interface utilisateur Spark chargé sur Amazon S3 sera appliqué avec le même chiffrement.
AWS Gluene prend en charge que les clés principales symétriques du client (CMKs). La liste de **AWS KMS key (clé KMS)** n'affiche que des clés symétriques. Toutefois, si vous sélectionnez **Choisir un ARN de AWS KMS clé**, la console vous permet de saisir un ARN pour n'importe quel type de clé. Assurez-vous de n'entrer que ARNs pour les clés symétriques.
**Activer le chiffrement CloudWatch des journaux**
Le chiffrement côté serveur (SSE-KMS) est utilisé pour chiffrer les journaux. CloudWatch Ce champ est facultatif. Pour l'activer, choisissez une AWS KMS clé ou choisissez **Enter a key ARN et indiquez** l'ARN de la clé. Entrez l'ARN sous la forme `arn:aws:kms:region:account-id:key/key-id`. Vous pouvez également fournir l'ARN sous la forme d'un alias de clé, (par exemple,) `arn:aws:kms:region:account-id:alias/alias-name`.
**Paramètres avancés : chiffrement des signets de tâches**
Le chiffrement côté client (CSE-KMS) est utilisé pour chiffrer les signets de tâche. Ce champ est facultatif. Les données de signet sont chiffrées avant d'être envoyées à Amazon S3 en vue de leur stockage. Pour l'activer, choisissez une AWS KMS clé ou choisissez **Enter a key ARN et indiquez** l'ARN de la clé. Entrez l'ARN sous la forme `arn:aws:kms:region:account-id:key/key-id`. Vous pouvez également fournir l'ARN sous la forme d'un alias de clé, (par exemple,) `arn:aws:kms:region:account-id:alias/alias-name`.
Pour en savoir plus, consulter les rubriques suivantes dans le *Guide de l'utilisateur d'Amazon Simple Storage Service* :
+ Pour en savoir plus sur `SSE-S3`, consultez [Protecting Data Using Server-Side Encryption with Amazon S3-Managed Encryption Keys (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) (Protection des données à l'aide du chiffrement côté serveur avec les clés de chiffrement gérées par Amazon S3 (SSE-S3)).
+ Pour plus d'informations sur`SSE-KMS`, consultez [la section Protection des données à l'aide du chiffrement côté serveur avec](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). AWS KMS keys
+ Pour plus d'informations sur `CSE-KMS`, veuillez consulter [Using a KMS key stored in AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-kms-managed-master-key-intro).