Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Chiffrement des données écrites par AWS Glue
<a name="encryption-security-configuration"></a>

Une *configuration de sécurité* est un ensemble de propriétés de sécurité pouvant être utilisées par AWS Glue. Vous pouvez utiliser une configuration de sécurité pour chiffrer les données au repos. Les scénarios suivants illustrent les différentes façons dont vous pouvez utiliser une configuration de sécurité. 
+ Associez une configuration de sécurité à un AWS Glue robot d'exploration pour écrire des Amazon CloudWatch Logs chiffrés. Pour plus d’informations sur l’attachement de configurations de sécurité aux robots, consultez [Étape 3 : Configurer les paramètres de sécurité](define-crawler-configure-security-settings.md).
+ Associez une configuration de sécurité à une tâche d'extraction, de transformation et de chargement (ETL) pour écrire des cibles Amazon Simple Storage Service (Amazon S3) chiffrées et CloudWatch des journaux chiffrés.
+ Attacher une configuration de sécurité à une tâche ETL pour écrire ses signets de tâche sous forme de données Amazon S3 chiffrées.
+ Attacher une configuration de sécurité à un point de terminaison de développement pour écrire des cibles Amazon S3 chiffrées.

**Important**  
Actuellement, une configuration de sécurité remplace tout paramètre de chiffrement côté serveur (SSE-S3) qui est transmis en tant que paramètre de tâche ETL. Par conséquent, si une configuration de sécurité et un paramètre SSE-S3 sont associés à une tâche, le paramètre SSE-S3 est ignoré.

Pour plus d'informations sur les configurations de sécurité, consultez [Gestion des configurations de sécurité sur la console AWS Glue](console-security-configurations.md).

**Topics**
+ [

## Configuration d'AWS Glue pour utiliser des configurations de sécurité
](#encryption-setup-Glue)
+ [

## Création d'un itinéraire AWS KMS pour les tâches VPC et les robots d'exploration
](#encryption-kms-vpc-endpoint)
+ [

# Gestion des configurations de sécurité sur la console AWS Glue
](console-security-configurations.md)

## Configuration d'AWS Glue pour utiliser des configurations de sécurité
<a name="encryption-setup-Glue"></a>

Exécutez les étapes suivantes pour configurer votre environnement AWS Glue pour utiliser des configurations de sécurité.

1. Créez ou mettez à jour vos clés AWS Key Management Service (AWS KMS) pour accorder AWS KMS des autorisations aux rôles IAM qui sont transmis aux AWS Glue robots d'exploration et aux tâches pour chiffrer CloudWatch les journaux. Pour plus d'informations, consultez la section [Chiffrer les données de journal dans CloudWatch les journaux à l'aide AWS KMS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) du *guide de l'utilisateur Amazon CloudWatch Logs*. 

   Dans l'exemple suivant, *"role1"**"role2"*, et *"role3"* sont des rôles IAM transmis aux robots d'exploration et aux tâches.

   ```
   {
          "Effect": "Allow",
          "Principal": { "Service": "logs.region.amazonaws.com",
          "AWS": [
                   "role1",
                   "role2",
                   "role3"
                ] },
                       "Action": [
                              "kms:Encrypt*",
                              "kms:Decrypt*",
                              "kms:ReEncrypt*",
                              "kms:GenerateDataKey*",
                              "kms:Describe*"
                       ],
                       "Resource": "*"
   }
   ```

   L'`Service`instruction, représentée sous la forme`"Service": "logs.region.amazonaws.com"`, est obligatoire si vous utilisez la clé pour chiffrer CloudWatch les journaux.

1. Assurez-vous que la AWS KMS clé est bien `ENABLED` là avant de l'utiliser.

**Note**  
Si vous utilisez Iceberg comme cadre de lac de données, les tables Iceberg disposent de leurs propres mécanismes pour activer le chiffrement côté serveur. Vous devez activer ces configurations en plus des configurations AWS Glue de sécurité. Pour activer le chiffrement côté serveur sur les tables Iceberg, consultez les conseils de la [documentation d'Iceberg](https://iceberg.apache.org/docs/latest/aws/#s3-server-side-encryption).

## Création d'un itinéraire AWS KMS pour les tâches VPC et les robots d'exploration
<a name="encryption-kms-vpc-endpoint"></a>

Vous pouvez vous connecter directement à AWS KMS via un point de terminaison privé dans votre VPC au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison VPC, la communication entre votre VPC et celui-ci AWS KMS s'effectue entièrement au sein du réseau. AWS 

Vous pouvez créer un point de terminaison AWS KMS VPC au sein d'un VPC. Sans cette étape, vos tâches ou crawlers peuvent échouer avec un `kms timeout` sur les tâches ou une `internal service exception` sur les crawlers. Pour obtenir des instructions détaillées, consultez la section [Connexion AWS KMS via un point de terminaison VPC](https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html) dans le guide du *AWS Key Management Service développeur*. 

Au fur et à mesure que vous suivez ces instructions, sur la [console VPC](https://console.aws.amazon.com//vpc),vous devez effectuer les opérations suivantes :
+ Sélectionnez **Enable Private DNS name (Activer le nom DNS privé)**.
+ Choisissez le **groupe de sécurité** (avec une règle à référence circulaire) que vous utilisez pour votre tâche ou votre crawler qui accède à Java Database Connectivity (JDBC). Pour plus d’informations sur les connexions AWS Glue, consultez [Connexion aux données](glue-connections.md).

Lorsque vous ajoutez une configuration de sécurité à un robot ou à une tâche qui accède aux magasins de données JDBC, vous AWS Glue devez disposer d'un itinéraire vers le point de terminaison. AWS KMS Vous pouvez fournir l'itinéraire à l'aide d'une passerelle de traduction d'adresses réseau (NAT) ou d'un point de AWS KMS terminaison VPC. Pour créer une passerelle NAT, veuillez consulter [Passerelles NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) dans le *Guide de l'utilisateur Amazon VPC*.

# Gestion des configurations de sécurité sur la console AWS Glue
<a name="console-security-configurations"></a>

**Avertissement**  
AWS Glue les configurations de sécurité ne sont actuellement pas prises en charge dans les tâches Ray.

Une *configuration de sécurité* dans AWS Glue contient les propriétés nécessaires lorsque vous écrivez des données chiffrées. Vous créez des configurations de sécurité sur la console AWS Glue pour fournir les propriétés de chiffrement qui sont utilisés par les crawlers, les tâches et des points de terminaison de développement. 

Pour afficher la liste de toutes les configurations de sécurité que vous avez créées, ouvrez la console AWS Glue à l'adresse [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/) et choisissez **Configurations de sécurité** dans le volet de navigation.

La liste **Configurations de sécurité** affiche les propriétés suivantes pour chaque configuration :

**Nom**  
Nom unique fourni lors de la création de la configuration. Le nom peut contenir des lettres (A à Z), des chiffres (0 à 9), des tirets (-) ou des traits de soulignement (\$1) et jusqu'à 255 caractères.

**Activer le chiffrement Amazon S3**  
Si cette option est activée, le mode de chiffrement Amazon Simple Storage Service (Amazon S3) tel que `SSE-KMS` ou `SSE-S3` est activé pour le magasin de métadonnées du catalogue de données.

**Activer le chiffrement CloudWatch des journaux Amazon**  
S'il est activé, le mode de chiffrement Amazon S3, tel qu'`SSE-KMS`il est activé lors de l'écriture de journaux sur Amazon CloudWatch.

**Paramètres avancés : activer le chiffrement des signets de tâches**  
Si cette option est activée, le mode de chiffrement Amazon S3 tel que `CSE-KMS` est activé lorsque les tâches sont marquées d'un signet.

Vous pouvez ajouter ou supprimer des configurations dans la section **Configurations de sécurité** sur la console. Pour afficher plus de détails sur une configuration, choisissez son nom dans la liste. Les détails incluent les informations que vous avez définies lors de la création de la configuration.

## Ajout d'une configuration de sécurité
<a name="console-security-configurations-wizard"></a>

 Pour ajouter une configuration de sécurité à l'aide de la console AWS Glue, dans la page **Security Configurations** (Configurations de sécurité), choisissez **Add security configuration** (Ajouter une configuration de sécurité). 

![\[La capture d'écran montre la page Ajouter une configuration de sécurité.\]](http://docs.aws.amazon.com/fr_fr/glue/latest/dg/images/add_security_configuration.png)


 **Propriétés de configuration de sécurité** 

 Saisissez un nom de configuration de sécurité unique. Le nom peut contenir des lettres (A à Z), des chiffres (0 à 9), des tirets (-) ou des traits de soulignement (\$1) et jusqu'à 255 caractères. 

 **Paramètres de chiffrement** 

Vous pouvez activer le chiffrement au repos pour les métadonnées stockées dans le catalogue de données d'Amazon S3 et les journaux d'Amazon CloudWatch. Pour configurer le chiffrement des données et des métadonnées à l'aide des clés AWS Key Management Service (AWS KMS) sur la AWS Glue console, ajoutez une politique à l'utilisateur de la console. Cette politique doit spécifier les ressources autorisées sous forme de noms de ressources Amazon clés (ARNs) utilisés pour chiffrer les magasins de données Amazon S3, comme dans l'exemple suivant.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:GenerateDataKey",
      "kms:Decrypt",
      "kms:Encrypt"
    ],
    "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id"
  }
}
```

------

**Important**  
Lorsqu'une configuration de sécurité est attachée à un robot ou à une tâche, le rôle IAM transmis doit disposer AWS KMS d'autorisations. Pour de plus amples informations, veuillez consulter [Chiffrement des données écrites par AWS Glue](encryption-security-configuration.md).

Lorsque vous définissez une configuration, vous pouvez fournir les valeurs des propriétés suivantes :

**Activer le chiffrement S3**  
Lorsque vous écrivez des données Amazon S3, vous utilisez soit le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3), soit le chiffrement côté serveur avec AWS KMS des clés gérées (SSE-KMS). Ce champ est facultatif. Pour autoriser l'accès à Amazon S3, choisissez une AWS KMS clé ou choisissez **Enter a key ARN** et fournissez l'ARN de la clé. Entrez l'ARN sous la forme `arn:aws:kms:region:account-id:key/key-id`. Vous pouvez également fournir l'ARN sous la forme d'un alias de clé, (par exemple,) `arn:aws:kms:region:account-id:alias/alias-name`.   
Si vous activez l'interface utilisateur Spark pour votre tâche, le fichier journal de l'interface utilisateur Spark chargé sur Amazon S3 sera appliqué avec le même chiffrement.  
AWS Gluene prend en charge que les clés principales symétriques du client (CMKs). La liste de **AWS KMS key (clé KMS)** n'affiche que des clés symétriques. Toutefois, si vous sélectionnez **Choisir un ARN de AWS KMS clé**, la console vous permet de saisir un ARN pour n'importe quel type de clé. Assurez-vous de n'entrer que ARNs pour les clés symétriques.

**Activer le chiffrement CloudWatch des journaux**  
Le chiffrement côté serveur (SSE-KMS) est utilisé pour chiffrer les journaux. CloudWatch Ce champ est facultatif. Pour l'activer, choisissez une AWS KMS clé ou choisissez **Enter a key ARN et indiquez** l'ARN de la clé. Entrez l'ARN sous la forme `arn:aws:kms:region:account-id:key/key-id`. Vous pouvez également fournir l'ARN sous la forme d'un alias de clé, (par exemple,) `arn:aws:kms:region:account-id:alias/alias-name`. 

**Paramètres avancés : chiffrement des signets de tâches**  
Le chiffrement côté client (CSE-KMS) est utilisé pour chiffrer les signets de tâche. Ce champ est facultatif. Les données de signet sont chiffrées avant d'être envoyées à Amazon S3 en vue de leur stockage. Pour l'activer, choisissez une AWS KMS clé ou choisissez **Enter a key ARN et indiquez** l'ARN de la clé. Entrez l'ARN sous la forme `arn:aws:kms:region:account-id:key/key-id`. Vous pouvez également fournir l'ARN sous la forme d'un alias de clé, (par exemple,) `arn:aws:kms:region:account-id:alias/alias-name`.

Pour en savoir plus, consulter les rubriques suivantes dans le *Guide de l'utilisateur d'Amazon Simple Storage Service* :
+ Pour en savoir plus sur `SSE-S3`, consultez [Protecting Data Using Server-Side Encryption with Amazon S3-Managed Encryption Keys (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) (Protection des données à l'aide du chiffrement côté serveur avec les clés de chiffrement gérées par Amazon S3 (SSE-S3)). 
+ Pour plus d'informations sur`SSE-KMS`, consultez [la section Protection des données à l'aide du chiffrement côté serveur avec](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). AWS KMS keys
+ Pour plus d'informations sur `CSE-KMS`, veuillez consulter [Using a KMS key stored in AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-kms-managed-master-key-intro).