Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengenkripsi data yang ditulis oleh pekerjaan DataBrew
DataBrew pekerjaan dapat menulis ke target Amazon S3 terenkripsi dan Log Amazon terenkripsi. CloudWatch
Topik
Menyiapkan DataBrew untuk menggunakan enkripsi
Ikuti prosedur ini untuk mengatur DataBrew lingkungan Anda agar menggunakan enkripsi.
Untuk mengatur DataBrew lingkungan Anda untuk menggunakan enkripsi
-
Buat atau perbarui kunci AWS KMS Anda untuk memberikan AWS KMS izin ke peran AWS Identity and Access Management(IAM) yang diteruskan ke pekerjaan. DataBrew Peran IAM ini digunakan untuk mengenkripsi CloudWatch Log dan target Amazon S3. Untuk informasi selengkapnya, lihat Mengenkripsi Data Log di CloudWatch Log Menggunakan AWS KMS di Panduan Pengguna Amazon CloudWatch Logs.
Dalam contoh berikut,,
"role1", dan"role2"merupakan peran IAM yang diteruskan ke DataBrew pekerjaan. Pernyataan kebijakan ini menjelaskan kebijakan kunci KMS yang memberikan izin ke peran IAM yang terdaftar untuk mengenkripsi dan mendekripsi dengan kunci KMS ini."role3"{ "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }ServicePernyataan, ditampilkan sebagai"Service": "logs., diperlukan jika Anda menggunakan kunci untuk mengenkripsi CloudWatch Log.region.amazonaws.com" -
Pastikan AWS KMS kunci diatur
ENABLEDsebelum digunakan.
Untuk informasi selengkapnya tentang menentukan izin menggunakan kebijakan AWS KMS utama, lihat Menggunakan kebijakan utama di.AWS KMS
Membuat rute ke AWS KMS untuk pekerjaan VPC
Anda dapat connect langsung ke AWS KMS melalui titik akhir privat di virtual private cloud (VPC) Anda alih-alih terhubung melalui internet. Saat Anda menggunakan titik akhir VPC, komunikasi antara VPC Anda dan AWS KMS dilakukan sepenuhnya di dalam jaringan.AWS
Anda dapat membuat titik akhir AWS KMS VPC dalam VPC. Tanpa langkah ini, DataBrew pekerjaan Anda mungkin gagal dengan akms timeout. Untuk petunjuk terperinci, lihat Menghubungkan ke AWS KMS Melalui Titik Akhir VPC di Panduan Pengembang.AWS Key Management Service
Saat Anda mengikuti petunjuk ini, pada konsol VPC
Pilih Aktifkan nama DNS Pribadi.
Untuk grup Keamanan, pilih grup keamanan (termasuk aturan referensi mandiri) yang Anda gunakan untuk DataBrew pekerjaan yang mengakses Java Database Connectivity (JDBC).
Ketika Anda menjalankan DataBrew pekerjaan yang mengakses penyimpanan data JDBC, DataBrew harus memiliki rute ke titik akhir.AWS KMS Anda dapat memberikan rute dengan gateway terjemahan alamat jaringan (NAT) atau dengan titik akhir AWS KMS VPC. Untuk membuat gateway NAT, lihat Gateway NAT di Panduan Pengguna Amazon VPC.
Menyiapkan enkripsi dengan AWS Kunci KMS
Saat Anda mengaktifkan enkripsi pada suatu pekerjaan, itu berlaku untuk Amazon S3 dan. CloudWatch Peran IAM yang diteruskan harus memiliki AWS KMS izin berikut.
Untuk informasi selengkapnya, lihat topik berikut di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon:
-
Untuk selengkapnya
SSE-S3, lihat Melindungi Data Menggunakan Server-Side Enkripsi dengan Kunci S3-Managed Enkripsi Amazon (SSE-S3). -
Untuk selengkapnya
SSE-KMS, lihat Melindungi Data Menggunakan Server-Side Enkripsi dengan AWS KMS—Kunci Terkelola (). SSE-KMS