Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi saat istirahat menggunakan kunci KMS pelanggan untuk layanan EMR WAL
EMR write-ahead logs (WAL) menyediakan dukungan kunci KMS pelanggan. encryption-at-rest Rincian berikut pada tingkat tinggi bagaimana Amazon EMR WAL terintegrasi dengan: AWS KMS
EMR write-ahead logs (WAL) berinteraksi dengan AWS selama operasi berikut:CreateWAL,,,,AppendEdit, ArchiveWALCheckPointCompleteWALFlush, DeleteWAL GetCurrentWALTimeReplayEdits, TrimWAL melalui secara EMR_EC2_DefaultRole default Ketika setiap operasi sebelumnya yang terdaftar dipanggil, EMR WAL Decrypt membuat dan melawan kunci KMS. GenerateDataKey
Pertimbangan
Pertimbangkan hal berikut saat menggunakan enkripsi AWS KMS berbasis untuk EMR WAL:
-
Konfigurasi enkripsi tidak dapat diubah setelah EMR WAL dibuat.
-
Saat Anda menggunakan enkripsi KMS dengan kunci KMS Anda sendiri, kunci harus ada di wilayah yang sama dengan cluster EMR Amazon Anda.
-
Anda bertanggung jawab untuk mempertahankan semua izin IAM yang diperlukan dan disarankan untuk tidak mencabut izin yang diperlukan selama masa pakai WAL. Jika tidak, itu akan menyebabkan skenario kegagalan yang tidak terduga, seperti ketidakmampuan untuk menghapus EMR WAL, karena kunci enkripsi terkait tidak ada.
-
Ada biaya yang terkait dengan penggunaan AWS KMS kunci. Untuk informasi lebih lanjut, lihat Harga AWS Key Management Service
.
Izin IAM yang Diperlukan
Untuk menggunakan kunci KMS pelanggan Anda untuk mengenkripsi EMR WAL saat istirahat, Anda perlu memastikan Anda menetapkan izin yang tepat untuk peran klien EMR WAL dan prinsip layanan EMR WAL. emrwal.amazonaws.com
Izin untuk peran klien EMR WAL
Di bawah ini adalah kebijakan IAM yang diperlukan untuk peran klien EMR WAL:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", ], "Resource": "*" } }
Klien EMR WAL pada EMR cluster akan digunakan secara default. EMR_EC2_DefaultRole Jika Anda menggunakan peran yang berbeda untuk profil instance di kluster EMR, pastikan setiap peran memiliki izin yang sesuai.
Untuk informasi selengkapnya tentang mengelola kebijakan peran, lihat Menambahkan dan menghapus izin identitas IAM.
Izin untuk kebijakan kunci KMS
Anda perlu memberikan peran klien EMR WAL dan layanan EMR WAL Decrypt dan GenerateDataKey* izin dalam kebijakan KMS Anda. Untuk informasi lebih lanjut tentang manajemen kebijakan utama, lihat kebijakan kunci KMS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::accountID:role/EMR_EC2_DefaultRole" ], "Service": [ "emrwal.amazonaws.com" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": [ "*" ] } ] }
Peran yang ditentukan dalam cuplikan dapat berubah jika Anda mengubah peran default.
Memantau interaksi Amazon EMR WAL dengan AWS KMS
Konteks enkripsi Amazon EMR WAL
Konteks enkripsi adalah sekumpulan pasangan kunci-nilai yang berisi data non-rahasia arbitrer. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, secara AWS KMS kriptografis mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama.
Dalam permintaannya GenerateDataKeydan Dekripsi ke, AWS KMS Amazon EMR WAL menggunakan konteks enkripsi dengan satu pasangan nama-nilai yang mengidentifikasi nama EMR WAL.
"encryptionContext": { "aws:emrwal:walname": "111222333444555-testworkspace-emrwalclustertest-emrwaltestwalname" }
Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi operasi kriptografi ini dalam catatan audit dan log, seperti AWS CloudTrail dan Amazon CloudWatch Logs, dan sebagai syarat untuk otorisasi dalam kebijakan dan hibah.
