Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menyiapkan enkripsi di AWS Glue
Alur kerja contoh berikut menyoroti opsi untuk mengkonfigurasi ketika Anda menggunakan enkripsi dengan AWS Glue. Contoh menunjukkan penggunaan kunci spesifik AWS Key Management Service (AWS KMS), tetapi Anda dapat memilih pengaturan lain berdasarkan kebutuhan khusus Anda. Alur kerja ini hanya menyoroti opsi yang berkaitan dengan enkripsi saat menyiapkan AWS Glue.
1. Jika pengguna konsol AWS Glue tidak menggunakan kebijakan izin yang mengizinkan semua operasi API AWS Glue (misalnya, `"glue:*"`), maka konfirmasikan bahwa tindakan berikut diizinkan:
+ `"glue:GetDataCatalogEncryptionSettings"`
+ `"glue:PutDataCatalogEncryptionSettings"`
+ `"glue:CreateSecurityConfiguration"`
+ `"glue:GetSecurityConfiguration"`
+ `"glue:GetSecurityConfigurations"`
+ `"glue:DeleteSecurityConfiguration"`
1. Setiap klien yang mengakses atau menulis ke katalog terenkripsi—yaitu, pengguna konsol, crawler, tugas, atau titik akhir pengembangan—memerlukan izin berikut.
1. Setiap pengguna atau peran yang mengakses kata sandi koneksi terenkripsi memerlukan izin berikut.
1. Peran dari setiap tugas extract, transform, and load (ETL) yang menulis data terenkripsi ke Amazon S3 membutuhkan izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id"
}
}
```
------
1. Setiap pekerjaan ETL atau crawler yang menulis Log CloudWatch Amazon terenkripsi memerlukan izin berikut dalam kebijakan kunci dan IAM.
Dalam kebijakan utama (bukan kebijakan IAM):
```
{
"Effect": "Allow",
"Principal": {
"Service": "logs.region.amazonaws.com"
},
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": ""
}
```
Untuk informasi selengkapnya tentang kebijakan kunci, lihat [Menggunakan Kebijakan Kunci di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dalam *Panduan Developer AWS Key Management Service *.
Dalam kebijakan IAM lampirkan `logs:AssociateKmsKey` izin:
```
{
"Effect": "Allow",
"Principal": {
"Service": "logs.region.amazonaws.com"
},
"Action": [
"logs:AssociateKmsKey"
],
"Resource": ""
}
```
1. Setiap tugas ETL yang menggunakan bookmark tugas terenkripsi memerlukan izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
}
}
```
------
1. Pada konsol AWS Glue, pilih **Pengaturan** dalam panel navigasi.
1. Pada halaman **Pengaturan katalog data**, enkripsi Katalog Data Anda dengan memilih **Enkripsi metadata**. Opsi ini mengenkripsi semua objek dalam Katalog Data dengan AWS KMS kunci yang Anda pilih.
1. Untuk **kunci AWS KMS **, pilih **aws/glue**. Anda juga dapat memilih AWS KMS kunci yang Anda buat.
**penting**
AWS Gluehanya mendukung kunci master pelanggan simetris (CMKs). **Kunci AWS KMS ** hanya menampilkan kunci simetris saja. Namun, jika Anda **memilih Pilih ARN AWS KMS kunci**, konsol memungkinkan Anda memasukkan ARN untuk semua jenis kunci. Pastikan Anda memasukkan hanya ARNs untuk tombol simetris.
Ketika enkripsi diaktifkan, klien yang mengakses Katalog Data harus memiliki izin AWS KMS .
1. Di panel navigasi, pilih **Konfigurasi keamanan**. Konfigurasi keamanan adalah seperangkat properti keamanan yang dapat digunakan untuk mengkonfigurasi proses AWS Glue. Lalu pilih **Tambahkan konfigurasi keamanan**. Dalam konfigurasi, pilih salah satu opsi berikut ini:
1. Pilih **Enkripsi S3**. Untuk **Mode enkripsi**, pilih **SSE-KMS**. Untuk **kunci AWS KMS **, pilih **aws/s3** (memastikan bahwa pengguna memiliki izin untuk menggunakan kunci ini). Ini memungkinkan data yang ditulis oleh pekerjaan ke Amazon S3 untuk menggunakan kunci yang AWS dikelola AWS Glue AWS KMS .
1. Pilih **enkripsi CloudWatch log**, dan pilih CMK. (Pastikan bahwa pengguna memiliki izin untuk menggunakan kunci ini). Untuk informasi selengkapnya, lihat [Mengenkripsi Data Log di CloudWatch Log Menggunakan AWS KMS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) dalam *Panduan AWS Key Management Service Pengembang*.
**penting**
AWS Gluehanya mendukung kunci master pelanggan simetris (CMKs). **Kunci AWS KMS ** hanya menampilkan kunci simetris saja. Namun, jika Anda **memilih Pilih ARN AWS KMS kunci**, konsol memungkinkan Anda memasukkan ARN untuk semua jenis kunci. Pastikan Anda memasukkan hanya ARNs untuk tombol simetris.
1. Pilih **Properti lanjutan**, dan pilih **Enkripsi bookmark tugas**. Untuk **kunci AWS KMS **, pilih **aws/glue** (memastikan bahwa pengguna memiliki izin untuk menggunakan kunci ini). Ini memungkinkan enkripsi bookmark pekerjaan yang ditulis ke Amazon S3 dengan AWS Glue AWS KMS kuncinya.
1. Di panel navigasi, pilih **Koneksi**.
1. Pilih **Tambahkan koneksi** untuk membuat koneksi ke penyimpanan data Java Database Connectivity (JDBC) yang merupakan target dari tugas ETL Anda.
1. Untuk menerapkan itu, enkripsi Secure Sockets Layer (SSL) digunakan, pilih **Wajibkan koneksi SSL**, dan uji koneksi Anda.
1. Di panel navigasi, pilih **Tugas**.
1. Pilih **Tambahkan tugas** untuk membuat tugas yang mengubah data.
1. Dalam definisi tugas, pilih konfigurasi keamanan yang Anda buat.
1. Pada konsol AWS Glue, jalankan tugas Anda sesuai permintaan. Verifikasi bahwa data Amazon S3 apa pun yang ditulis oleh pekerjaan, CloudWatch Log yang ditulis oleh pekerjaan, dan bookmark pekerjaan semuanya dienkripsi.