Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mendaftarkan lokasi Amazon S3 terenkripsi
<a name="register-encrypted"></a>

Lake Formation terintegrasi dengan [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS) untuk memungkinkan Anda mengatur layanan terintegrasi lainnya dengan lebih mudah untuk mengenkripsi dan mendekripsi data di lokasi Amazon Simple Storage Service (Amazon S3).

Baik pelanggan dikelola AWS KMS keys dan Kunci yang dikelola AWS didukung. Saat ini, sisi klien hanya encryption/decryption didukung dengan Athena.

Anda harus menentukan peran AWS Identity and Access Management (IAM) saat mendaftarkan lokasi Amazon S3. Untuk lokasi Amazon S3 terenkripsi, peran harus memiliki izin untuk mengenkripsi dan mendekripsi data dengan AWS KMS key, atau kebijakan kunci KMS harus memberikan izin pada kunci peran tersebut.

**penting**  
Hindari mendaftarkan bucket Amazon S3 yang mengaktifkan **Requester pay**. Untuk ember yang terdaftar di Lake Formation, peran yang digunakan untuk mendaftarkan ember selalu dipandang sebagai pemohon. Jika bucket diakses oleh AWS akun lain, pemilik bucket akan dikenakan biaya untuk akses data jika peran tersebut milik akun yang sama dengan pemilik bucket.

Lake Formation menggunakan peran terkait layanan untuk mendaftarkan lokasi data Anda. Namun, peran ini memiliki beberapa [keterbatasan](service-linked-role-limitations.md). Karena kendala ini, kami sarankan untuk membuat dan menggunakan peran IAM khusus sebagai gantinya untuk lebih banyak fleksibilitas dan kontrol. Peran kustom yang Anda buat untuk mendaftarkan lokasi harus memenuhi persyaratan yang ditentukan dalam[Persyaratan untuk peran yang digunakan untuk mendaftarkan lokasi](registration-role.md).

**penting**  
Jika Anda menggunakan Kunci yang dikelola AWS untuk mengenkripsi lokasi Amazon S3, Anda tidak dapat menggunakan peran terkait layanan Lake Formation. Anda harus menggunakan peran khusus dan menambahkan izin IAM pada kunci peran. Detail diberikan nanti di bagian ini.

Prosedur berikut menjelaskan cara mendaftarkan lokasi Amazon S3 yang dienkripsi dengan kunci yang dikelola pelanggan atau. Kunci yang dikelola AWS
+ [Mendaftarkan lokasi yang dienkripsi dengan kunci yang dikelola pelanggan](#proc-register-cust-cmk)
+ [Mendaftarkan lokasi yang dienkripsi dengan Kunci yang dikelola AWS](#proc-register-aws-cmk)

**Sebelum Anda Memulai**  
Tinjau [persyaratan untuk peran yang digunakan untuk mendaftarkan lokasi](registration-role.md).<a name="proc-register-cust-cmk"></a>

**Untuk mendaftarkan lokasi Amazon S3 yang dienkripsi dengan kunci yang dikelola pelanggan**
**catatan**  
Jika kunci KMS atau lokasi Amazon S3 tidak berada di akun AWS yang sama dengan Katalog Data, ikuti petunjuknya[Mendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS](register-cross-encrypted.md).

1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) dan masuk sebagai pengguna administratif AWS Identity and Access Management (IAM) atau sebagai pengguna yang dapat memodifikasi kebijakan kunci kunci KMS yang digunakan untuk mengenkripsi lokasi.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**, lalu pilih nama kunci KMS yang diinginkan.

1. Pada halaman detail kunci KMS, pilih tab **Kebijakan kunci**, lalu lakukan salah satu hal berikut untuk menambahkan peran kustom Anda atau peran terkait layanan Lake Formation sebagai pengguna kunci KMS:
   + **Jika tampilan default ditampilkan** (dengan **administrator Kunci**, **Penghapusan kunci**, **Pengguna kunci**, dan bagian ** AWS Akun lainnya**) — Di bawah bagian **Pengguna kunci**, tambahkan peran kustom Anda atau peran terkait layanan Lake Formation. `AWSServiceRoleForLakeFormationDataAccess`
   + **Jika kebijakan kunci (JSON) ditampilkan** — Edit kebijakan untuk menambahkan peran kustom Anda atau peran terkait layanan Lake Formation `AWSServiceRoleForLakeFormationDataAccess` ke objek “Izinkan penggunaan kunci,” seperti yang ditunjukkan pada contoh berikut.
**catatan**  
Jika objek itu hilang, tambahkan dengan izin yang ditunjukkan dalam contoh. Contoh menggunakan peran terkait layanan.

     ```
             ...
             {
                 "Sid": "Allow use of the key",
                 "Effect": "Allow",
                 "Principal": {
                     "AWS": [
                         "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
                         "arn:aws:iam::111122223333:user/keyuser"
                     ]
                 },
                 "Action": [
                     "kms:Encrypt",
                     "kms:Decrypt",
                     "kms:ReEncrypt*",
                     "kms:GenerateDataKey*",
                     "kms:DescribeKey"
                 ],
                 "Resource": "*"
             },
             ...
     ```

1. Buka AWS Lake Formation konsol di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Masuk sebagai administrator data lake atau sebagai pengguna dengan izin `lakeformation:RegisterResource` IAM.

1. Di panel navigasi, di bawah **Administrasi**, pilih **Lokasi danau data**.

1. Pilih **Daftar lokasi**, lalu pilih **Browse** untuk memilih jalur Amazon Simple Storage Service (Amazon S3).

1. (Opsional, tetapi sangat disarankan) Pilih **Tinjau izin lokasi** untuk melihat daftar semua sumber daya yang ada di lokasi Amazon S3 yang dipilih dan izinnya. 

   Mendaftarkan lokasi yang dipilih dapat mengakibatkan pengguna Lake Formation Anda mendapatkan akses ke data yang sudah ada di lokasi tersebut. Melihat daftar ini membantu Anda memastikan bahwa data yang ada tetap aman.

1. Untuk **peran IAM**, pilih peran `AWSServiceRoleForLakeFormationDataAccess` terkait layanan (default) atau peran kustom Anda yang memenuhi. [Persyaratan untuk peran yang digunakan untuk mendaftarkan lokasi](registration-role.md)

1. Pilih **Daftar lokasi**.

Untuk informasi selengkapnya tentang peran tertaut layanan, lihat [Izin peran terkait layanan untuk Lake Formation](service-linked-roles.md#service-linked-role-permissions).<a name="proc-register-aws-cmk"></a>

**Untuk mendaftarkan lokasi Amazon S3 yang dienkripsi dengan Kunci yang dikelola AWS**
**penting**  
Jika lokasi Amazon S3 tidak berada di AWS akun yang sama dengan Katalog Data, ikuti petunjuknya[Mendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS](register-cross-encrypted.md).

1. Buat peran IAM yang akan digunakan untuk mendaftarkan lokasi. Pastikan memenuhi persyaratan yang tercantum di[Persyaratan untuk peran yang digunakan untuk mendaftarkan lokasi](registration-role.md).

1. Tambahkan kebijakan inline berikut ke peran. Ini memberikan izin pada kunci peran. `Resource`Spesifikasi harus menunjuk Nama Sumber Daya Amazon (ARN) dari. Kunci yang dikelola AWS Anda dapat memperoleh ARN dari konsol. AWS KMS Untuk mendapatkan ARN yang benar, pastikan Anda masuk ke AWS KMS konsol dengan AWS akun dan Wilayah yang sama dengan Kunci yang dikelola AWS yang digunakan untuk mengenkripsi lokasi.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "kms:Encrypt",
           "kms:Decrypt",
           "kms:ReEncrypt*",
           "kms:GenerateDataKey*",
           "kms:DescribeKey"
         ],
         "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
       }
     ]
   }
   ```

------

   Anda dapat menggunakan alias kunci KMS alih-alih ID kunci - `arn:aws:kms:region:account-id:key/alias/your-key-alias`

   Untuk informasi selengkapnya, lihat [Alias di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) bagian Panduan AWS Key Management Service Pengembang.

1. Buka AWS Lake Formation konsol di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Masuk sebagai administrator data lake atau sebagai pengguna dengan izin `lakeformation:RegisterResource` IAM.

1. Di panel navigasi, di bawah **Administrasi**, pilih **Lokasi danau data**.

1. Pilih **Daftarkan lokasi**, lalu pilih **Jelajahi** untuk memilih jalur Amazon S3.

1. (Opsional, tetapi sangat disarankan) Pilih **Tinjau izin lokasi** untuk melihat daftar semua sumber daya yang ada di lokasi Amazon S3 yang dipilih dan izinnya. 

   Mendaftarkan lokasi yang dipilih dapat mengakibatkan pengguna Lake Formation Anda mendapatkan akses ke data yang sudah ada di lokasi tersebut. Melihat daftar ini membantu Anda memastikan bahwa data yang ada tetap aman.

1. Untuk **peran IAM**, pilih peran yang Anda buat di Langkah 1.

1. Pilih **Daftar lokasi**.