Crittografia di notebook e file dell'area di lavoro EMR Studio

In EMR Studio, è possibile creare e configurare diverse aree di lavoro per organizzare ed eseguire notebook. Questi spazi di lavoro archiviano notebook e file correlati nel bucket Amazon S3 specificato. Per impostazione predefinita, questi file sono crittografati con chiavi gestite da Amazon S3 (SSE-S3) con crittografia lato server come livello base di crittografia. Puoi anche scegliere di utilizzare chiavi KMS gestite dal cliente (SSE-KMS) per crittografare i tuoi file. Puoi farlo utilizzando la console di gestione Amazon EMR o tramite l' AWS SDK AWS CLI and durante la creazione di un EMR Studio.

La crittografia dello storage dell'area di lavoro di EMR Studio è disponibile in tutte le regioni in cui è disponibile EMR Studio.

Prerequisiti

Prima di poter crittografare gli appunti e i file dell'area di lavoro di EMR Studio, è necessario AWS Key Management Service creare una chiave CMK (Symmetric Customer Manager Key) nella stessa Account AWS regione di EMR Studio.

La politica delle risorse dell'utente AWS KMS deve disporre delle autorizzazioni di accesso necessarie per il ruolo di servizio di EMR Studio. Di seguito è riportato un esempio di policy IAM che concede autorizzazioni di accesso minime per la crittografia dello storage EMR Studio Workspace:


{
    "Sid": "AllowEMRStudioServiceRoleAccess",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>"
    },
    "Action": [
        "kms:Decrypt", 
        "kms:GenerateDataKey", 
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "<ACCOUNT_ID>",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::<S3_BUCKET_NAME>",
            "kms:ViaService": "s3.<AWS_REGION>.amazonaws.com"
        }
    }
}

Il ruolo del servizio EMR Studio deve inoltre disporre delle autorizzazioni di accesso per utilizzare la chiave. AWS KMS Di seguito è riportato un esempio di policy IAM che concede le autorizzazioni di accesso minime per la crittografia dello storage EMR Studio Workspace:

Crea un nuovo EMR Studio

Segui questi passaggi per creare un nuovo EMR Studio che utilizzi la crittografia dello storage del workspace.

Apri la console di Amazon EMR all'indirizzo https://console.aws.amazon.com/elasticmapreduce/.
Scegli Studios, quindi scegli Create Studio.
Per la posizione S3 per lo storage, inserisci o scegli un percorso Amazon S3. Questa è la posizione Amazon S3 in cui Amazon EMR archivia i notebook e i file dell'area di lavoro.
Per il ruolo Service, inserisci o scegli un ruolo IAM. Questo è il ruolo IAM che Amazon EMR assume.
Scegli Encrypt Workspace files con la tua chiave. AWS KMS
Inserisci o scegli una AWS KMS chiave da utilizzare per crittografare i notebook e i file dell'area di lavoro in Amazon S3.
Scegli Create Studio o Create Studio e Launch Workspaces.
Scegli Encrypt Workspace file con la tua chiave. AWS KMS
Inserisci o scegli uno AWS KMS da utilizzare per crittografare i notebook e i file dell'area di lavoro in Amazon S3.
Seleziona Salva modifiche.

I passaggi seguenti mostrano come aggiornare un EMR Studio e configurare la crittografia dello storage del workspace.

Apri la console di Amazon EMR all'indirizzo https://console.aws.amazon.com/elasticmapreduce/.
Scegli un EMR Studio esistente dall'elenco, quindi scegli Modifica.
Scegli Encrypt Workspace file con la tua chiave. AWS KMS
Inserisci o scegli uno AWS KMS da utilizzare per crittografare i notebook e i file dell'area di lavoro in Amazon S3.
Seleziona Salva modifiche.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Monitora, aggiorna ed elimina le risorse di Amazon EMR Studio

Controllo del traffico di rete EMR Studio