Crittografia inattiva utilizzando una chiave KMS del cliente per il servizio EMR WAL - Amazon EMR
ConsiderazioniAutorizzazioni IAM richiesteMonitoraggio dell'interazione WAL di Amazon EMR con AWS KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia inattiva utilizzando una chiave KMS del cliente per il servizio EMR WAL

I registri WAL (WRITE-AHEAD LOGS) EMR forniscono supporto per le chiavi KMS dei clienti. encryption-at-rest I seguenti dettagli di alto livello su come Amazon EMR WAL è integrato con: AWS KMS

I registri di scrittura anticipata EMR (WAL) interagiscono AWS durante le seguenti operazioni:CreateWAL,,,,, AppendEdit ArchiveWALCheckPoint CompleteWALFlush DeleteWAL GetCurrentWALTimeReplayEdits, TrimWAL tramite l'impostazione EMR_EC2_DefaultRole predefinita Quando viene richiamata una delle operazioni precedenti elencate, il WAL EMR crea e contro la chiave KMS. Decrypt GenerateDataKey

Considerazioni

Considerate quanto segue quando utilizzate la crittografia AWS KMS basata per EMR WAL:

  • La configurazione di crittografia non può essere modificata dopo la creazione di un WAL EMR.

  • Quando utilizzi la crittografia KMS con la tua chiave KMS, la chiave deve esistere nella stessa regione del cluster Amazon EMR.

  • Sei responsabile del mantenimento di tutte le autorizzazioni IAM richieste e si consiglia di non revocare le autorizzazioni necessarie durante il ciclo di vita del WAL. In caso contrario, causerà scenari di errore imprevisti, come l'impossibilità di eliminare EMR WAL, poiché la chiave di crittografia associata non esiste.

  • L'utilizzo delle chiavi comporta un costo. AWS KMS Per ulteriori informazioni, consulta Prezzi di AWS Key Management Service.

Autorizzazioni IAM richieste

Per utilizzare la chiave KMS del cliente per crittografare EMR WAL a riposo, è necessario assicurarsi di impostare l'autorizzazione appropriata per il ruolo client EMR WAL e il principale del servizio EMR WAL. emrwal.amazonaws.com

Autorizzazioni per il ruolo client EMR WAL

Di seguito è riportata la politica IAM necessaria per il ruolo del client EMR WAL:

{
"Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt",
      "kms:GenerateDataKey*",
    ],
    "Resource": "*"
  }
}

Il client EMR WAL sul cluster EMR verrà utilizzato per impostazione predefinita. EMR_EC2_DefaultRole Se utilizzi un ruolo diverso per il profilo dell'istanza nel cluster EMR, assicurati che ogni ruolo disponga delle autorizzazioni appropriate.

Per ulteriori informazioni sulla gestione della politica dei ruoli, consulta Aggiungere e rimuovere i permessi di identità IAM.

Autorizzazioni per la policy chiave KMS

È necessario fornire il ruolo del cliente EMR WAL e il servizio Decrypt e GenerateDataKey* l'autorizzazione EMR WAL nella propria politica KMS. Per ulteriori informazioni sulla gestione delle politiche chiave, consulta la politica chiave di KMS.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::accountID:role/EMR_EC2_DefaultRole"
        ],
        "Service": [
          "emrwal.amazonaws.com"
        ]
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Il ruolo specificato nello snippet può cambiare se si modifica il ruolo predefinito.

Monitoraggio dell'interazione WAL di Amazon EMR con AWS KMS

Contesto di crittografia WAL di Amazon EMR

Un contesto di crittografia è un insieme di coppie chiave-valore che contiene dati arbitrari non segreti. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, associa AWS KMS crittograficamente il contesto di crittografia ai dati crittografati. lo stesso contesto di crittografia sia necessario per decrittografare i dati.

Nelle sue richieste GenerateDataKeye Decrypt a, AWS KMS Amazon EMR WAL utilizza un contesto di crittografia con coppie nome-valore che identificano il nome WAL EMR.

"encryptionContext": {
    "aws:emrwal:walname": "111222333444555-testworkspace-emrwalclustertest-emrwaltestwalname"
}

Puoi utilizzare il contesto di crittografia per identificare queste operazioni crittografiche nei record e nei log di controllo, come AWS CloudTrail Amazon CloudWatch Logs, e come condizione per l'autorizzazione nelle politiche e nelle concessioni.