Gestire le configurazioni di sicurezza nella console AWS Glue
avvertimento
Le configurazioni di sicurezza di AWS Glue non sono attualmente supportate nei processi Ray.
Una configurazione di sicurezza in AWS Glue contiene le proprietà necessarie per la scrittura di dati crittografati. Puoi creare configurazioni di sicurezza nella console AWS Glue per specificare le proprietà di crittografia usate da crawler, processi ed endpoint di sviluppo.
Per visualizzare un elenco delle configurazioni di sicurezza che hai creato, apri la console AWS Glue all'indirizzo https://console.aws.amazon.com/glue/
L'elenco Security configurations (Configurazioni di sicurezza) visualizza le proprietà seguenti su ogni configurazione:
- Nome
Nome univoco che hai assegnato quando hai creato la configurazione. Il nome può contenere un massimo di 255 caratteri, tra cui lettere (A-Z), numeri (0-9), trattini (-) o caratteri di sottolineatura (_).
- Attivazione della crittografia in Amazon S3
Se attivata, la modalità di crittografia Amazon Simple Storage Service (Amazon S3), ad esempio
SSE-KMSoSSE-S3, è abilitata per l'archiviazione di metadati nel catalogo dati.- Abilitazione della crittografia dei file di log Amazon CloudWatch
Se attivata, la modalità di crittografia di Amazon S3, ad esempio
SSE-KMS, è abilitata durante la scrittura dei log su Amazon CloudWatch.- Impostazioni avanzate: abilitazione della crittografia dei segnalibri del processo
Se attivata, la modalità di crittografia di Amazon S3, ad esempio
CSE-KMS, è abilitata quando i processi vengono aggiunti ai segnalibri.
Puoi aggiungere o eliminare configurazioni nella sezione Security configurations (Configurazioni di sicurezza) nella console. Per visualizzare altri dettagli relativi a una configurazione, scegli il nome della configurazione nell'elenco. I dettagli includono le informazioni che hai definito quando hai creato la configurazione.
Aggiunta di una configurazione di sicurezza
Per aggiungere una configurazione di sicurezza usando la console AWS Glue, nella pagina Security configurations (Configurazioni di sicurezza) scegli Add security configuration (Aggiungi configurazione di sicurezza.
Proprietà di configurazione di sicurezza
Inserisci un nome univoco per la configurazione di sicurezza. Il nome può contenere un massimo di 255 caratteri, tra cui lettere (A-Z), numeri (0-9), trattini (-) o caratteri di sottolineatura (_).
Impostazioni di crittografia
È possibile abilitare la crittografia dei dati inattivi per i metadati archiviati in Catalogo dati di Amazon S3 e i log in Amazon CloudWatch. Per configurare la crittografia dei dati e dei metadati con chiavi AWS Key Management Service (AWS KMS) nella console AWS Glue, aggiungere una policy all'utente della console. Questa policy deve specificare le risorse consentite come ARN di chiavi usati per crittografare datastore Amazon S3, come nell'esempio seguente.
Importante
Quando una configurazione di sicurezza viene collegata a un crawler o a un processo, il ruolo IAM passato deve avere autorizzazioni AWS KMS. Per ulteriori informazioni, consulta Crittografia dei dati scritti da AWS Glue.
Quando definisci una configurazione, puoi specificare i valori per le proprietà seguenti:
- Abilitazione della crittografia in S3
Quando scrivi dati Amazon S3, puoi usare la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) o la crittografia lato server con chiavi gestite da AWS KMS (SSE-KMS). Questo campo è facoltativo. Per permettere l'accesso ad Amazon S3, scegli una chiave AWS KMS oppure seleziona Enter a key ARN (Inserisci un ARN chiave) e specifica l'ARN per la chiave. Immetti l'ARN usando questo formato:
arn:aws:kms:. È possibile specificare l'ARN anche sotto forma di alias di chiavi, ad esempioregion:account-id:key/key-idarn:aws:kms:.region:account-id:alias/alias-nameSe abiliti l'interfaccia utente Spark per il processo, il file di log dell'interfaccia utente di Spark caricato su Amazon S3 verrà applicato con la stessa crittografia.
Importante
AWS Glue supporta solo chiavi master del cliente simmetriche (CMK). L'elenco di chiavi AWS KMS mostra solo le chiavi simmetriche. Tuttavia, selezionando Choose a AWS KMS key ARN (Scegli un ARN chiave ), la console consente di inserire un ARN per qualsiasi tipo di chiave. Inserisci solo ARN per le chiavi simmetriche.
- Abilitazione della crittografia CloudWatch Logs
Crittografia lato server (SSE-KMS) usata per crittografare CloudWatch Logs. Questo campo è facoltativo. Per attivare questa crittografia, scegli una chiave AWS KMS oppure seleziona Enter a key ARN (Inserisci ARN chiave) e specifica l'ARN per la chiave. Immetti l'ARN usando questo formato:
arn:aws:kms:. È possibile specificare l'ARN anche sotto forma di alias di chiavi, ad esempioregion:account-id:key/key-idarn:aws:kms:.region:account-id:alias/alias-name- Impostazioni avanzate: crittografia dei segnalibri del processo
Crittografia lato client (CSE-KMS) usata per crittografare segnalibri dei processi. Questo campo è facoltativo. I dati dei segnalibri vengono crittografati prima di essere inviati ad Amazon S3 per lo storage. Per attivare questa crittografia, scegli una chiave AWS KMS oppure seleziona Enter a key ARN (Inserisci ARN chiave) e specifica l'ARN per la chiave. Immetti l'ARN usando questo formato:
arn:aws:kms:. È possibile specificare l'ARN anche sotto forma di alias di chiavi, ad esempioregion:account-id:key/key-idarn:aws:kms:.region:account-id:alias/alias-name
Per ulteriori informazioni, consulta i seguenti argomenti nella Guida per l'utente di Amazon Simple Storage Service:
-
Per informazioni su
SSE-S3, consulta Protezione dei dati mediante la crittografia lato server con chiavi crittografia gestite da Amazon S3 (SSE-S3). -
Per ulteriori informazioni su
SSE-KMS, consulta la pagina Protecting Data Using Server-Side Encryption with AWS KMS keys. -
Per ulteriori informazioni su
CSE-KMS, consulta la pagina Using a KMS key stored in AWS KMS.
