Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crittografia dei dati a riposo
AWS Glue supporta la crittografia dei dati a riposo per [Creazione di processi ETL visivi](author-job-glue.md) e[Utilizzo di endpoint per lo sviluppo di script](dev-endpoint.md). È possibile configurare i processi di estrazione, trasformazione e caricamento (ETL) e gli endpoint di sviluppo per usare [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) durante la scrittura dei dati inattivi criptati. Puoi anche crittografare i metadati archiviati nelle chiavi di [AWS Glue Data Catalog](components-overview.md#data-catalog-intro) utilizzo con cui gestisci. AWS KMS[Inoltre, è possibile utilizzare AWS KMS le chiavi per crittografare i segnalibri dei lavori e i log generati dai crawler e dai job ETL.](https://docs.aws.amazon.com/glue/latest/dg/add-crawler.html)
Oltre ai dati scritti su Amazon Simple Storage Service (Amazon S3) e Amazon Logs, puoi crittografare gli oggetti di metadati AWS Glue Data Catalog presenti nel tuo computer oltre ai dati scritti in Amazon Simple Storage Service (Amazon S3) e CloudWatch Amazon Logs per job, crawler ed endpoint di sviluppo. Quando si creano processi, crawler ed endpoint di sviluppo in AWS Glue, è possibile fornire impostazioni di crittografia collegando una configurazione di protezione. Le configurazioni di sicurezza contengono chiavi di crittografia lato server gestite da Amazon S3 (SSE-S3) o chiavi master del cliente () archiviate in (SSE-KMS). CMKs AWS KMS È possibile creare configurazioni di sicurezza utilizzando la console AWS Glue.
Puoi attivare la crittografia dell'intero catalogo dati nel tuo account. Puoi CMKs farlo specificando stored in. AWS KMS
**Importante**
AWS Glue supporta solo chiavi gestite del cliente simmetriche. Per ulteriori informazioni, consulta [Customer Managed Keys (CMKs)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) nella *Guida per gli AWS Key Management Service sviluppatori*.
Con la crittografia attivata, quando aggiungi oggetti del catalogo dati, esegui crawler o processi o avvii endpoint di sviluppo, vengono usate chiavi SSE-S3 o SSE-KMS per scrivere i dati a riposo. Puoi anche configurare AWS Glue per accedere ai datastore Java Database Connectivity (JDBC) solo attraverso un protocollo Transport Layer Security (TLS) attendibile.
In AWS Glue è possibile controllare le impostazioni di crittografia nelle posizioni seguenti:
+ Le impostazioni del catalogo dati.
+ Configurazioni della sicurezza create.
+ Impostazione di crittografia lato server (SSE-S3 o SSE-KMS) passata come parametro al processo ETL (estrazione, trasformazione e caricamento) di AWS Glue.
Per ulteriori informazioni su come configurare le crittografia, consulta [Configurazione della crittografia in AWS Glue](set-up-encryption.md).
**Topics**
+ [Crittografia del catalogo dati](encrypt-glue-data-catalog.md)
+ [Crittografia delle password di connessione](encrypt-connection-passwords.md)
+ [Crittografia dei dati scritti da AWS Glue](encryption-security-configuration.md)
# Crittografia del catalogo dati
AWS Glue Data Catalog la crittografia offre una maggiore sicurezza per i dati sensibili. AWS Glue si integra con AWS Key Management Service (AWS KMS) per crittografare i metadati archiviati nel Data Catalog. È possibile abilitare o disabilitare le impostazioni di crittografia per le risorse nel Data Catalog utilizzando la AWS Glue console o il. AWS CLI
Quando abiliti la crittografia per il tuo Catalogo dati, tutti i nuovi oggetti che crei verranno crittografati. Quando disabiliti la crittografia, i nuovi oggetti che crei non verranno crittografati, ma gli oggetti crittografati esistenti rimarranno crittografati.
È possibile crittografare l'intero Data Catalog utilizzando chiavi di crittografia AWS gestite o chiavi di crittografia gestite dal cliente. Per ulteriori informazioni sui tipi e sugli stati delle chiavi, consulta [AWS Key Management Service i concetti](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html#key-state-cmk-type) nella Guida per gli AWS Key Management Service sviluppatori.
**Nota**
Quando si utilizza il Catalogo dati crittografato con un crawler, è necessario mantenere le impostazioni di crittografia. La rimozione delle impostazioni di crittografia dopo che un crawler ha elaborato un catalogo crittografato genera errori. Se devi rimuovere le impostazioni di crittografia, crea un nuovo crawler anziché modificare quello esistente.
## AWS chiavi gestite
AWS le chiavi gestite sono chiavi KMS presenti nel tuo account che vengono create, gestite e utilizzate per tuo conto da un AWS servizio integrato con. AWS KMS Puoi visualizzare le chiavi AWS gestite nel tuo account, visualizzare le relative politiche chiave e verificarne l'utilizzo nei AWS CloudTrail log. Tuttavia, non puoi gestire queste chiavi o modificarne le autorizzazioni.
Encryption at rest si integra automaticamente con AWS KMS la gestione delle chiavi AWS gestite AWS Glue utilizzate per crittografare i metadati. Se non esiste una chiave AWS gestita quando abiliti la crittografia dei metadati, crea AWS KMS automaticamente una nuova chiave per te.
Per ulteriori informazioni, consulta le [AWS chiavi gestite da](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) .
## Chiavi gestite dal cliente
Le chiavi gestite dal cliente sono chiavi KMS Account AWS che crei, possiedi e gestisci. Hai il pieno controllo su queste chiavi KMS. Puoi:
+ Stabilire e mantenere le policy delle chiavi, le policy IAM e le concessioni
+ Abilitarle e disabilitarle
+ Ruotare il loro materiale crittografico
+ Aggiunta di tag
+ Creazione di alias che si riferiscono ad essi
+ Pianificazione dell'eliminazione delle chiavi
Per ulteriori informazioni relative alla gestione delle autorizzazioni di una chiave gestita dal cliente, consulta [Customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
**Importante**
AWS Glue supporta solo chiavi simmetriche gestite dal cliente. L'elenco di chiavi KMS mostra solo le chiavi simmetriche. Tuttavia, selezionando **Scegli un ARN chiave KMS**, la console consente di inserire un ARN per qualsiasi tipo di chiave. Assicurati di inserire solo chiavi ARNs simmetriche.
Per creare una chiave simmetrica gestita del cliente, segui la procedura per la [creazione di chiavi simmetriche gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella Guida per gli sviluppatori di AWS Key Management Service .
Quando abiliti la crittografia del Catalogo dati inattivo, i seguenti tipi di risorse vengono crittografati utilizzando chiavi KMS:
+ Database
+ Tabelle
+ Partizioni
+ Versioni di tabella
+ Statistiche delle colonne
+ Funzioni definite dall'utente
+ Viste di Catalogo dati
## AWS Glue contesto di crittografia
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) è un set opzionale di coppie chiave-valore che contiene ulteriori informazioni contestuali sui dati. AWS KMS utilizza il contesto di crittografia come [dati autenticati aggiuntivi](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad) per supportare [crittografia autenticata](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#define-authenticated-encryption). Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, includi lo stesso contesto di crittografia nella richiesta. AWS Glue utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche, in cui la chiave è `glue_catalog_id` e il valore è il. `catalogId`
```
"encryptionContext": {
"glue_catalog_id": "111122223333"
}
```
Quando si utilizza una chiave AWS gestita o una chiave simmetrica gestita dal cliente per crittografare il catalogo dati, è possibile utilizzare il contesto di crittografia anche nei record e nei registri di controllo per identificare come viene utilizzata la chiave. Il contesto di crittografia viene visualizzato anche nei log generati da or logs. AWS CloudTrail Amazon CloudWatch
## Abilitazione della crittografia
È possibile abilitare la crittografia per AWS Glue Data Catalog gli oggetti nelle **impostazioni del Data Catalog** nella AWS Glue console o utilizzando il. AWS CLI
------
#### [ Console ]
**Per abilitare la crittografia usando la console**
1. Accedi a Console di gestione AWS e apri la AWS Glue console all'indirizzo [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).
1. Nel pannello di navigazione, seleziona **Catalogo dati**.
1. Nella pagina delle **impostazioni del Data Catalog**, seleziona la casella di controllo **Crittografia dei metadati** e scegli una AWS KMS chiave.
Quando abiliti la crittografia, se non specifichi una chiave gestita dal cliente, le impostazioni di crittografia utilizzano una chiave KMS AWS gestita.
1. (Facoltativo) Quando utilizzi una chiave gestita dal cliente per crittografare il tuo Catalogo dati, il Catalogo dati offre la possibilità di registrare un ruolo IAM per crittografare e decrittografare le risorse. Devi concedere al tuo ruolo IAM le autorizzazioni che AWS Glue puoi assumere per tuo conto. Ciò include AWS KMS le autorizzazioni per crittografare e decrittografare i dati.
Quando crei una nuova risorsa nel Data Catalog, AWS Glue assume il ruolo IAM fornito per crittografare i dati. Allo stesso modo, quando un consumatore accede alla risorsa, AWS Glue assume il ruolo IAM di decrittografare i dati. Se registri un ruolo IAM con le autorizzazioni richieste, il principale chiamante non necessita più delle autorizzazioni per accedere alla chiave e decrittografare i dati.
**Importante**
Puoi delegare le operazioni KMS a un ruolo IAM solo quando utilizzi una chiave gestita dal cliente per crittografare le risorse del Catalogo dati. Al momento, la funzionalità di delega dei ruoli KMS non supporta l'utilizzo di AWS chiavi gestite per la crittografia delle risorse del Catalogo dati.
**avvertimento**
Quando abiliti un ruolo IAM per delegare le operazioni KMS, non puoi più accedere alle risorse del Data Catalog che in precedenza erano crittografate con una chiave gestita. AWS
1. Per abilitare un ruolo IAM che AWS Glue può pretendere di crittografare e decrittografare i dati per tuo conto, seleziona l'opzione **Delega le operazioni KMS** a un ruolo IAM.
1. Successivamente, Scegli un ruolo IAM.
Per creare un ruolo IAM, consulta l'argomento relativo alla [creazione di ruoli IAM per AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/create-an-iam-role.html).
Il ruolo IAM che AWS Glue presuppone l'accesso al Data Catalog deve disporre delle autorizzazioni per crittografare e decrittografare i metadati nel Data Catalog. Puoi creare un ruolo IAM e collegare le seguenti policy in linea:
+ Aggiungi la seguente policy per includere le AWS KMS autorizzazioni per crittografare e decrittografare il Data Catalog.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/"
}
]
}
```
------
+ Quindi, aggiungi la seguente policy di fiducia al ruolo affinché il AWS Glue servizio assuma il ruolo IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
+ Quindi, aggiungi l'autorizzazione `iam:PassRole` al ruolo IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/"
]
}
]
}
```
------
Quando abiliti la crittografia, se non hai specificato un ruolo IAM AWS Glue da assumere, il principale che accede al Data Catalog deve disporre delle autorizzazioni per eseguire le seguenti operazioni API:
+ `kms:Decrypt`
+ `kms:Encrypt`
+ `kms:GenerateDataKey`
------
#### [ AWS CLI ]
**Per abilitare la crittografia utilizzando l'SDK o AWS CLI**
+ Usa l'operazione API `PutDataCatalogEncryptionSettings`. Se non viene specificata alcuna chiave, AWS Glue utilizza la chiave di crittografia AWS gestita per l'account cliente per crittografare il Data Catalog.
```
aws glue put-data-catalog-encryption-settings \
--data-catalog-encryption-settings '{
"EncryptionAtRest": {
"CatalogEncryptionMode": "SSE-KMS-WITH-SERVICE-ROLE",
"SseAwsKmsKeyId": "arn:aws:kms:::key/",
"CatalogEncryptionServiceRole":"arn:aws:iam:::role/"
}
}'
```
------
Quando abiliti la crittografia, tutti i nuovi oggetti che crei tra gli oggetti del Catalogo dati verranno crittografati. Se cancelli questa impostazione, gli oggetti creati nel Catalogo dati non vengono più crittografati. Puoi continuare ad accedere agli oggetti crittografati esistenti nel Catalogo dati con le autorizzazioni KMS richieste.
| |
| --- |
| La AWS KMS chiave deve rimanere disponibile nell'archivio delle AWS KMS chiavi per tutti gli oggetti crittografati con essa nel Data Catalog. Se rimuovi la chiave, non sarà più possibile decrittografare gli oggetti. In alcuni scenari ciò potrebbe essere necessario per impedire l'accesso ai metadati del catalogo dati. |
## Monitoraggio delle chiavi KMS per AWS Glue
Quando utilizzi le chiavi KMS con le risorse del tuo Data Catalog, puoi utilizzare AWS CloudTrail or Amazon CloudWatch Logs per tenere traccia delle richieste inviate AWS Glue a. AWS KMS AWS CloudTrail monitora e registra le operazioni KMS relative alle AWS Glue chiamate di accesso ai dati crittografati dalle tue chiavi KMS.
Gli esempi seguenti sono AWS CloudTrail gli eventi relativi alle operazioni and. `Decrypt` `GenerateDataKey`
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAXPHTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAXPHTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-01-10T14:33:56Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "glue.amazonaws.com"
},
"eventTime": "2024-01-10T15:18:11Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "eu-west-2",
"sourceIPAddress": "glue.amazonaws.com",
"userAgent": "glue.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"glue_catalog_id": "111122223333"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "43b019aa-34b8-4798-9b98-ee968b2d63df",
"eventID": "d7614763-d3fe-4f84-a1e1-3ca4d2a5bbd5",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms::111122223333:key/"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
#### [ GenerateDataKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAXPHTESTANDEXAMPLE:V_00_GLUE_KMS_GENERATE_DATA_KEY_111122223333",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/V_00_GLUE_KMS_GENERATE_DATA_KEY_111122223333",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAXPHTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-01-05T21:15:47Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "glue.amazonaws.com"
},
"eventTime": "2024-01-05T21:15:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "eu-west-2",
"sourceIPAddress": "glue.amazonaws.com",
"userAgent": "glue.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:eu-west-2:AKIAIOSFODNN7EXAMPLE:key/AKIAIOSFODNN7EXAMPLE",
"encryptionContext": {
"glue_catalog_id": "111122223333"
},
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "64d1783a-4b62-44ba-b0ab-388b50188070",
"eventID": "1c73689b-2ef2-443b-aed7-8c126585ca5e",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-2:111122223333:key/AKIAIOSFODNN7EXAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
```
```
# Crittografia delle password di connessione
È possibile recuperare le password di connessione AWS Glue Data Catalog utilizzando le operazioni `GetConnection` e `GetConnections` API. Queste password sono memorizzate nella connessione del catalogo dati e vengono utilizzate quando AWS Glue si connette a un datastore JDBC (Java Database Connectivity). Quando la connessione è stata creata o aggiornata, un'opzione nelle impostazioni del Data Catalog ha determinato se la password è stata crittografata e, in caso affermativo, quale AWS Key Management Service (AWS KMS) chiave è stata specificata.
Sulla console AWS Glue, puoi attivare questa opzione nella pagina **Data catalog settings (Impostazioni catalogo dati)**.
**Crittografare le password di connessione**
1. Accedi a Console di gestione AWS e apri la AWS Glue console all'indirizzo [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).
1. Scegliere **Settings (Impostazioni)** nel riquadro di navigazione.
1. Nella pagina **Data catalog settings (Impostazione catalogo dati)**, seleziona la casella di controllo **Encrypt connection passwords (Crittografa password di connessione)** e scegli una chiave AWS KMS .
**Importante**
AWS Gluesupporta solo le chiavi master simmetriche del cliente ()CMKs. L'elenco di **chiavi AWS KMS ** mostra solo le chiavi simmetriche. Tuttavia, se si seleziona **Scegli un ARN AWS KMS per una chiave**, la console consente di inserire un ARN per qualsiasi tipo di chiave. Assicurati di inserire solo chiavi ARNs simmetriche.
Per ulteriori informazioni, consulta [Impostazioni del Catalogo dati](console-data-catalog-settings.md).
# Crittografia dei dati scritti da AWS Glue
Una *configurazione della sicurezza* è un set di proprietà di sicurezza che AWS Glue può usare. Puoi usare una configurazione della sicurezza per crittografare i dati inattivi. Gli scenari seguenti mostrano alcuni modi in cui è possibile usare una configurazione della sicurezza.
+ Collega una configurazione di sicurezza a un AWS Glue crawler per scrivere Amazon CloudWatch Logs crittografati. Per ulteriori informazioni sull'aggiunta di configurazioni di sicurezza ai crawler, consulta [Fase 3: configurare le impostazioni di sicurezza](define-crawler-configure-security-settings.md).
+ Collega una configurazione di sicurezza a un processo di estrazione, trasformazione e caricamento (ETL) per scrivere obiettivi Amazon Simple Storage Service (Amazon S3) crittografati e log crittografati. CloudWatch
+ Collegare una configurazione della sicurezza a un processo ETL per scrivere i segnalibri dei processi come dati Amazon S3 crittografati.
+ Collegare una configurazione della sicurezza a un endpoint di sviluppo per scrivere destinazioni Amazon S3 crittografate.
**Importante**
Attualmente, una configurazione della sicurezza sostituisce qualsiasi impostazione di crittografia lato server (SSE-S3) passata come parametro di un processo ETL. Pertanto, se a un processo sono associati sia una configurazione della sicurezza che un parametro SSE-S3, il parametro SSE-S3 viene ignorato.
Per ulteriori informazioni sulle configurazioni della sicurezza, consulta [Gestire le configurazioni di sicurezza nella console AWS Glue](console-security-configurations.md).
**Topics**
+ [Impostazione di AWS Glue per l'uso di configurazioni della sicurezza](#encryption-setup-Glue)
+ [Creazione di un percorso AWS KMS per i job e i crawler VPC](#encryption-kms-vpc-endpoint)
+ [Gestire le configurazioni di sicurezza nella console AWS Glue](console-security-configurations.md)
## Impostazione di AWS Glue per l'uso di configurazioni della sicurezza
Segui queste fasi per impostare l'ambiente AWS Glue per l'uso di configurazioni della sicurezza.
1. Crea o aggiorna le tue chiavi AWS Key Management Service (AWS KMS) per concedere le AWS KMS autorizzazioni ai ruoli IAM che vengono passate ai AWS Glue crawler e ai job per crittografare i log. CloudWatch Per ulteriori informazioni, [consulta Encrypt Log Data in CloudWatch Logs Using AWS KMS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) nella *Amazon CloudWatch Logs* User Guide.
Nell'esempio seguente *"role1"**"role2"*, e *"role3"* sono i ruoli IAM che vengono passati ai crawler e ai job.
```
{
"Effect": "Allow",
"Principal": { "Service": "logs.region.amazonaws.com",
"AWS": [
"role1",
"role2",
"role3"
] },
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*"
}
```
L'`Service`istruzione, mostrata come`"Service": "logs.region.amazonaws.com"`, è obbligatoria se si utilizza la chiave per CloudWatch crittografare i log.
1. Assicuratevi che la AWS KMS chiave sia presente `ENABLED` prima di essere utilizzata.
**Nota**
Se utilizzi Iceberg come framework di data lake, le tabelle Iceberg dispongono di meccanismi propri per abilitare la crittografia lato server. È necessario abilitare queste configurazioni in aggiunta alle configurazioni AWS Glue di sicurezza. Per abilitare la crittografia lato server sulle tabelle Iceberg, consulta le indicazioni contenute nella [documentazione di Iceberg](https://iceberg.apache.org/docs/latest/aws/#s3-server-side-encryption).
## Creazione di un percorso AWS KMS per i job e i crawler VPC
Puoi connetterti direttamente a AWS KMS attraverso un endpoint privato nel cloud privato virtuale (VPC, Virtual Private Cloud) invece che tramite Internet. Quando utilizzi un endpoint VPC, la comunicazione tra il tuo VPC e il tuo VPC AWS KMS viene condotta interamente all'interno della rete. AWS
Puoi creare un endpoint AWS KMS VPC all'interno di un VPC. Senza questa fase, i processi o i crawler potrebbero avere esito negativo, con un errore `kms timeout` nei processi o un'eccezione `internal service exception` nei crawler. *Per istruzioni dettagliate, consulta [Connessione a AWS KMS un endpoint VPC](https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html) nella Guida per gli AWS Key Management Service sviluppatori.*
Mentre segui le istruzioni, nella [console VPC](https://console.aws.amazon.com//vpc) esegui queste operazioni:
+ Selezionare **Abilita nome DNS privato**.
+ Scegli il **gruppo di sicurezza** (con regola autoreferenziale) da usare per il processo o il crawler che accede a JDBC (Java Database Connectivity). Per ulteriori informazioni sulle connessioni AWS Glue, consulta [Connessione ai dati](glue-connections.md).
Quando aggiungi una configurazione di sicurezza a un crawler o a un job che accede agli archivi dati JDBC, AWS Glue devi disporre di un percorso verso l'endpoint. AWS KMS È possibile fornire il percorso con un gateway NAT (Network Address Translation) o con un endpoint AWS KMS VPC. Per creare un gateway NAT, consulta [Gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) nella *Guida per l'utente di Amazon VPC*.
# Gestire le configurazioni di sicurezza nella console AWS Glue
**avvertimento**
AWS Glue le configurazioni di sicurezza non sono attualmente supportate nei lavori Ray.
Una *configurazione di sicurezza* in AWS Glue contiene le proprietà necessarie per la scrittura di dati crittografati. Puoi creare configurazioni di sicurezza nella console AWS Glue per specificare le proprietà di crittografia usate da crawler, processi ed endpoint di sviluppo.
Per visualizzare un elenco delle configurazioni di sicurezza che hai creato, apri la console AWS Glue all'indirizzo [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/) e scegli **Security configurations (Configurazioni di sicurezza)** nel riquadro di navigazione.
L'elenco **Security configurations (Configurazioni di sicurezza)** visualizza le proprietà seguenti su ogni configurazione:
**Name**
Nome univoco che hai assegnato quando hai creato la configurazione. Il nome può contenere un massimo di 255 caratteri, tra cui lettere (A-Z), numeri (0-9), trattini (-) o caratteri di sottolineatura (\$1).
**Attivazione della crittografia in Amazon S3**
Se attivata, la modalità di crittografia Amazon Simple Storage Service (Amazon S3), ad esempio `SSE-KMS` o `SSE-S3`, è abilitata per l'archiviazione di metadati nel catalogo dati.
**Abilita la crittografia dei CloudWatch log di Amazon**
Se attivata, la modalità di crittografia di Amazon S3, ad esempio, `SSE-KMS` è abilitata durante la scrittura di log su Amazon. CloudWatch
**Impostazioni avanzate: abilitazione della crittografia dei segnalibri del processo**
Se attivata, la modalità di crittografia di Amazon S3, ad esempio `CSE-KMS`, è abilitata quando i processi vengono aggiunti ai segnalibri.
Puoi aggiungere o eliminare configurazioni nella sezione **Security configurations (Configurazioni di sicurezza)** nella console. Per visualizzare altri dettagli relativi a una configurazione, scegli il nome della configurazione nell'elenco. I dettagli includono le informazioni che hai definito quando hai creato la configurazione.
## Aggiunta di una configurazione di sicurezza
Per aggiungere una configurazione di sicurezza usando la console AWS Glue, nella pagina **Security configurations (Configurazioni di sicurezza)** scegli **Add security configuration (Aggiungi configurazione di sicurezza**.
![\[Lo screenshot mostra la pagina di configurazione Aggiungi sicurezza.\]](http://docs.aws.amazon.com/it_it/glue/latest/dg/images/add_security_configuration.png)
**Proprietà di configurazione di sicurezza**
Inserisci un nome univoco per la configurazione di sicurezza. Il nome può contenere un massimo di 255 caratteri, tra cui lettere (A-Z), numeri (0-9), trattini (-) o caratteri di sottolineatura (\$1).
**Impostazioni di crittografia**
Puoi abilitare la crittografia a riposo per i metadati archiviati nel Data Catalog in Amazon S3 e i log in Amazon. CloudWatch Per configurare la crittografia di dati e metadati con le chiavi AWS Key Management Service (AWS KMS) sulla AWS Glue console, aggiungi una policy all'utente della console. Questa policy deve specificare le risorse consentite come Amazon Resource Names (ARNs) chiave utilizzate per crittografare gli archivi di dati Amazon S3, come nell'esempio seguente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:Encrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id"
}
}
```
------
**Importante**
Quando una configurazione di sicurezza è collegata a un crawler o a un job, il ruolo IAM passato deve disporre di autorizzazioni. AWS KMS Per ulteriori informazioni, consulta [Crittografia dei dati scritti da AWS Glue](encryption-security-configuration.md).
Quando definisci una configurazione, puoi specificare i valori per le proprietà seguenti:
**Abilitazione della crittografia in S3**
Quando scrivi dati Amazon S3, utilizzi la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) o la crittografia lato server con chiavi gestite (SSE-KMS). AWS KMS Questo campo è facoltativo. Per consentire l'accesso ad Amazon S3, scegli una AWS KMS chiave o scegli **Inserisci un codice ARN e fornisci l'ARN** per la chiave. Immetti l'ARN usando questo formato: `arn:aws:kms:region:account-id:key/key-id`. Puoi specificare l'ARN anche sotto forma di alias di chiavi, ad esempio `arn:aws:kms:region:account-id:alias/alias-name`.
Se abiliti l'interfaccia utente Spark per il processo, il file di log dell'interfaccia utente di Spark caricato su Amazon S3 verrà applicato con la stessa crittografia.
AWS Gluesupporta solo chiavi master simmetriche per i clienti (). CMKs L'elenco di **chiavi AWS KMS ** mostra solo le chiavi simmetriche. Tuttavia, se si seleziona **Scegli un ARN AWS KMS per una chiave**, la console consente di inserire un ARN per qualsiasi tipo di chiave. Assicurati di inserire solo chiavi ARNs simmetriche.
**Abilita la crittografia CloudWatch dei log**
La crittografia lato server (SSE-KMS) viene utilizzata per crittografare i log. CloudWatch Questo campo è facoltativo. Per attivarlo, scegli una AWS KMS chiave o scegli **Inserisci una chiave ARN** e fornisci l'ARN per la chiave. Immetti l'ARN usando questo formato: `arn:aws:kms:region:account-id:key/key-id`. Puoi specificare l'ARN anche sotto forma di alias di chiavi, ad esempio `arn:aws:kms:region:account-id:alias/alias-name`.
**Impostazioni avanzate: crittografia dei segnalibri del processo**
Crittografia lato client (CSE-KMS) usata per crittografare segnalibri dei processi. Questo campo è facoltativo. I dati dei segnalibri vengono crittografati prima di essere inviati ad Amazon S3 per lo storage. Per attivarlo, scegli una AWS KMS chiave o scegli **Inserisci una chiave ARN** e fornisci l'ARN per la chiave. Immetti l'ARN usando questo formato: `arn:aws:kms:region:account-id:key/key-id`. Puoi specificare l'ARN anche sotto forma di alias di chiavi, ad esempio `arn:aws:kms:region:account-id:alias/alias-name`.
Per ulteriori informazioni, consulta i seguenti argomenti nella *Guida per l'utente di Amazon Simple Storage Service*:
+ Per informazioni su `SSE-S3`, consulta [Protezione dei dati mediante la crittografia lato server con chiavi crittografia gestite da Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
+ Per informazioni su`SSE-KMS`, consulta [Protezione dei dati utilizzando la crittografia lato server con](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). AWS KMS keys
+ Per ulteriori informazioni su `CSE-KMS`, consulta la pagina [Using a KMS key stored in AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-kms-managed-master-key-intro).