Crittografia dei dati scritti da AWS Glue - AWS Glue
Impostazione di AWS Glue per l'uso di configurazioni della sicurezzaCreazione di una route a AWS KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati scritti da AWS Glue

Una configurazione della sicurezza è un set di proprietà di sicurezza che AWS Glue può usare. Puoi usare una configurazione della sicurezza per crittografare i dati inattivi. Gli scenari seguenti mostrano alcuni modi in cui è possibile usare una configurazione della sicurezza.

  • Allegare una configurazione della sicurezza a un crawler AWS Glue per scrivere voci di Amazon CloudWatch Logs crittografate. Per ulteriori informazioni sull'aggiunta di configurazioni di sicurezza ai crawler, consulta Fase 3: configurare le impostazioni di sicurezza.

  • Collegare una configurazione della sicurezza a un processo di estrazione, trasformazione e caricamento (ETL) per scrivere destinazioni Amazon Simple Storage Service (Amazon S3) crittografate e voci di CloudWatch Logs crittografate.

  • Collegare una configurazione della sicurezza a un processo ETL per scrivere i segnalibri dei processi come dati Amazon S3 crittografati.

  • Collegare una configurazione della sicurezza a un endpoint di sviluppo per scrivere destinazioni Amazon S3 crittografate.

Importante

Attualmente, una configurazione della sicurezza sostituisce qualsiasi impostazione di crittografia lato server (SSE-S3) passata come parametro di un processo ETL. Pertanto, se a un processo sono associati sia una configurazione della sicurezza che un parametro SSE-S3, il parametro SSE-S3 viene ignorato.

Per ulteriori informazioni sulle configurazioni della sicurezza, consulta Gestire le configurazioni di sicurezza nella console AWS Glue.

Argomenti

Impostazione di AWS Glue per l'uso di configurazioni della sicurezza

Segui queste fasi per impostare l'ambiente AWS Glue per l'uso di configurazioni della sicurezza.

  1. Creare o aggiornare le chiavi AWS Key Management Service (AWS KMS) per concedere autorizzazioni AWS KMS ai ruoli IAM passati ai processi e ai crawler AWS Glue per crittografare CloudWatch Logs. Per ulteriori informazioni, consulta Crittografia di dati di log in CloudWatch Log tramite AWS KMS nella Guida per l’utente di File di log Amazon CloudWatch.

    Nell'esempio seguente "role1", "role2" e "role3" sono ruoli IAM passati a crawler e processi.

    {
       "Effect": "Allow",
       "Principal": { "Service": "logs.region.amazonaws.com",
       "AWS": [
                "role1",
                "role2",
                "role3"
             ] },
                    "Action": [
                           "kms:Encrypt*",
                           "kms:Decrypt*",
                           "kms:ReEncrypt*",
                           "kms:GenerateDataKey*",
                           "kms:Describe*"
                    ],
                    "Resource": "*"
}

    L'istruzione Service, illustrata nella forma "Service": "logs.region.amazonaws.com" è necessaria se si usa la chiave per crittografare CloudWatch Logs.

  2. Verificare che la chiave AWS KMS sia ENABLED affinché sia possibile usarla.

Nota

Se utilizzi Iceberg come framework di data lake, le tabelle Iceberg dispongono di meccanismi propri per abilitare la crittografia lato server. È necessario abilitare questa configurazione oltre alla configurazione di sicurezza di AWS Glue. Per abilitare la crittografia lato server sulle tabelle Iceberg, consulta le indicazioni contenute nella documentazione di Iceberg.

Creazione di una route a AWS KMS per i crawler e i processi VPC

Puoi connetterti direttamente a AWS KMS attraverso un endpoint privato nel cloud privato virtuale (VPC, Virtual Private Cloud) invece che tramite Internet. Quando usi un endpoint VPC, la comunicazione tra il VPC e AWS KMS avviene interamente all'interno della rete AWS.

Puoi creare un endpoint VPC AWS KMS all'interno di un VPC. Senza questa fase, i processi o i crawler potrebbero avere esito negativo, con un errore kms timeout nei processi o un'eccezione internal service exception nei crawler. Per istruzioni dettagliate, consulta Connessione a AWS KMS mediante un endpoint VPC nella Guida per gli sviluppatori di AWS Key Management Service.

Mentre segui le istruzioni, nella console VPC esegui queste operazioni:

  • Selezionare Abilita nome DNS privato.

  • Scegli il gruppo di sicurezza (con regola autoreferenziale) da usare per il processo o il crawler che accede a JDBC (Java Database Connectivity). Per ulteriori informazioni sulle connessioni AWS Glue, consulta Connessione ai dati.

Quando aggiungi una configurazione della sicurezza a un crawler o a un processo che accede ai datastore JDBC, è necessario che AWS Glue disponga di una route all'endpoint AWS KMS. Puoi fornire la route con un gateway Network Address Translation (NAT) o con un endpoint VPC AWS KMS. Per creare un gateway NAT, consulta Gateway NAT nella Guida per l'utente di Amazon VPC.