View a markdown version of this page

DataBrew ジョブによって書き込まれたデータの暗号化 - AWS Glue DataBrewデベロッパーガイド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DataBrew ジョブによって書き込まれたデータの暗号化

DataBrew ジョブは、暗号化された Amazon S3 ターゲットと暗号化された Amazon CloudWatch Logs に書き込むことができます。

暗号化を使用するように DataBrew を設定する

暗号化を使用するように DataBrew 環境を設定するには、次の手順に従います。

暗号化を使用するように DataBrew 環境を設定するには
  1. KMS AWSキーを作成または更新して、DataBrew ジョブに渡されるAWS Identity and Access Management(IAM) ロールにアクセスAWS KMS許可を付与します。これらの IAM ロールは、CloudWatch Logs と Amazon S3 ターゲットを暗号化するために使用されます。詳しくは、Amazon CloudWatch Logs ユーザーガイドの「AWS KMSを使用して CloudWatch Logs のログデータを暗号化する」を参照してください。

    次の例では、"role1"、、 "role2""role3"は DataBrew ジョブに渡される IAM ロールです。このポリシーステートメントでは、この KMS キーを使用して暗号化および復号するためのアクセス許可をリストされた IAM ロールに付与する KMS キーポリシーについて説明します。

    { "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

    キーを使用して ​CloudWatch Logs を暗号化する場合、"Service": "logs.region.amazonaws.com"​ と表示される ​Service ステートメントが必要です。

  2. キーを使用するENABLED前に、AWS KMSキーが に設定されていることを確認します。

AWS KMSキーポリシーを使用したアクセス許可の指定の詳細については、「 でのキーポリシーの使用AWS KMS」を参照してください。

VPC ジョブAWS KMSの へのルートの作成

インターネットを介さずに、仮想プライベートクラウド (VPC) のプライベートエンドポイントからAWS KMSに直接接続できます。VPC エンドポイントを使用する場合、VPC と 間の通信AWS KMSはAWSネットワーク内で完全に行われます。

AWS KMS VPC エンドポイントは VPC 内に作成できます。このステップを行わないと、DataBrew ジョブが で失敗する可能性がありますkms timeout。詳細な手順については、 AWS Key Management Serviceデベロッパーガイドの「VPC エンドポイントAWS KMSを介した への接続」を参照してください。

これらの指示に従うときは、VPC コンソールで、次の操作を行ってください。

  • プライベート DNS 名を有効にするを選択します。

  • セキュリティグループで、Java Database Connectivity (JDBC) にアクセスする DataBrew ジョブに使用するセキュリティグループ (自己参照ルールを含む) を選択します。

JDBC データストアにアクセスする DataBrew ジョブを実行する場合、DataBrew にはAWS KMSエンドポイントへのルートが必要です。ルートには、ネットワークアドレス変換 (NAT) ゲートウェイまたはAWS KMS VPC エンドポイントを指定できます。NAT ゲートウェイを作成するには、Amazon VPC ユーザーガイドの「NAT ゲートウェイ」を参照してください。

KMS AWSキーによる暗号化の設定

ジョブで暗号化を有効にすると、Amazon S3 と CloudWatch の両方に適用されます。 CloudWatch 渡される IAM ロールには、次のAWS KMSアクセス許可が必要です。

詳細については、Amazon Simple Storage Service コンソールユーザーガイドの以下のトピックを参照してください。