EMR Studio ワークスペースノートブックとファイルの暗号化 - Amazon EMR
前提条件新しい EMR Studio の作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EMR Studio ワークスペースノートブックとファイルの暗号化

EMR Studio では、さまざまなワークスペースを作成して設定し、ノートブックを整理して実行できます。これらのワークスペースは、ノートブックと関連ファイルを指定した Amazon S3 バケットに保存します。デフォルトでは、これらのファイルは Amazon S3 が管理するキー (SSE-S3) で暗号化され、サーバー側の暗号化が暗号化のベースレベルになります。カスタマーマネージド KMS キー (SSE-KMS) を使用してファイルを暗号化することもできます。これを行うには、Amazon EMR マネジメントコンソールを使用するか、EMR Studio の作成時に AWS CLI および AWS SDK を使用します。

EMR Studio ワークスペースストレージ暗号化は、EMR Studio が利用可能なすべてのリージョンで利用できます。

前提条件

EMR Studio ワークスペースノートブックとファイルを暗号化する前に、 AWS Key Management Service を使用して、EMR Studio と同じ AWS アカウント およびリージョンに対称カスタマーマネージャーキー (CMK) を作成する必要があります。

のリソースポリシーには、EMR Studio のサービスロールに必要なアクセス許可 AWS KMS が必要です。以下は、EMR Studio Workspace ストレージ暗号化の最小アクセス許可を付与する IAM ポリシーの例です。

{
    "Sid": "AllowEMRStudioServiceRoleAccess",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>"
    },
    "Action": [
        "kms:Decrypt", 
        "kms:GenerateDataKey", 
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "<ACCOUNT_ID>",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::<S3_BUCKET_NAME>",
            "kms:ViaService": "s3.<AWS_REGION>.amazonaws.com"
        }
    }
}

EMR Studio サービスロールには、 AWS KMS キーを使用するためのアクセス許可も必要です。以下は、EMR Studio Workspace ストレージ暗号化の最小アクセス許可を付与する IAM ポリシーの例です。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowEMRStudioWorkspaceStorageEncryptionAccess",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:DescribeKey"
      ],
      "Resource": [
        "arn:aws:kms:*:123456789012:key/12345678-1234-1234-1234-123456789012"
      ]
    }
  ]
}

新しい EMR Studio の作成

ワークスペースストレージ暗号化を使用する新しい EMR Studio を作成するには、次の手順に従います。

  1. Amazon EMR コンソール (https://console.aws.amazon.com/elasticmapreduce/) を開きます。

  2. [Studio] を選択し、[Studio の作成] を選択します。

  3. [ストレージの S3 の場所] では、Amazon S3 パスを入力または選択します。これは、Amazon EMR がワークスペースノートブックとファイルを保存する Amazon S3 の場所です。

  4. [サービスロール] では、IAM ロールを入力または選択します。これは、Amazon EMR が引き受ける IAM ロールです。

  5. 独自の AWS KMS キーを使用して Workspace ファイルを暗号化を選択します

  6. Amazon S3 のワークスペースノートブックとファイルの暗号化に使用する AWS KMS キーを入力または選択します。

  7. [Studio の作成] または [Studio を作成してワークスペースを起動] を選択します。

  8. 独自の AWS KMS キーを使用して Workspace ファイルを暗号化を選択します

  9. Amazon S3 のワークスペースノートブックとファイルの暗号化 AWS KMS に使用する を入力または選択します。

  10. [Save changes] (変更の保存) をクリックします。

次の手順では、EMR Studio を更新し、ワークスペースストレージ暗号化を設定する方法を示します。

  1. Amazon EMR コンソール (https://console.aws.amazon.com/elasticmapreduce/) を開きます。

  2. リストから既存の EMR Studio を選択し、[編集] を選択します。

  3. 独自の AWS KMS キーを使用して Workspace ファイルを暗号化を選択します

  4. Amazon S3 のワークスペースノートブックとファイルの暗号化 AWS KMS に使用する を入力または選択します。

  5. [Save changes] (変更の保存) をクリックします。