翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# EMR Studio ワークスペースノートブックとファイルの暗号化
EMR Studio では、さまざまなワークスペースを作成して設定し、ノートブックを整理して実行できます。これらのワークスペースは、ノートブックと関連ファイルを指定した Amazon S3 バケットに保存します。デフォルトでは、これらのファイルは Amazon S3 が管理するキー (SSE-S3) で暗号化され、サーバー側の暗号化が暗号化のベースレベルになります。カスタマーマネージド KMS キー (SSE-KMS) を使用してファイルを暗号化することもできます。これを行うには、Amazon EMR マネジメントコンソールを使用するか、EMR Studio の作成時に AWS CLI および AWS SDK を使用します。
EMR Studio ワークスペースストレージ暗号化は、EMR Studio が利用可能なすべての[リージョン](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-considerations.html#emr-studio-considerations-general)で利用できます。
## 前提条件
EMR Studio ワークスペースノートブックとファイルを暗号化する前に、 AWS Key Management Service を使用して、EMR Studio と同じ AWS アカウント およびリージョンに[対称カスタマーマネージャーキー (CMK) を作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)する必要があります。
のリソースポリシーには、EMR Studio のサービスロールに必要なアクセス許可 AWS KMS が必要です。以下は、EMR Studio Workspace ストレージ暗号化の最小アクセス許可を付与する IAM ポリシーの例です。
```
{
"Sid": "AllowEMRStudioServiceRoleAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam:::role/"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "",
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::",
"kms:ViaService": "s3..amazonaws.com"
}
}
}
```
EMR Studio サービスロールには、 AWS KMS キーを使用するためのアクセス許可も必要です。以下は、EMR Studio Workspace ストレージ暗号化の最小アクセス許可を付与する IAM ポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRStudioWorkspaceStorageEncryptionAccess",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:*:123456789012:key/12345678-1234-1234-1234-123456789012"
]
}
]
}
```
------
## 新しい EMR Studio の作成
ワークスペースストレージ暗号化を使用する新しい EMR Studio を作成するには、次の手順に従います。
1. Amazon EMR コンソール ([https://console.aws.amazon.com/elasticmapreduce/](https://console.aws.amazon.com/elasticmapreduce/)) を開きます。
1. **[Studio]** を選択し、**[Studio の作成]** を選択します。
1. **[ストレージの S3 の場所]** では、Amazon S3 パスを入力または選択します。これは、Amazon EMR がワークスペースノートブックとファイルを保存する Amazon S3 の場所です。
1. **[サービスロール]** では、IAM ロールを入力または選択します。これは、Amazon EMR が引き受ける IAM ロールです。
1. **独自の AWS KMS キーを使用して Workspace ファイルを暗号化を選択します**。
1. Amazon S3 のワークスペースノートブックとファイルの暗号化に使用する AWS KMS キーを入力または選択します。
1. **[Studio の作成]** または **[Studio を作成してワークスペースを起動**] を選択します。
1. **独自の AWS KMS キーを使用して Workspace ファイルを暗号化を選択します**。
1. Amazon S3 のワークスペースノートブックとファイルの暗号化 AWS KMS に使用する を入力または選択します。
1. **[Save changes]** (変更の保存) をクリックします。
次の手順では、EMR Studio を更新し、ワークスペースストレージ暗号化を設定する方法を示します。
1. Amazon EMR コンソール ([https://console.aws.amazon.com/elasticmapreduce/](https://console.aws.amazon.com/elasticmapreduce/)) を開きます。
1. **リストから既存の EMR Studio **を選択し、**[編集]** を選択します。
1. **独自の AWS KMS キーを使用して Workspace ファイルを暗号化を選択します**。
1. Amazon S3 のワークスペースノートブックとファイルの暗号化 AWS KMS に使用する を入力または選択します。
1. **[Save changes]** (変更の保存) をクリックします。