AWS Glue​ によって書き込まれたデータの暗号化 - AWS Glue
セキュリティ設定を使用するための AWS Glue​ のセットアップAWS KMS へのルートを作成する

AWS Glue​ によって書き込まれたデータの暗号化

セキュリティ設定は、AWS Glue が使用できるセキュリティプロパティのセットです。セキュリティ構成を使用して、保管時にデータを暗号化できます。以下のシナリオでは、セキュリティ設定を使用できるいくつかの方法を示します。

  • 暗号化された Amazon CloudWatch Logs​ を書き込む ​AWS Glue クローラーにセキュリティ設定をアタッチします。クローラーにセキュリティ設定のアタッチの詳細については、「ステップ 3: セキュリティ設定を構成する」を参照してください。

  • 抽出、変換、ロード (ETL) ジョブにセキュリティ設定をアタッチして、暗号化された Amazon Simple Storage Service (Amazon S3) ターゲット、および暗号化された CloudWatch Logs を書き込みます。

  • ETL ジョブにセキュリティ設定をアタッチして、暗号化された Amazon S3 データとして​ジョブブックマークを書き込みます。

  • 開発エンドポイントにセキュリティ設定をアタッチして、暗号化された ​Amazon S3 ターゲットを書き込みます。

重要

現時点では、セキュリティ設定は、ETL ジョブのパラメータとして渡されるサーバー側暗号化 (SSE-S3) 設定をすべてオーバーライドします。したがって、ジョブにセキュリティ設定と SSE-S3 の両方が関連付けられている場合、SSE-S3 パラメータは無視されます。

セキュリティ設定の詳細については、「AWS Glue コンソールでのセキュリティ設定の管理」を参照してください。

トピック

セキュリティ設定を使用するための AWS Glue​ のセットアップ

以下の手順を実行して、セキュリティ設定を使用するように AWS Glue​ 環境をセットアップします。

  1. ​AWS Glue クローラーに渡される IAM ロールおよび CloudWatch Logs を暗号化するジョブ​への AWS KMS​ アクセス許可を付与するため、AWS Key Management Service​ (AWS KMS) キーを作成または更新します。詳しくは、Amazon CloudWatch Logs ユーザーガイドの「AWS KMS を使用して CloudWatch Logs のログデータを暗号化する」を参照してください。

    次の例では、"role1""role2"、および "role3" が、クローラーおよびジョブに渡される IAM ロールです。

    {
       "Effect": "Allow",
       "Principal": { "Service": "logs.region.amazonaws.com",
       "AWS": [
                "role1",
                "role2",
                "role3"
             ] },
                    "Action": [
                           "kms:Encrypt*",
                           "kms:Decrypt*",
                           "kms:ReEncrypt*",
                           "kms:GenerateDataKey*",
                           "kms:Describe*"
                    ],
                    "Resource": "*"
}

    キーを使用して ​CloudWatch Logs を暗号化する場合、"Service": "logs.region.amazonaws.com"​ と表示される ​Service ステートメントが必要です。

  2. 使用する前に、AWS KMS​ キーが ENABLED​ であることを確認します。

注記

データレイクフレームワークとして Iceberg を使用している場合、Iceberg テーブルにはサーバー側の暗号化を有効にする独自のメカニズムがあります。AWS Glue のセキュリティ設定に加えて、これらの設定を有効にする必要があります。Iceberg テーブルでサーバー側の暗号化を有効にするには、「Iceberg ドキュメント」のガイダンスを確認してください。

VPC ジョブとクローラーの AWS KMS へのルートを作成する

インターネットを介さずに、仮想プライベートクラウド (VPC) のプライベートエンドポイントから AWS KMS に直接接続できます。VPC エンドポイントを使用すると、VPC と AWS KMS の間の通信は完全に AWS ネットワーク内で実施されます。

VPC 内に AWS KMS VPC エンドポイントを作成することができます。この手順を実行しないと、ジョブまたはクローラーがジョブの kms timeout またはクローラーの internal service exception で失敗する可能性があります。詳細な手順については、AWS Key Management Serviceデベロッパーガイドの「VPC エンドポイントを介した AWS KMS への接続」を参照してください。

これらの手順に従って、VPC コンソールで次の操作を行う必要があります。

  • [Enable Private DNS name] (プライベート DNS 名を有効にする) を選択します。

  • Java Database Connectivity (JDBC) にアクセスするジョブまたはクローラーに使用する [Security group] (セキュリティグループ) (自己参照ルールを持つ) を選択します。AWS Glue 接続の詳細については、「データへの接続」を参照してください。

JDBC データストアにアクセスするクローラーまたはジョブにセキュリティ設定を追加する場合、AWS Glue には AWS KMS エンドポイントへのルートが必要です。ネットワークアドレス変換 (NAT) ゲートウェイまたは AWS KMS VPC エンドポイントを使用してルートを指定できます。NAT ゲートウェイを作成するには、Amazon VPC ユーザーガイドの「NAT ゲートウェイ」を参照してください。