View a markdown version of this page

Criptografando dados gravados por trabalhos DataBrew - AWS Glue DataBrew Guia do Desenvolvedor

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografando dados gravados por trabalhos DataBrew

DataBrew os trabalhos podem gravar em destinos criptografados do Amazon S3 e Amazon CloudWatch Logs criptografados.

Configurando DataBrew para usar criptografia

Siga este procedimento para configurar seu DataBrew ambiente para usar criptografia.

Para configurar seu DataBrew ambiente para usar criptografia
  1. Crie ou atualize suas chaves do AWS KMS para dar AWS KMS permissões às funções AWS Identity and Access Management(IAM) que são passadas para os DataBrew trabalhos. Essas funções do IAM são usadas para criptografar CloudWatch registros e destinos do Amazon S3. Para obter mais informações, consulte Criptografar dados de log em CloudWatch registros usando AWS KMS o Guia do usuário do Amazon CloudWatch Logs.

    No exemplo a seguir,, "role1""role2", e "role3" são funções do IAM que são passadas para DataBrew trabalhos. Esta declaração de política descreve uma política de chave do KMS que dá permissão às funções listadas do IAM para criptografar e descriptografar com essa chave do KMS.

    { "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

    A Service declaração, mostrada como"Service": "logs.region.amazonaws.com", é obrigatória se você usar a chave para criptografar CloudWatch registros.

  2. Certifique-se de que a AWS KMS chave esteja configurada para ENABLED antes de ser usada.

Para obter mais informações sobre como especificar permissões usando políticas de AWS KMS chaves, consulte Usando políticas de chaves em AWS KMS.

Criando uma rota para AWS KMS para trabalhos de VPC

Você pode se conectar diretamente ao AWS KMS através de um endpoint privado na sua VPC (virtual private cloud) em vez de fazer a conexão pela Internet. Quando você usa um VPC endpoint, a comunicação entre sua VPC e VPC AWS KMSé conduzida inteiramente dentro da rede.AWS

Você pode criar um AWS KMS VPC endpoint dentro de uma VPC. Sem essa etapa, seus DataBrew trabalhos podem falhar com umkms timeout. Para obter instruções detalhadas, consulte Conexão AWS KMS por meio de um VPC Endpoint no Guia do AWS Key Management Service desenvolvedor.

Ao seguir essas instruções, no console da VPC, faça o seguinte:

  • Escolha Ativar nome DNS privado.

  • Em Grupo de segurança, escolha o grupo de segurança (incluindo uma regra de autorreferência) que você usa para seu DataBrew trabalho que acessa o Java Database Connectivity (JDBC).

Quando você executa um DataBrew trabalho que acessa os armazenamentos de dados do JDBC, DataBrew deve ter uma rota para o endpoint.AWS KMS Você pode fornecer a rota com um gateway de conversão de endereços de rede (NAT) ou com um AWS KMS VPC endpoint. Para criar um gateway NAT, consulte Gateways NAT no Manual do usuário da Amazon VPC.

Configurando a criptografia com AWS Chaves do KMS

Quando você ativa a criptografia em um trabalho, ela se aplica tanto ao Amazon S3 quanto ao. CloudWatch A função do IAM que é passada deve ter as seguintes AWS KMS permissões.

Para obter mais informações, consulte os tópicos a seguir no Guia do usuário do Amazon Simple Storage Service: