As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografando dados gravados por trabalhos DataBrew
DataBrew os trabalhos podem gravar em destinos criptografados do Amazon S3 e Amazon CloudWatch Logs criptografados.
Tópicos
Configurando DataBrew para usar criptografia
Siga este procedimento para configurar seu DataBrew ambiente para usar criptografia.
Para configurar seu DataBrew ambiente para usar criptografia
-
Crie ou atualize suas chaves do AWS KMS para dar AWS KMS permissões às funções AWS Identity and Access Management(IAM) que são passadas para os DataBrew trabalhos. Essas funções do IAM são usadas para criptografar CloudWatch registros e destinos do Amazon S3. Para obter mais informações, consulte Criptografar dados de log em CloudWatch registros usando AWS KMS o Guia do usuário do Amazon CloudWatch Logs.
No exemplo a seguir,,
"role1", e"role2"são funções do IAM que são passadas para DataBrew trabalhos. Esta declaração de política descreve uma política de chave do KMS que dá permissão às funções listadas do IAM para criptografar e descriptografar com essa chave do KMS."role3"{ "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }A
Servicedeclaração, mostrada como"Service": "logs., é obrigatória se você usar a chave para criptografar CloudWatch registros.region.amazonaws.com" -
Certifique-se de que a AWS KMS chave esteja configurada para
ENABLEDantes de ser usada.
Para obter mais informações sobre como especificar permissões usando políticas de AWS KMS chaves, consulte Usando políticas de chaves em AWS KMS.
Criando uma rota para AWS KMS para trabalhos de VPC
Você pode se conectar diretamente ao AWS KMS através de um endpoint privado na sua VPC (virtual private cloud) em vez de fazer a conexão pela Internet. Quando você usa um VPC endpoint, a comunicação entre sua VPC e VPC AWS KMSé conduzida inteiramente dentro da rede.AWS
Você pode criar um AWS KMS VPC endpoint dentro de uma VPC. Sem essa etapa, seus DataBrew trabalhos podem falhar com umkms timeout. Para obter instruções detalhadas, consulte Conexão AWS KMS por meio de um VPC Endpoint no Guia do AWS Key Management Service desenvolvedor.
Ao seguir essas instruções, no console da VPC
Escolha Ativar nome DNS privado.
Em Grupo de segurança, escolha o grupo de segurança (incluindo uma regra de autorreferência) que você usa para seu DataBrew trabalho que acessa o Java Database Connectivity (JDBC).
Quando você executa um DataBrew trabalho que acessa os armazenamentos de dados do JDBC, DataBrew deve ter uma rota para o endpoint.AWS KMS Você pode fornecer a rota com um gateway de conversão de endereços de rede (NAT) ou com um AWS KMS VPC endpoint. Para criar um gateway NAT, consulte Gateways NAT no Manual do usuário da Amazon VPC.
Configurando a criptografia com AWS Chaves do KMS
Quando você ativa a criptografia em um trabalho, ela se aplica tanto ao Amazon S3 quanto ao. CloudWatch A função do IAM que é passada deve ter as seguintes AWS KMS permissões.
Para obter mais informações, consulte os tópicos a seguir no Guia do usuário do Amazon Simple Storage Service:
-
Para obter informações sobre isso
SSE-S3, consulte Proteção de dados usando Server-Side criptografia com chaves de S3-Managed criptografia da Amazon (SSE-S3). -
Para obter informações sobre isso
SSE-KMS, consulte Proteção de dados usando Server-Side criptografia com chaves AWS gerenciadas pelo KMS (). SSE-KMS