As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia em repouso usando uma chave KMS do cliente para o serviço EMR WAL
Os registros de gravação antecipada (WAL) do EMR fornecem suporte chave KMS ao cliente. encryption-at-rest A seguir, detalhamos em alto nível como o Amazon EMR WAL é integrado ao: AWS KMS
Os registros de gravação antecipada (WAL) do EMR interagem AWS durante as seguintes operações:CreateWAL,,,,,, AppendEdit ArchiveWALCheckPoint CompleteWALFlush DeleteWAL GetCurrentWALTimeReplayEdits, TrimWAL EMR_EC2_DefaultRole por padrão. Quando qualquer uma das operações anteriores listadas é invocada, o EMR WAL cria e com base na chave KMS. Decrypt GenerateDataKey
Considerações
Considere o seguinte ao usar a criptografia AWS KMS baseada para EMR WAL:
-
A configuração de criptografia não pode ser alterada após a criação de um EMR WAL.
-
Quando você usa a criptografia KMS com sua própria chave KMS, a chave deve existir na mesma região do seu cluster do Amazon EMR.
-
Você é responsável por manter todas as permissões necessárias do IAM e é recomendável não revogar as permissões necessárias durante a vida útil do WAL. Caso contrário, isso causará cenários de falha inesperados, como a incapacidade de excluir o EMR WAL, pois a chave de criptografia associada não existe.
-
Há um custo associado ao uso de AWS KMS chaves. Para obter mais informações, consulte Preços do AWS Key Management Service
.
Permissões obrigatórias do IAM
Para usar a chave KMS do cliente para criptografar o EMR WAL em repouso, você precisa ter certeza de definir a permissão adequada para a função de cliente do EMR WAL e para o responsável pelo serviço do EMR WAL. emrwal.amazonaws.com
Permissões para a função de cliente EMR WAL
Abaixo está a política do IAM necessária para a função de cliente do EMR WAL:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", ], "Resource": "*" } }
O cliente EMR WAL no cluster EMR será usado por padrão. EMR_EC2_DefaultRole Se você usar uma função diferente para o perfil da instância no cluster do EMR, certifique-se de que cada função tenha as permissões apropriadas.
Para obter mais informações sobre como gerenciar a política de funções, consulte Adicionar e remover permissões de identidade do IAM.
Permissões para a política de chaves do KMS
Você precisa conceder à função de cliente do EMR WAL e ao serviço Decrypt e permissão do EMR WAL em sua política do KMS. GenerateDataKey* Para obter mais informações sobre o gerenciamento de políticas de chaves, consulte a política de chaves do KMS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::accountID:role/EMR_EC2_DefaultRole" ], "Service": [ "emrwal.amazonaws.com" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": [ "*" ] } ] }
A função especificada no snippet pode mudar se você alterar a função padrão.
Monitorando a interação do Amazon EMR WAL com AWS KMS
Contexto de criptografia WAL do Amazon EMR
Um contexto de criptografia é um conjunto de pares de chave-valor que contém dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, vincula AWS KMS criptograficamente o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você deve passar o mesmo contexto de criptografia.
Em suas solicitações GenerateDataKeye Decrypt para, o AWS KMS Amazon EMR WAL usa um contexto de criptografia com pares de um nome e valor que identificam o nome WAL do EMR.
"encryptionContext": { "aws:emrwal:walname": "111222333444555-testworkspace-emrwalclustertest-emrwaltestwalname" }
Você pode usar o contexto de criptografia para identificar essas operações criptográficas em registros e registros de auditoria, como AWS CloudTrail Amazon CloudWatch Logs, e como condição para autorização em políticas e concessões.
