Criptografia em repouso usando uma chave do KMS do cliente para o serviço EMR WAL - Amazon EMR
ConsideraçõesPermissões obrigatórias do IAMMonitorando a interação do Amazon EMR WAL com AWS KMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia em repouso usando uma chave do KMS do cliente para o serviço EMR WAL

Os registros de gravação antecipada (WAL) do EMR fornecem suporte chave KMS ao cliente. encryption-at-rest A seguir, detalhamos em alto nível como o recurso de WAL do Amazon EMR WAL é integrado ao AWS KMS:

Os registros de gravação antecipada (WAL) do EMR interagem AWS durante as seguintes operações:CreateWAL,,,,,, AppendEdit ArchiveWALCheckPoint CompleteWALFlush DeleteWAL GetCurrentWALTimeReplayEdits, TrimWAL EMR_EC2_DefaultRole por padrão. Quando qualquer uma das operações anteriores listadas é invocada, o EMR WAL cria e com base na chave KMS. Decrypt GenerateDataKey

Considerações

Considere o seguinte ao usar a criptografia AWS KMS baseada para EMR WAL:

  • Não é possível alterar a configuração de criptografia após a criação de um WAL do EMR.

  • Ao usar a criptografia KMS com sua própria chave do KMS, a chave deve existir na mesma região que seu cluster do Amazon EMR.

  • Você é responsável por manter todas as permissões necessárias do IAM e é recomendável não revogar as permissões necessárias durante a vida útil do WAL. Caso contrário, isso causará cenários de falha inesperados, como a incapacidade de excluir o WAL do EMR, pois a chave de criptografia associada não existe.

  • Há um custo associado ao uso de AWS KMS chaves. Para obter mais informações, consulte Preços do AWS Key Management Service.

Permissões obrigatórias do IAM

Para usar a chave do KMS do cliente para criptografar o WAL do EMR em repouso, você precisa ter certeza de definir a permissão adequada para o perfil de cliente do WAL do EMR e para a entidade principal emrwal.amazonaws.com do serviço WAL do EMR.

Permissões para o perfil de cliente WAL do EMR

Abaixo está a política do IAM necessária para o perfil de cliente WAL do EMR:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
      ],
      "Resource": [
        "*"
      ],
      "Sid": "AllowKMSDecrypt"
    }
  ]
}

O cliente WAL do EMR no cluster do EMR usará EMR_EC2_DefaultRole por padrão. Se você usar um perfil diferente para o perfil de instância no cluster do EMR, certifique-se de que cada perfil tenha permissões apropriadas.

Para obter informações sobre gerenciamento da política de perfil, consulte Adicionar e remover permissões de identidade do IAM.

Permissões para a política de chave do KMS

Você precisa conceder o perfil do cliente WAL do EMR e as permissões Decrypt e GenerateDataKey* do serviço WAL do EMR na sua política do KMS. Para obter mais informações sobre o gerenciamento de políticas de chaves, consulte Política de chaves do KMS.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
      ],
      "Resource": [
        "arn:aws:kms:*:123456789012:key/*"
      ],
      "Sid": "AllowKMSDecrypt"
    }
  ]
}

O perfil especificado no snippet pode mudar se você alterar o perfil padrão.

Monitorando a interação do Amazon EMR WAL com AWS KMS

Contexto de criptografia de WAL do Amazon EMR

Um contexto de criptografia é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, vincula AWS KMS criptograficamente o contexto de criptografia aos dados criptografados. Para descriptografar os dados, é necessário passar o mesmo contexto de criptografia.

Em suas solicitações GenerateDataKeye Decrypt para, o AWS KMS Amazon EMR WAL usa um contexto de criptografia com pares de um nome e valor que identificam o nome WAL do EMR.

"encryptionContext": {
    "aws:emrwal:walname": "111222333444555-testworkspace-emrwalclustertest-emrwaltestwalname"
}

Você pode usar o contexto de criptografia para identificar essas operações criptográficas em registros e registros de auditoria, como AWS CloudTrail Amazon CloudWatch Logs, e como condição para autorização em políticas e concessões.