Criptografia em repouso usando uma chave do KMS do cliente para o serviço EMR WAL
Os logs de gravação antecipada (WAL) do EMR oferecem suporte à criptografia de chaves do KMS em repouso. A seguir, detalhamos em alto nível como o recurso de WAL do Amazon EMR WAL é integrado ao AWS KMS:
Os logs de gravação antecipada (WAL) do EMR interagem com o AWS durante as seguintes operações: CreateWAL, AppendEdit, ArchiveWALCheckPoint, CompleteWALFlush, DeleteWAL, GetCurrentWALTime, ReplayEdits, TrimWAL por meio do EMR_EC2_DefaultRole padrão. Quando qualquer uma das operações anteriores listadas é invocada, o recurso WAL do EMR cria Decrypt e GenerateDataKey com base na chave do KMS.
Considerações
Considere o seguinte ao usar criptografia baseada no AWS KMS para WAL do EMR:
-
Não é possível alterar a configuração de criptografia após a criação de um WAL do EMR.
-
Ao usar a criptografia KMS com sua própria chave do KMS, a chave deve existir na mesma região que seu cluster do Amazon EMR.
-
Você é responsável por manter todas as permissões necessárias do IAM e é recomendável não revogar as permissões necessárias durante a vida útil do WAL. Caso contrário, isso causará cenários de falha inesperados, como a incapacidade de excluir o WAL do EMR, pois a chave de criptografia associada não existe.
-
Há um custo associado ao uso de chaves do AWS KMS. Para obter mais informações, consulte Preços do AWS Key Management Service
.
Permissões obrigatórias do IAM
Para usar a chave do KMS do cliente para criptografar o WAL do EMR em repouso, você precisa ter certeza de definir a permissão adequada para o perfil de cliente do WAL do EMR e para a entidade principal emrwal.amazonaws.com do serviço WAL do EMR.
Permissões para o perfil de cliente WAL do EMR
Abaixo está a política do IAM necessária para o perfil de cliente WAL do EMR:
O cliente WAL do EMR no cluster do EMR usará EMR_EC2_DefaultRole por padrão. Se você usar um perfil diferente para o perfil de instância no cluster do EMR, certifique-se de que cada perfil tenha permissões apropriadas.
Para obter informações sobre gerenciamento da política de perfil, consulte Adicionar e remover permissões de identidade do IAM.
Permissões para a política de chave do KMS
Você precisa conceder o perfil do cliente WAL do EMR e as permissões Decrypt e GenerateDataKey* do serviço WAL do EMR na sua política do KMS. Para obter mais informações sobre o gerenciamento de políticas de chaves, consulte Política de chaves do KMS.
O perfil especificado no snippet pode mudar se você alterar o perfil padrão.
Monitorar a interação do WAL do Amazon EMR com o AWS KMS
Contexto de criptografia de WAL do Amazon EMR
Um contexto de criptografia é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você deve passar o mesmo contexto de criptografia.
Em suas solicitações GenerateDataKey e Decrypt para AWS KMS, o WAL do Amazon EMR usa um contexto de criptografia com um par de nome/valor que identifica o nome do WAL do EMR.
"encryptionContext": { "aws:emrwal:walname": "111222333444555-testworkspace-emrwalclustertest-emrwaltestwalname" }
É possível usar o contexto de criptografia para identificar essas operações de criptografia em logs e registros de auditoria, como AWS CloudTrailhttps://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html e o Amazon CloudWatch Logs, e como uma condição para a autorização em políticas e concessões.
