本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 加密作业写入的数据 DataBrew
<a name="encryption-security-configuration"></a>

DataBrew 任务可以写入加密的 Amazon S3 目标和加密的 Amazon CloudWatch 日志。

**Topics**
+ [设置 DataBrew 为使用加密](#encryption-setup-DataBrew)
+ [为 VPC 任务创建通往 AWS KMS 的路由](#encryption-kms-vpc-endpoint)
+ [使用 AWS KMS 密钥设置加密](#console-security-configurations-wizard)

## 设置 DataBrew 为使用加密
<a name="encryption-setup-DataBrew"></a>

按照以下步骤将您的 DataBrew 环境设置为使用加密。

**将您的 DataBrew 环境设置为使用加密**

1. 创建或更新您的 AWS KMS 密钥以向传递给 DataBrew 任务的 AWS Identity and Access Management (IAM) 角色 AWS KMS 授予权限。这些 IAM 角色用于加密 CloudWatch 日志和 Amazon S3 目标。有关更多信息，请参阅 *Amazon Lo CloudWatch gs 用户指南 AWS KMS中的使用加密 CloudWatch 日志*[数据](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)。

   在以下示例中，{{`"role1"`}}{{`"role2"`}}、和{{`"role3"`}}是传递给 DataBrew 任务的 IAM 角色。此策略声明描述了 KMS 密钥策略，该策略提供允许使用此 KMS 密钥对列出的 IAM 角色进行加密和解密的权限。

   ```
      {
          "Effect": "Allow",
          "Principal": {
              "Service": "logs.{{region}}.amazonaws.com",
              "AWS": [
                  "{{role1}}",
                  "{{role2}}",
                  "{{role3}}"
              ]
          },
          "Action": [
              "kms:Encrypt*",
              "kms:Decrypt*",
              "kms:ReEncrypt*",
              "kms:GenerateDataKey*",
              "kms:Describe*"
          ],
          "Resource": "*"
      }
   ```

   如果您使用密钥对 CloudWatch 日志进行加密`"Service": "logs.{{region}}.amazonaws.com"`，则必须使用该`Service`语句（如所示）。

1. 确保在使用 AWS KMS 密钥`ENABLED`之前将其设置为。

有关使用 AWS KMS 密钥策略指定权限的更多信息，请参阅[中的使用密钥策略 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。

## 为 VPC 任务创建通往 AWS KMS 的路由
<a name="encryption-kms-vpc-endpoint"></a>

您可以通过 Virtual Private Cloud (VPC) 中的私有端点直接连接到 AWS KMS ，而不是通过互联网连接。当您使用 VPC 终端节点时，您 AWS KMS 的 VPC 和 VPC 之间的通信完全在 AWS 网络内进行。

您可以在 AWS KMS VPC 内创建 VPC 终端节点。如果不执行此步骤，您的 DataBrew 作业可能会失败`kms timeout`。有关详细说明，请参阅《*AWS Key Management Service 开发人员指南》*中的 “[AWS KMS 通过 VPC 终端节点连接](https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html)”。

当您按照这些说明操作时，请务必在 [VPC 控制台](https://console.aws.amazon.com//vpc)上执行以下操作：
+ 选择**启用私有 DNS 名称**。
+ 对于**安全组**，选择用于访问 Java 数据库连接 (JDBC) 的 DataBrew 作业的安全组（包括自引用规则）。

运行访问 JDBC 数据存储的 DataBrew 作业时， DataBrew 必须有通往终端节点的路由。 AWS KMS 您可以为路由提供网络地址转换 (NAT) 网关或 AWS KMS VPC 终端节点。要创建 NAT 网关，请参阅 *Amazon VPC 用户指南*中的 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)。

## 使用 AWS KMS 密钥设置加密
<a name="console-security-configurations-wizard"></a>

当您对任务启用加密时，它会同时适用于 Amazon S3 和 CloudWatch。传递的 IAM 角色必须具有以下 AWS KMS 权限。

有关更多信息，请参阅 *Amazon Simple Storage Service 用户指南*中的以下主题：
+ 有关 `SSE-S3` 的更多信息，请参阅[使用具有 Amazon S3 托管加密密钥 (SSE-S3) 的服务器端加密 (SSE-S3) 保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
+ 有关信息`SSE-KMS`，请参阅[使用 KMS AWS 托管密钥的服务器端加密 (SSE-KMS) 保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。