Amazon DataZone 的静态数据加密
默认情况下,静态数据加密有助于降低保护敏感数据的操作开销和复杂性。同时,它还支持构建符合严格加密合规性和监管要求的安全应用程序。
Amazon DataZone 使用默认的 AWS 拥有的密钥自动加密静态数据。您无法查看、管理或审计对 AWS 拥有的密钥的使用。有关更多信息,请参阅 AWS 拥有的密钥。
虽然您无法禁用此加密层,也不能选择其他加密类型,但您可以在创建 Amazon DataZone 域时选择客户自主管理型密钥。Amazon DataZone 支持使用您创建、拥有并管理的对称客户自主管理型密钥。由于您能够完全控制加密,因此可执行以下任务:
-
建立和维护密钥政策
-
创建和维护 IAM 策略和授权
-
启用和禁用密钥政策
-
轮换密钥加密材料
-
添加标签
-
创建密钥别名
-
计划密钥删除
要使用您自己的密钥,请在创建 Amazon DataZone 域时选择客户自主管理型密钥。
有关更多信息,请参阅客户自主管理型密钥。
注意
Amazon DataZone 使用 AWS 拥有的密钥自动启用静态加密,从而免费保护客户数据。
使用客户自主管理型密钥会产生 AWS KMS 费用。有关定价的更多信息,请参阅 AWS Key Management Service 定价
Amazon DataZone 如何在 AWS KMS 中使用授权
Amazon DataZone 需要两项授权才能使用客户自主管理型密钥。在创建使用客户自主管理型密钥加密的 Amazon DataZone 域时,Amazon DataZone 会通过向 AWS KMS 发送 CreateGrant 请求来代表您创建授权。AWS KMS 中的授权用于向 Amazon DataZone 授予对您账户中的 KMS 密钥的访问权限。Amazon DataZone 创建以下授权以将客户自主管理型密钥用于以下内部操作:
一项用于为以下操作加密静态数据的授权:
-
将 DescribeKey 请求发送到 AWS KMS 以验证在创建 Amazon DataZone 域时输入的对称客户自主管理型 KMS 密钥 ID 是否有效。
-
将 GenerateDataKey 发送到 AWS KMS 以生成由客户自主管理型密钥加密的数据密钥。
-
发送 Decrypt 请求,使 Amazon DataZone 能够解密存储的数据。
-
RetireGrant,用于在删除域时停用授权。
用于搜索和发现数据的一项授权:
-
DescribeKey – 提供客户自主管理型密钥详细信息,从而允许 Amazon DataZone 验证密钥。
-
Decrypt – 允许 Amazon DataZone 解密存储的数据。
您可以随时撤消对指向客户自主管理型密钥的授权的访问权限。如果您这样做,Amazon DataZone 将无法访问由客户托管密钥加密的任何数据,这样会影响依赖于该数据的操作。
创建客户托管密钥
可以使用 AWS 管理控制台或者 AWS KMS API 创建对称的客户托管密钥。
要创建对称客户自主管理型密钥,请按照《AWS Key Management Service Developer Guide》中的 Creating symmetric customer managed key 的步骤进行操作。
密钥政策 – 密钥政策控制对客户自主管理型密钥的访问。每个客户托管式密钥必须只有一个密钥策略,其中包含确定谁可以使用密钥以及如何使用密钥的声明。创建客户托管式密钥时,可以指定密钥策略。有关更多信息,请参阅 AWS Key Management Service 开发人员指南中的管理对客户托管密钥的访问权限。
要将客户自主管理型密钥与 Amazon DataZone 资源结合使用,密钥策略中必须允许以下 API 操作:
-
kms:CreateGrant – 添加访问客户自主管理型密钥的授权。授予对指定 KMS 密钥的控制访问权限,从而允许访问 Amazon DataZone 所需的授权操作。有关使用授权的更多信息,请参阅 AWS Key Management Service 开发人员指南。
-
kms:DescribeKey – 提供客户自主管理型密钥详细信息,从而允许 Amazon DataZone 验证密钥。
-
kms:GenerateDataKey – 返回唯一的对称数据密钥,以供在 AWS KMS 外部使用。
-
kms:Decrypt – 解密通过 KMS 密钥加密的加密文字。
以下是您可以为 Amazon DataZone 添加的策略声明示例:
"Statement": [ { "Sid": "Enable IAM User Permissions for DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid": "Allow access to principals authorized to manage Amazon DataZone", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:datazone:domainId" } } }, { "Sid": "Allow creating grants when creating an Amazon DataZone for all principals in the account that are authorized to manage Amazon DataZone", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:region:111122223333:key/key_ID", "Condition": { "StringLike": { "kms:CallerAccount": "111122223333", "kms:ViaService": "datazone.region.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:datazone:domainId" } } } ]
注意
Amazon DataZone 数据门户通过域执行角色主体获得了对您的客户自主管理型密钥的访问权限。
有关在策略中指定权限的更多信息,请参阅《AWS Key Management Service 开发人员指南》。
有关 troubleshooting key access 的更多信息,请参阅《AWS Key Management Service 开发人员指南》。
指定 Amazon DataZone 的客户自主管理型密钥
在域创建过程中,您可以将客户自主管理型密钥指定为第二层加密。
Amazon DataZone 加密上下文
加密上下文是一组可选的键值对,包含有关数据的其他上下文信息。
AWS KMS 会将加密上下文用作其他已经过验证的数据以支持经过身份验证的加密。在请求中包含加密上下文以加密数据时,AWS KMS 将加密上下文绑定到加密的数据。要解密数据,您必须在请求中包含相同的加密上下文。
Amazon DataZone 会使用以下加密上下文:
"encryptionContextSubset": { "aws:datazone:domainId": "{dzd_samleid}" }
使用加密上下文进行监控 – 在使用对称的客户自主管理型密钥加密 Amazon DataZone 时,您还可以使用审计记录和日志中的加密上下文来识别客户自主管理型密钥的使用方式。加密上下文还会显示在由 AWS CloudTrail 或 Amazon CloudWatch Logs 生成的日志中。
使用加密上下文控制对客户自主管理型密钥的访问 – 您可以使用密钥策略和 IAM 策略中的加密上下文作为条件来控制对您的对称客户自主管理型密钥的访问。您也可以在授予中使用加密上下文约束。
Amazon DataZone 在授权中使用加密上下文限制,以控制对您账户或区域中的客户自主管理型密钥的访问。授权约束要求授权允许的操作使用指定的加密上下文。
以下是密钥政策声明示例,用于授予对特定加密上下文的客户托管密钥的访问权限。
{ "Sid": "Enable DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid": "Allow access to principal to manage an Amazon DataZone domain with the given domain id", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:datazone:domainId": "dzd_sampleid" } } }, { "Sid": "Allow creating grants when creating an Amazon DataZone domain to principal", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:region:111122223333:key/key_ID", "Condition": { "StringLike": { "kms:CallerAccount": "111122223333", "kms:ViaService": "datazone.region.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:datazone:domainId" } } }
监控 Amazon DataZone 的加密密钥
当您将 AWS KMS 客户自主管理型密钥与您的 Amazon DataZone 资源结合使用时,您可以使用 AWS CloudTrail 来跟踪 Amazon DataZone 发送到 AWS KMS 的请求。以下示例是 CreateGrant、GenerateDataKey、Decrypt 和 RetireGrant 的 AWS CloudTrail 事件,用于监控 Amazon DataZone 为访问由您的客户自主管理型密钥加密的数据而调用的 KMS 操作。
创建涉及加密的 AWS Glue 目录的数据湖环境
在高级应用场景中,当您使用加密的 AWS Glue 目录时,必须授予对 Amazon DataZone 服务的访问权限才能使用客户自主管理型 KMS 密钥。您可以通过更新自定义 KMS 策略并在密钥中添加标签来完成此操作。要授予对 Amazon DataZone 服务的访问权限以处理加密的 AWS Glue 目录中的数据,请完成以下操作:
-
将以下策略添加到您的自定义 KMS 密钥。有关更多信息,请参阅更改密钥政策。
重要
-
您必须使用要在其中创建环境的账户 ID 修改策略中的
"aws:PrincipalArn"ARN。您要在其中创建环境的每个账户都必须在策略中列为"aws:PrincipalArn"。 -
您还必须将 <GLUE_CATALOG_ID> 替换为您的 AWS Glue 目录所在的有效 AWS 账户 ID。
-
请注意,此策略允许指定账户中的所有 Amazon DataZone 环境用户角色使用密钥。如果您只想允许特定的环境用户角色使用密钥,则必须指定整个环境用户角色名称,例如,
arn:aws:iam::<ENVIRONMENT_ACCOUNT_ID>:role/datazone_usr_<ENVIRONMENT_ID>(其中 <ENVIRONMENT_ID> 是环境的 ID,而非通配符格式)。
-
-
将以下标签添加到您的自定义 KMS 密钥。有关更多信息,请参阅使用标签控制对 KMS 密钥的访问。
key: AmazonDataZoneEnvironment value: all
