本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 加密 EMR Studio Workspace Notebook 和文件
<a name="emr-studio-workspace-storage-encryption"></a>

在 EMR Studio 中，您可以创建和配置不同的 Workspace 来组织和运行 Notebook。这些 Workspace 将 Notebook 和相关文件存储在指定的 Amazon S3 存储桶中。默认情况下，这些文件使用 Amazon S3 托管密钥（SSE-S3）进行加密，并将服务器端加密作为基础加密级别。您还可以选择使用客户托管 KMS 密钥（SSE-KMS）来加密文件。创建 EMR Studio 时，您可以使用亚马逊 EMR 管理控制台或通过 AWS CLI 和 AWS 软件开发工具包来实现。

EMR Studio Workspace 存储加密适用于 EMR Studio 所在的所有[区域](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-considerations.html#emr-studio-considerations-general)。

## 先决条件
<a name="emr-studio-workspace-storage-encryption-prereqs"></a>

在加密 EMR Studio 工作空间笔记本和文件之前，必须使用 AWS Key Management Service [创建与您的 EMR Studio 相同 AWS 账户 和区域的对称客户经理密钥 (CMK)](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)。

 您的资源策略 AWS KMS 必须具有您的 EMR Studio 服务角色所需的访问权限。以下是授予 EMR Studio Workspace 存储加密最低访问权限的 IAM 策略示例：

```
{
    "Sid": "AllowEMRStudioServiceRoleAccess",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<{{ACCOUNT_ID}}>:role/<{{ROLE_NAME}}>"
    },
    "Action": [
        "kms:Decrypt", 
        "kms:GenerateDataKey", 
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "<{{ACCOUNT_ID}}>",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::<{{S3_BUCKET_NAME}}>",
            "kms:ViaService": "s3.<{{AWS_REGION}}>.amazonaws.com"
        }
    }
}
```

您的 EMR Studio 服务角色还必须具有访问权限才能使用您的 AWS KMS 密钥。以下是授予 EMR Studio Workspace 存储加密最低访问权限的 IAM 策略示例：

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowEMRStudioWorkspaceStorageEncryptionAccess",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:DescribeKey"
      ],
      "Resource": [
        "arn:aws:kms:*:123456789012:key/12345678-1234-1234-1234-123456789012"
      ]
    }
  ]
}
```

------

## 创建新的 EMR Studio
<a name="emr-studio-workspace-storage-encryption-setup"></a>

按照以下步骤创建使用 Workspace 存储加密的新 EMR Studio。

1. 打开 Amazon EMR 控制台（[https://console.aws.amazon.com/elasticmapreduce/](https://console.aws.amazon.com/elasticmapreduce/)）。

1. 选择 **Studios**，然后选择**创建 Studio**。

1. 对于 **S3 存储位置**，输入或选择 Amazon S3 路径。这是 Amazon EMR 存储 Workspace Notebook 和文件的 Amazon S3 位置。

1. 对于**服务角色**，输入或选择 IAM 角色。这是 Amazon EMR 代入的 IAM 角色。

1. 选择**使用您自己的密 AWS KMS 钥加密工作区文件**。

1. 输入或选择用于加密 Amazon S3 中的工作空间笔记本和文件的密 AWS KMS 钥。

1. 选择**创建 Studio** 或**创建 Studio 并启动 Workspace**。

1. 选择**使用您自己的密 AWS KMS 钥加密工作区文件**。

1. 输入或选择 AWS KMS 用于加密 Amazon S3 中的工作空间笔记本和文件。

1. 选择**保存更改**。

以下步骤演示了如何更新 EMR Studio 和设置 Workspace 存储加密。

1. 打开 Amazon EMR 控制台（[https://console.aws.amazon.com/elasticmapreduce/](https://console.aws.amazon.com/elasticmapreduce/)）。

1. 选择**列表中的现有 EMR Studio**，然后选择**编辑**。

1. 选择**使用您自己的密 AWS KMS 钥加密工作区文件**。

1. 输入或选择 AWS KMS 用于加密 Amazon S3 中的工作空间笔记本和文件。

1. 选择**保存更改**。