本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
加密 DataBrew 任務寫入的資料
DataBrew 任務可以寫入加密的 Amazon S3 目標和加密的 Amazon CloudWatch Logs。
設定 DataBrew 以使用加密
請依照此程序設定 DataBrew 環境以使用加密。
設定 DataBrew 環境以使用加密
-
建立或更新AWS KMS 金鑰,以將AWS KMS許可授予傳遞給 DataBrew 任務的AWS Identity and Access Management(IAM) 角色。這些 IAM 角色用於加密 CloudWatch Logs 和 Amazon S3 目標。如需詳細資訊,請參閱 Amazon CloudWatch Logs 使用者指南中的使用AWS KMS加密 CloudWatch Logs 中的日誌資料。
在下列範例中,
、"role1"和"role2"是傳遞給 DataBrew 任務的 IAM 角色。此政策陳述式描述一個 KMS 金鑰政策,授予列出的 IAM 角色使用此 KMS 金鑰加密和解密的許可。"role3"{ "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }Service陳述式 (顯示為"Service": "logs.) 在您使用金鑰加密 CloudWatch Logs 時為必要項目。region.amazonaws.com" -
在使用AWS KMS金鑰
ENABLED之前,請確定金鑰設定為 。
如需使用AWS KMS金鑰政策指定許可的詳細資訊,請參閱在 中使用金鑰政策AWS KMS。
為 VPC AWS KMS任務建立路由至
您可以透過在 Virtual Private Cloud (VPC) 內的私有端點直接連接至AWS KMS,而無需連接至網際網路。當您使用 VPC 端點時,VPC 與 之間的通訊AWS KMS會完全在AWS網路中執行。
您可以在AWS KMS VPC 內建立 VPC 端點。如果沒有此步驟,您的 DataBrew 任務可能會因為 而失敗kms timeout。如需詳細說明,請參閱《 AWS Key Management Service開發人員指南》中的AWS KMS透過 VPC 端點連線至 。
當您遵循這些指示時,在 VPC 主控台
選擇啟用私有 DNS 名稱。
針對安全群組,選擇您用於存取 Java Database Connectivity (JDBC) 之 DataBrew 任務的安全群組 (包括自我參考規則)。
當您執行存取 JDBC 資料存放區的 DataBrew 任務時,DataBrew 必須具有端點的路由AWS KMS。您可以使用網路位址轉譯 (NAT) 閘道或AWS KMS VPC 端點來提供路由。若要建立 NAT 閘道,請參閱 Amazon VPC 使用者指南中的 NAT 閘道。
使用AWS KMS 金鑰設定加密
當您在任務上啟用加密時,它會同時套用到 Amazon S3 和 CloudWatch。傳遞的 IAM 角色必須具有下列AWS KMS許可。
如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的下列主題:
-
如需關於
SSE-S3的詳細資訊,請參閱使用伺服器端加密與 Amazon S3 受管加密金鑰 (SSE-S3) 保護資料。 -
如需 的相關資訊
SSE-KMS,請參閱使用伺服器端加密搭配AWS KMS 受管金鑰 (SSE-KMS) 保護資料。