View a markdown version of this page

加密 DataBrew 任務寫入的資料 - AWS Glue DataBrew開發人員指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

加密 DataBrew 任務寫入的資料

DataBrew 任務可以寫入加密的 Amazon S3 目標和加密的 Amazon CloudWatch Logs。

設定 DataBrew 以使用加密

請依照此程序設定 DataBrew 環境以使用加密。

設定 DataBrew 環境以使用加密
  1. 建立或更新AWS KMS 金鑰,以將AWS KMS許可授予傳遞給 DataBrew 任務的AWS Identity and Access Management(IAM) 角色。這些 IAM 角色用於加密 CloudWatch Logs 和 Amazon S3 目標。如需詳細資訊,請參閱 Amazon CloudWatch Logs 使用者指南中的使用AWS KMS加密 CloudWatch Logs 中的日誌資料

    在下列範例中,"role1""role2""role3"是傳遞給 DataBrew 任務的 IAM 角色。此政策陳述式描述一個 KMS 金鑰政策,授予列出的 IAM 角色使用此 KMS 金鑰加密和解密的許可。

    { "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

    Service 陳述式 (顯示為 "Service": "logs.region.amazonaws.com") 在您使用金鑰加密 CloudWatch Logs 時為必要項目。

  2. 在使用AWS KMS金鑰ENABLED之前,請確定金鑰設定為 。

如需使用AWS KMS金鑰政策指定許可的詳細資訊,請參閱在 中使用金鑰政策AWS KMS

為 VPC AWS KMS任務建立路由至

您可以透過在 Virtual Private Cloud (VPC) 內的私有端點直接連接至AWS KMS,而無需連接至網際網路。當您使用 VPC 端點時,VPC 與 之間的通訊AWS KMS會完全在AWS網路中執行。

您可以在AWS KMS VPC 內建立 VPC 端點。如果沒有此步驟,您的 DataBrew 任務可能會因為 而失敗kms timeout。如需詳細說明,請參閱《 AWS Key Management Service開發人員指南》中的AWS KMS透過 VPC 端點連線至

當您遵循這些指示時,在 VPC 主控台上,請務必執行下列動作:

  • 選擇啟用私有 DNS 名稱

  • 針對安全群組,選擇您用於存取 Java Database Connectivity (JDBC) 之 DataBrew 任務的安全群組 (包括自我參考規則)。

當您執行存取 JDBC 資料存放區的 DataBrew 任務時,DataBrew 必須具有端點的路由AWS KMS。您可以使用網路位址轉譯 (NAT) 閘道或AWS KMS VPC 端點來提供路由。若要建立 NAT 閘道,請參閱 Amazon VPC 使用者指南中的 NAT 閘道

使用AWS KMS 金鑰設定加密

當您在任務上啟用加密時,它會同時套用到 Amazon S3 和 CloudWatch。傳遞的 IAM 角色必須具有下列AWS KMS許可。

如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的下列主題: