本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
加密 EMR Studio 工作區筆記本和檔案
在 EMR Studio 中,您可以建立和設定不同的工作區來組織和執行筆記本。這些工作區會將筆記本和相關檔案存放在您指定的 Amazon S3 儲存貯體中。根據預設,這些檔案會使用 Amazon S3-managed金鑰 (SSE-S3) 加密,並以伺服器端加密做為基本加密層級。您也可以選擇使用客戶受管 KMS 金鑰 (SSE-KMS) 來加密您的檔案。您可以在建立 EMR Studio 時使用 Amazon EMR 管理主控台或透過 AWS CLI 和 AWS SDK 來執行此操作。
EMR Studio 工作區儲存加密可在提供 EMR Studio 的所有區域中使用。
先決條件
您必須先使用 在與 EMR Studio 相同的 AWS 帳戶 和區域中 AWS Key Management Service 建立對稱客戶管理員金鑰 (CMK),才能加密 EMR Studio 工作區筆記本和檔案。
您 的資源政策 AWS KMS 必須具有 EMR Studio 服務角色的必要存取許可。以下是授予 EMR Studio 工作區儲存加密最低存取許可的 IAM 政策範例:
{ "Sid": "AllowEMRStudioServiceRoleAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:CallerAccount": "<ACCOUNT_ID>", "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::<S3_BUCKET_NAME>", "kms:ViaService": "s3.<AWS_REGION>.amazonaws.com" } } }
您的 EMR Studio 服務角色也必須具有使用 AWS KMS 金鑰的存取許可。以下是授予 EMR Studio 工作區儲存加密最低存取許可的 IAM 政策範例:
建立新的 EMR Studio
請依照下列步驟建立使用工作區儲存加密的新 EMR Studio。
-
請在 https://console.aws.amazon.com/elasticmapreduce/
開啟 Amazon EMR 主控台。 -
選擇 Studio,然後選擇建立 Studio。
-
針對儲存體的 S3 位置,輸入或選擇 Amazon S3 路徑。這是 Amazon EMR 存放工作區筆記本和檔案的 Amazon S3 位置。
-
針對服務角色,輸入或選擇 IAM 角色。這是 Amazon EMR 擔任的 IAM 角色。
-
選擇使用您自己的 AWS KMS 金鑰加密工作區檔案。
-
輸入或選擇用於加密 Amazon S3 中工作區筆記本和檔案的 AWS KMS 金鑰。
-
選擇建立 Studio 或建立 Studio 並啟動工作區。
-
選擇使用您自己的 AWS KMS 金鑰加密工作區檔案。
-
輸入或選擇要 AWS KMS 用來加密 Amazon S3 中工作區筆記本和檔案的 。
-
選擇 Save Changes (儲存變更)。
下列步驟示範如何更新 EMR Studio 並設定工作區儲存加密。
-
請在 https://console.aws.amazon.com/elasticmapreduce/
開啟 Amazon EMR 主控台。 -
從清單中選擇現有的 EMR Studio,然後選擇編輯。
-
選擇使用您自己的 AWS KMS 金鑰加密工作區檔案。
-
輸入或選擇要 AWS KMS 用來加密 Amazon S3 中工作區筆記本和檔案的 。
-
選擇 Save Changes (儲存變更)。
