本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 AWS Glue 主控台上使用安全組態
<a name="console-security-configurations"></a>

**警告**  
AWS Glue Ray 任務目前不支援安全組態。

AWS Glue 中*安全組態*的包含在您寫入加密資料時所需的屬性。您將在 AWS Glue 主控台建立安全組態，以提供爬蟲程式、任務以及開發端點所使用的加密屬性。

若要查看您已建立的所有安全組態清單，請開啟位於 [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/) 的 AWS Glue 主控台，然後在導覽窗格中選擇 **Security configurations (安全組態)** 標籤。

**安全組態**清單顯示有關各個組態的下列屬性：

**名稱**  
在建立組態時提供的唯一獨特名稱。名稱可包含字母 (A-Z)、數字 (0-9)、連字號 (-) 或底線 (\$1)，並且長度上限為 255 個字元。

**啟用 Amazon S3 加密**  
如果開啟，則會針對資料目錄中的中繼資料存放區啟用 `SSE-KMS` 或 `SSE-S3` 等 Amazon Simple Storage Service (Amazon S3) 等加密模式。

**啟用 Amazon CloudWatch Logs 加密**  
如果開啟，則會在將日誌寫入 Amazon CloudWatch 時啟用 `SSE-KMS` 等 Amazon S3 加密模式。

**進階設定：啟用任務書籤加密**  
如果開啟，則會在為任務加上書籤時啟用 `CSE-KMS` 等 Amazon S3 加密模式。

您可以在主控台的 **Security configurations (安全組態)** 部分中新增或刪除組態。若要查看組態詳細資訊，請在清單中選擇組態的名稱。詳細資訊包含您在建立組態時所定義的資訊。

## 新增安全組態
<a name="console-security-configurations-wizard"></a>

 若要使用 AWS Glue 主控台新增安全組態，請在 **Security configurations (安全組態)** 頁面，選擇 **Add security configuration (新增安全性設定)**。

![\[螢幕擷取畫面會顯示「新增安全性組態」頁面。\]](http://docs.aws.amazon.com/zh_tw/glue/latest/dg/images/add_security_configuration.png)


 **安全性組態屬性** 

 輸入不重複的安全性組態名稱。名稱可包含字母 (A-Z)、數字 (0-9)、連字號 (-) 或底線 (\$1)，並且長度上限為 255 個字元。

 **加密設定** 

您可以針對存放在 Amazon S3 資料目錄中的中繼資料和 Amazon CloudWatch 中的日誌啟用靜態加密。若要在AWS Glue主控台上使用 AWS Key Management Service (AWS KMS) 金鑰設定資料和中繼資料的加密，請將政策新增至主控台使用者。此政策必須指定允許的資源做為金鑰 Amazon Resource Name (ARN) (用於加密 Amazon S3​ 資料存放區)，如以下範例所示。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:GenerateDataKey",
      "kms:Decrypt",
      "kms:Encrypt"
    ],
    "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id"
  }
}
```

------

**重要**  
當安全組態連接到爬蟲程式或任務時，傳遞的 IAM 角色必須具有 AWS KMS 許可。如需詳細資訊，請參閱[加密 寫入的資料 AWS Glue](encryption-security-configuration.md)。

當您定義組態時，您可為下列屬性提供值：

**啟用 S3 加密**  
當您寫入 Amazon S3 資料時，您可以使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 或伺服器端加密搭配 AWS KMS 受管金鑰 (SSE-KMS)。此欄位為選用欄位。若要允許存取 Amazon S3，請選擇 AWS KMS 金鑰，或選擇**輸入金鑰 ARN**，並提供金鑰的 ARN。以 `arn:aws:kms:region:account-id:key/key-id` 的形式輸入 ARN。您也可以提供 ARN 做為金鑰別名，例如 `arn:aws:kms:region:account-id:alias/alias-name`。  
如果您為任務啟用 Spark UI，則上傳到 Amazon S3 的 Spark UI 日誌檔案將採用相同的加密方式。  
AWS Glue 僅支援對稱客戶主金鑰 (CMK)。**AWS KMS key (KMS 金鑰)** 清單僅會顯示對稱金鑰。不過，如果您選取**選擇 AWS KMS 金鑰 ARN**，主控台可讓您輸入任何金鑰類型的 ARN。請確定您僅輸入對稱金鑰的 ARN。

**啟用 CloudWatch Logs 加密**  
伺服器端 (SSE-KMS) 加密是用來加密 CloudWatch Logs。此欄位為選用欄位。若要開啟，請選擇 AWS KMS 金鑰，或選擇**輸入金鑰 ARN** 並提供金鑰的 ARN。以 `arn:aws:kms:region:account-id:key/key-id` 的形式輸入 ARN。您也可以提供 ARN 做為金鑰別名，例如 `arn:aws:kms:region:account-id:alias/alias-name`。

**進階設定：任務書籤加密**  
用戶端 (CSE-KMS) 加密是用於加密任務書籤。此欄位為選用欄位。書籤資料會先加密後才傳送至 Amazon S3​ 儲存。若要開啟，請選擇 AWS KMS 金鑰，或選擇**輸入金鑰 ARN** 並提供金鑰的 ARN。以 `arn:aws:kms:region:account-id:key/key-id` 的形式輸入 ARN。您也可以提供 ARN 做為金鑰別名，例如 `arn:aws:kms:region:account-id:alias/alias-name`。

如需詳細資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的下列主題：
+ 如需關於 `SSE-S3` 的詳細資訊，請參閱[使用伺服器端加密與 Amazon S3 受管加密金鑰 (SSE-S3) 保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
+ 如需 的相關資訊`SSE-KMS`，請參閱[使用伺服器端加密搭配 保護資料 AWS KMS keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。
+ 如需有關 `CSE-KMS` 的資訊，請參閱 [Using a KMS key stored in AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-kms-managed-master-key-intro)。