Hinzufügen einer Sicherheitskonfiguration

Arbeiten mit Sicherheitskonfigurationen in der AWS Glue-Konsole

Warnung

AWS Glue-Sicherheitskonfigurationen werden derzeit in Ray-Aufträgen nicht unterstützt.

Eine Sicherheitskonfiguration in AWS Glue enthält die Eigenschaften, die erforderlich sind, wenn Sie verschlüsselte Daten schreiben. Sie erstellen Sicherheitskonfigurationen auf der AWS Glue-Konsole, um die Verschlüsselungseigenschaften bereitzustellen, die von Crawlern, Aufträgen und Entwicklungsendpunkten verwendet werden.

Zum Anzeigen einer Liste aller Sicherheitskonfigurationen, die Sie erstellt haben, öffnen Sie die AWS Glue-Konsole über https://console.aws.amazon.com/glue/ und wählen Sie im Navigationsbereich Security configurations (Sicherheitskonfigurationen) aus.

Die Liste der Sicherheitskonfigurationen zeigt die folgenden Eigenschaften für jede Konfiguration an:

Name: Der eindeutige Name, den Sie bei der Erstellung der Konfiguration angegeben haben. Der Name darf Buchstaben (A–Z), Zahlen (0–9), Bindestriche (-) oder Unterstriche (_) enthalten und bis zu 255 Zeichen lang sein.
Amazon-S3-Verschlüsselung aktivieren: Wenn diese Option aktiviert ist, wird der Amazon Simple Storage Service (Amazon S3)-Verschlüsselungsmodus wie zum Beispiel SSE-KMS oder SSE-S3 für Metadatenspeicherung im Datenkatalog verwendet.
Amazon-CloudWatch-Protokollverschlüsselung aktivieren: Wenn diese Option aktiviert ist, wird der Amazon-S3-Verschlüsselungsmodus (z. B. SSE-KMS) beim Schreiben von Protokollen in Amazon CloudWatch aktiviert.
Erweiterte Einstellungen: Verschlüsselung von Auftrags-Lesezeichen aktivieren: Wenn diese Option aktiviert ist, wird der Amazon S3-Verschlüsselungsmodus (z. B. CSE-KMS) aktiviert, wenn Aufträge mit Lesezeichen versehen werden.

Sie können Konfigurationen im Abschnitt Security configurations (Sicherheitskonfigurationen) auf der Konsole hinzufügen oder löschen. Um weitere Details über eine Konfiguration zu sehen, wählen Sie den Namen der Konfiguration in der Liste aus. Zu den Details gehören die Informationen, die Sie beim Erstellen der Konfiguration definiert haben.

Hinzufügen einer Sicherheitskonfiguration

Um eine Sicherheitskonfiguration mithilfe der AWS Glue-Konsole hinzuzufügen, wählen Sie auf der Seite Security configurations (Sicherheitskonfigurationen) Add security configuration (Sicherheitskonfigurationen hinzufügen).

Der Screenshot zeigt die Seite „Hinzufügen von Sicherheitskonfiguration“

Eigenschaften der Sicherheitskonfiguration

Geben Sie einen eindeutigen Namen für die Sicherheitskonfiguration ein. Der Name darf Buchstaben (A–Z), Zahlen (0–9), Bindestriche (-) oder Unterstriche (_) enthalten und bis zu 255 Zeichen lang sein.

Verschlüsselungseinstellungen

Sie können die Verschlüsselung im Ruhezustand für Metadaten aktivieren, die im Data Catalog in Amazon S3 und Protokollen in Amazon CloudWatch gespeichert sind. Um die Verschlüsselung von Daten und Metadaten mit AWS Key Management Service-Schlüsseln (AWS KMS) auf der AWS Glue-Konsole einzurichten, fügen Sie dem Konsolenbenutzer eine Richtlinie hinzu. In dieser Richtlinie müssen die zulässigen Ressourcen als Amazon-Ressourcennamen (ARNs) angegeben sein, die zum Verschlüsseln der Amazon-S3-Datenspeicher verwendet werden, wie im folgenden Beispiel dargestellt.


{
"Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt",    
    "kms:Encrypt"],
  "Resource": "arn:aws:kms:region:account-id:key/key-id"}
}

Wichtig

Wenn eine Sicherheitskonfiguration an einem Crawler oder Auftrag angefügt wird, muss die übergebene IAM-Rolle über die AWS KMS-Berechtigungen verfügen. Weitere Informationen finden Sie unter Verschlüsseln von Daten, die von AWS Glue geschrieben werden.

Wenn Sie eine Konfiguration definieren, können Sie Werte für die folgenden Eigenschaften angeben:

S3-Verschlüsselung aktivieren

Wenn Sie Amazon-S3-Daten schreiben, verwenden Sie entweder eine serverseitige Verschlüsselung mit Amazon S3 verwalteten Schlüsseln (SSE-S3) oder eine serverseitige Verschlüsselung mit AWS KMS verwalteten Schlüsseln (SSE-KMS). Dies ist ein optionales Feld. Um den Zugriff auf Amazon S3 zu aktivieren, wählen Sie entweder einen AWS KMS-Schlüssel aus oder geben unter Enter a key ARN (ARN-Schlüssel eingeben) den ARN als Schlüssel ein. Geben Sie den ARN in der Form arn:aws:kms:region:account-id:key/key-id ein. Sie können den ARN auch in Form eines Schlüssel-Alias bereitstellen, wie z. B. arn:aws:kms:region:account-id:alias/alias-name.

Wenn Sie die Spark-Benutzeroberfläche für Ihren Auftrag aktivieren, wird die auf Amazon S3 hochgeladene Spark-Benutzeroberflächen-Protokolldatei mit derselben Verschlüsselung angewendet.

Wichtig

AWS Glue unterstützt nur symmetrische Kundenmasterschlüssel (Customer Master Keys, CMKs). In der Liste der AWS KMS-Schlüssel werden nur symmetrische Schlüssel angezeigt. Wenn Sie jedoch Choose a AWS KMS key ARN (Einen KMS-Schlüssel-ARN auswählen) verwenden, können Sie in der Konsole einen ARN für jeden Schlüsseltyp eingeben. Achten Sie darauf, dass Sie nur ARNs für symmetrische Schlüssel eingeben.

Verschlüsselung von CloudWatch Logs aktivieren

Zum Verschlüsseln von CloudWatch Logs wird eine serverseitige Verschlüsselung (SSE-KMS) verwendet. Dies ist ein optionales Feld. Um den Zugriff auf einzuschalten, wählen Sie entweder einen AWS KMS-Schlüssel aus oder geben unter Enter a key ARN (ARN-Schlüssel eingeben) den ARN als Schlüssel ein. Geben Sie den ARN in der Form arn:aws:kms:region:account-id:key/key-id ein. Sie können den ARN auch in Form eines Schlüssel-Alias bereitstellen, wie z. B. arn:aws:kms:region:account-id:alias/alias-name.

Erweiterte Einstellungen: Verschlüsselung von Auftrags-Lesezeichen

Es wird eine Client-seitige Verschlüsselung (CSE-KMS) verwendet, um Auftrags-Lesezeichen zu verschlüsseln. Dies ist ein optionales Feld. Die Lesezeichendaten werden verschlüsselt, bevor sie zur Speicherung an Amazon S3 gesendet werden. Um den Zugriff auf einzuschalten, wählen Sie entweder einen AWS KMS-Schlüssel aus oder geben unter Enter a key ARN (ARN-Schlüssel eingeben) den ARN als Schlüssel ein. Geben Sie den ARN in der Form arn:aws:kms:region:account-id:key/key-id ein. Sie können den ARN auch in Form eines Schlüssel-Alias bereitstellen, wie z. B. arn:aws:kms:region:account-id:alias/alias-name.

Weitere Informationen finden Sie in den folgenden Themen im Benutzerhandbuch zum Amazon Simple Storage Service:

Weitere Informationen über SSE-S3 finden Sie unter Protecting Data Using Server-Side Encryption with Amazon S3-Managed Encryption Keys (SSE-S3) (Schutz von Daten durch serverseitige Verschlüsselung mit Amazon S3-Managed Encryption Keys (SSE-S3)).
Informationen zu SSE-KMS finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit AWS KMS keys.
Informationen zu CSE-KMS finden Sie unter Verwenden eines in AWS KMS gespeicherten KMS-Schlüssels.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verschlüsseln von Daten, die von AWS Glue geschrieben werden

Verschlüsselung während der Übertragung