Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Registrieren eines verschlüsselten Amazon S3-Speicherorts über -Konten hinweg AWS
AWS Lake Formation lässt sich in AWS Key Management Service (AWS KMS) integrieren, um Ihnen zu ermöglichen, andere integrierte Services zum Verschlüsseln und Entschlüsseln von Daten an Amazon Simple Storage Service (Amazon S3)-Standorten einzurichten.
Sowohl vom Kunden verwaltete Schlüssel als auch Von AWS verwaltete Schlüssel werden unterstützt. Clientseitige Verschlüsselung/Entschlüsselung wird nicht unterstützt.
Wichtig
Vermeiden Sie es, einen Amazon S3-Bucket zu registrieren, für den die Zahlung durch den Anforderer aktiviert ist. Bei Buckets, die bei Lake Formation registriert sind, wird die Rolle, die zur Registrierung des Buckets verwendet wird, immer als Anforderer angezeigt. Wenn auf den Bucket von einem anderen AWS Konto zugegriffen wird, wird dem Bucket-Eigentümer der Datenzugriff in Rechnung gestellt, wenn die Rolle zum selben Konto gehört wie der Bucket-Eigentümer.
In diesem Abschnitt wird erläutert, wie Sie einen Amazon S3-Speicherort unter den folgenden Umständen registrieren:
-
Die Daten am Amazon S3-Speicherort werden mit einem KMS-Schlüssel verschlüsselt, der in erstellt wurde AWS KMS.
-
Der Amazon S3-Speicherort befindet sich nicht im selben AWS Konto wie die AWS Glue Data Catalog.
-
Der KMS-Schlüssel befindet sich entweder im selben AWS Konto wie der Data Catalog oder nicht.
Für die Registrierung eines AWS KMS mit verschlüsselten Amazon S3-Buckets in AWS Konto B mit einer AWS Identity and Access Management (IAM)-Rolle in AWS Konto A sind die folgenden Berechtigungen erforderlich:
-
Die Rolle in Konto A muss Berechtigungen für den Bucket in Konto B erteilen.
-
Die Bucket-Richtlinie in Konto B muss der Rolle in Konto A Zugriffsberechtigungen erteilen.
-
Wenn sich der KMS-Schlüssel in Konto B befindet, muss die Schlüsselrichtlinie Zugriff auf die Rolle in Konto A gewähren, und die Rolle in Konto A muss Berechtigungen für den KMS-Schlüssel erteilen.
Im folgenden Verfahren erstellen Sie eine Rolle in dem AWS Konto, das den Data Catalog enthält (Konto A in der vorherigen Diskussion). Anschließend verwenden Sie diese Rolle, um den Standort zu registrieren. Lake Formation übernimmt diese Rolle beim Zugriff auf zugrunde liegende Daten in Amazon S3. Die übernommene Rolle verfügt über die erforderlichen Berechtigungen für den KMS-Schlüssel. Daher müssen Sie Prinzipalen, die mit ETL-Aufträgen oder mit integrierten Services wie auf zugrunde liegende Daten zugreifen, keine Berechtigungen für den KMS-Schlüssel erteilen Amazon Athena.
Wichtig
Sie können die serviceverknüpfte Rolle Lake Formation nicht verwenden, um einen Standort in einem anderen Konto zu registrieren. Sie müssen stattdessen eine benutzerdefinierte Rolle verwenden. Die Rolle muss die Anforderungen in erfüllenAnforderungen für Rollen, die zur Registrierung von Standorten verwendet werden. Weitere Informationen zur serviceverknüpften Rolle finden Sie unter Berechtigungen von serviceverknüpften Rollen für Lake Formation.
Bevor Sie beginnen
Überprüfen Sie die Anforderungen für die Rolle, die zur Registrierung des Standorts verwendet wurde.
So registrieren Sie einen verschlüsselten Amazon S3-Speicherort über - AWS Konten hinweg
-
Melden Sie sich im selben AWS Konto wie der Data Catalog bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Erstellen Sie eine neue Rolle oder zeigen Sie eine vorhandene Rolle an, die die Anforderungen in erfülltAnforderungen für Rollen, die zur Registrierung von Standorten verwendet werden. Stellen Sie sicher, dass die Rolle eine Richtlinie enthält, die Amazon S3 Berechtigungen für den Standort gewährt.
-
Wenn sich der KMS-Schlüssel nicht im selben Konto wie der Data Catalog befindet, fügen Sie der Rolle eine Inline-Richtlinie hinzu, die die erforderlichen Berechtigungen für den KMS-Schlüssel gewährt. Es folgt eine Beispielrichtlinie . Ersetzen Sie
<cmk-region>und<cmk-account-id>durch die Region und Kontonummer des KMS-Schlüssels. Ersetzen Sie<key-id>durch die Schlüssel-ID.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<cmk-region>:<cmk-account-id>:key/<key-id>" } ] } -
Fügen Sie in der Amazon S3-Konsole eine Bucket-Richtlinie hinzu, die der Rolle die erforderlichen Amazon S3-Berechtigungen gewährt. Hier finden Sie ein Beispiel für eine Bucket-Richtlinie. Ersetzen Sie
<catalog-account-id>durch die AWS Kontonummer des Data Catalog,<role-name>durch den Namen Ihrer Rolle und<bucket-name>durch den Namen des Buckets.{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::<bucket-name>" }, { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>" }, "Action": [ "s3:DeleteObject", "s3:GetObject", "s3:PutObject" ], "Resource":"arn:aws:s3:::<bucket-name>/*" } ] } -
Fügen Sie in die Rolle als Benutzer des KMS-Schlüssels AWS KMS hinzu.
-
Öffnen Sie die - AWS KMS Konsole unter https://console.aws.amazon.com/kms
. Melden Sie sich dann als Administratorbenutzer oder als Benutzer an, der die Schlüsselrichtlinie des KMS-Schlüssels ändern kann, der zur Verschlüsselung des Standorts verwendet wurde. -
Wählen Sie im Navigationsbereich Kundenverwaltete Schlüssel und dann den Namen des KMS-Schlüssels aus.
-
Wenn auf der Seite mit den KMS-Schlüsseldetails auf der Registerkarte Schlüsselrichtlinie die JSON-Ansicht der Schlüsselrichtlinie nicht angezeigt wird, wählen Sie Zur Richtlinienansicht wechseln aus.
-
Wählen Sie im Abschnitt Schlüsselrichtlinie die Option Bearbeiten aus und fügen Sie dem
Allow use of the keyObjekt den Amazon-Ressourcennamen (ARN) der Rolle hinzu, wie im folgenden Beispiel gezeigt.Anmerkung
Wenn dieses Objekt fehlt, fügen Sie es mit den im Beispiel gezeigten Berechtigungen hinzu.
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::<catalog-account-id>:role/<role-name>" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben
im AWS Key Management Service -Entwicklerhandbuch.
-
-
Öffnen Sie die - AWS Lake Formation Konsole unter https://console.aws.amazon.com/lakeformation/
. Melden Sie sich als Data-Lake-Administrator beim Data- AWS Catalog-Konto an. -
Wählen Sie im Navigationsbereich unter Registrieren und Erfassen die Option Data-Lake-Standorte aus.
-
Wählen Sie Speicherort registrieren aus.
-
Geben Sie auf der Seite Speicherort registrieren für Amazon S3-Pfad den Speicherortpfad als ein
s3://. Ersetzen Sie<bucket>/<prefix><bucket>durch den Namen des Buckets und<prefix>durch den Rest des Pfads für den Speicherort.Anmerkung
Sie müssen den Pfad eingeben, da kontoübergreifende Buckets nicht in der Liste angezeigt werden, wenn Sie Durchsuchen auswählen.
-
Wählen Sie für IAM-Rolle die Rolle aus Schritt 2 aus.
-
Wählen Sie Speicherort registrieren aus.
