Registrieren eines verschlüsselten Amazon-S3-SpeicherortsAWSKonten - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Registrieren eines verschlüsselten Amazon-S3-SpeicherortsAWSKonten

AWS Lake Formationist in integriert.AWS Key Management Service(AWS KMS), damit Sie einfacher andere integrierte Services zum Verschlüsseln und Entschlüsseln von Daten an Amazon Simple Storage Service (Amazon S3) -Speicherorten einrichten können.

Sowohl kundenverwaltete Schlüssel als auchVon AWS verwaltete Schlüsselwerden unterstützt. Die clientseitige Verschlüsselung/Entschlüsselung wird nicht unterstützt.

Wichtig

Vermeiden Sie es, einen Amazon S3 S3-Bucket zu registrieren, derAnforderer zahltEnabled. Für Buckets, die bei Lake Formation registriert sind, wird die Rolle, die zur Registrierung des Buckets verwendet wird, immer als Anforderer angesehen. Wenn auf den Bucket von einem anderen zugegriffen wirdAWS-Konto wird dem Bucket-Besitzer der Datenzugriff in Rechnung gestellt, wenn die Rolle zu demselben Konto gehört wie der Bucket-Eigentümer.

In diesem Abschnitt erfahren Sie, wie Sie unter folgenden Umständen einen Amazon S3 S3-Speicherort registrieren können:

  • Die Daten am Amazon S3 S3-Standort werden mit einem KMS-Schlüssel verschlüsselt, der inAWS KMSaus.

  • Der Amazon S3 S3-Speicherort befindet sich nicht im selbenAWSAccount alsAWS Glue Data Catalogaus.

  • Der KMS-Schlüssel ist oder ist nicht gleichAWS-Konto als Datenkatalog.

Registrieren einesAWS KMS—Verschlüsselter Amazon S3 S3-Bucket inAWSAccount B mit einemAWS Identity and Access Management(IAM) -Rolle inAWS-Konto A erfordert folgende Berechtigungen:

  • Die Rolle in Konto A muss Berechtigungen für den Bucket in Konto B erteilen.

  • Die Bucket-Richtlinie in Konto B muss Zugriffsberechtigungen für die Rolle in Konto A erteilen.

  • Wenn sich der KMS-Schlüssel in Konto B befindet, muss die Schlüsselrichtlinie Zugriff auf die Rolle in Konto A gewähren, und die Rolle in Konto A muss Berechtigungen für den KMS-Schlüssel erteilen.

Im folgenden Verfahren erstellen Sie eine Rolle imAWSKonto, das den Datenkatalog enthält (Konto A in der vorherigen Diskussion). Anschließend verwenden Sie diese Rolle, um den Standort zu registrieren. Lake Formation übernimmt diese Rolle beim Zugriff auf zugrunde liegende Daten in Amazon S3. Die angenommene Rolle verfügt über die erforderlichen Berechtigungen für den KMS-Schlüssel. Daher müssen Sie keine Berechtigungen für den KMS-Schlüssel erteilen, damit Prinzipale auf zugrunde liegende Daten mit ETL-Jobs oder mit integrierten Diensten wieAmazon Athenaaus.

Wichtig

Sie können die mit dem Lake Formation Formation-Dienst verknüpfte Rolle nicht verwenden, um einen Standort in einem anderen Konto zu registrieren. Sie müssen stattdessen eine benutzerdefinierte Rolle verwenden. Die Rolle muss die Anforderungen inAnforderungen an Rollen, die zur Registrierung von Standorten verwendet werdenaus. Weitere Informationen zur serviceverknüpften Rolle finden Sie unter Berechtigungen von serviceverknüpften Rollen für Lake Formation.

Bevor Sie beginnen

Prüfen Sie dieAnforderungen an die Rolle, die zum Registrieren des Standorts verwendet wirdaus.

So registrieren Sie einen verschlüsselten Amazon S3 S3-SpeicherortAWSKonten

  1. Im selbenAWSKonto als Datenkatalog, melden Sie sich bei derAWS Management Consoleund öffnen Sie die IAM-Konsole unterhttps://console.aws.amazon.com/iam/aus.

  2. Erstellen Sie eine neue Rolle oder zeigen Sie eine vorhandene Rolle an, die die Anforderungen inAnforderungen an Rollen, die zur Registrierung von Standorten verwendet werdenaus. Stellen Sie sicher, dass die Rolle eine Richtlinie enthält, die Amazon S3 S3-Berechtigungen für den Speicherort gewährt.

  3. Wenn sich der KMS-Schlüssel nicht im selben Konto wie der Datenkatalog befindet, fügen Sie der Rolle eine Inline-Richtlinie hinzu, die die erforderlichen Berechtigungen für den KMS-Schlüssel erteilt. Es folgt eine Beispielrichtlinie . Ersetzen<cmk-region>und<cmk-account-id>mit der Region und Kontonummer des KMS-Schlüssels. Ersetzen<key-id>mit der Schlüssel-ID.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<cmk-region>:<cmk-account-id>:key/<key-id>" } ] }
  4. Fügen Sie in der Amazon S3 S3-Konsole eine Bucket-Richtlinie hinzu, die der Rolle die erforderlichen Amazon S3 S3-Berechtigungen gewährt. Hier finden Sie ein Beispiel für eine Bucket-Richtlinie. Ersetzen<catalog-account-id>mit demAWS-Kontonummer des Datenkatalogs,<role-name>mit dem Namen Ihrer Rolle und<bucket-name>mit dem Namen des Buckets.

    { "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::<bucket-name>" }, { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>" }, "Action": [ "s3:DeleteObject", "s3:GetObject", "s3:PutObject" ], "Resource":"arn:aws:s3:::<bucket-name>/*" } ] }
  5. In :AWS KMS, fügen Sie die Rolle als Benutzer des KMS-Schlüssels hinzu.

    1. Öffnen Sie die AWS KMS-Konsole unter https://console.aws.amazon.com/kms. Melden Sie sich dann als IAM-Administrator oder als Benutzer an, der die Schlüsselrichtlinie des KMS-Schlüssels ändern kann, mit dem der Speicherort verschlüsselt wurde.

    2. Wählen Sie im NavigationsbereichKundenverwaltete Schlüsselund wählen Sie dann den Namen des KMS-Schlüssels aus.

    3. Auf der KMS Key-Detailseite unter derSchlüsselrichtlinie, wenn die JSON-Ansicht der Schlüsselrichtlinie nicht angezeigt wird, wählen SieWechseln zur Richtlinienansichtaus.

    4. In derSchlüsselrichtlinie-Bereich, wählen SieBearbeitenund fügen Sie den Amazon-Ressourcennamen (ARN) der Rolle zumAllow use of the key-Objekt, wie im folgenden Beispiel gezeigt.

      Anmerkung

      Wenn dieses Objekt fehlt, fügen Sie es mit den im Beispiel gezeigten Berechtigungen hinzu.

      ... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::<catalog-account-id>:role/<role-name>" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...

      Weitere Informationen finden Sie unterBenutzern anderer Konten die Verwendung eines KMS-Schlüssels erlaubenimAWS Key Management ServiceEntwicklerhandbuchaus.

  6. Öffnen SieAWS Lake Formation-Konsole unterhttps://console.aws.amazon.com/lakeformation/aus. Melden Sie sich im Datenkatalog anAWSKonto als Data Lake-Administrator.

  7. Im Navigationsbereich unterRegistrieren und aufnehmen, wählenData Lake-Speicherorteaus.

  8. Klicken Sie aufSpeicherort registrierenaus.

  9. Auf derSeite „Standort registrieren“, fürAmazon S3-Pfad, geben Sie den Standortpfad ein alss3://<bucket>/<prefix>aus. Ersetzen<bucket>mit dem Namen des -Buckets und<prefix>mit dem Rest des Pfades für den Standort.

    Anmerkung

    Sie müssen den Pfad eingeben, da kontoübergreifende Buckets nicht in der Liste angezeigt werden, wenn SieDurchsuchenaus.

  10. FürIAM-RolleWählen Sie aus Schritt 2 die Rolle aus.

  11. Klicken Sie aufSpeicherort registrierenaus.