Registrieren eines verschlüsselten Amazon S3-Speicherorts

Lake Formation lässt sich in AWS Key Management Service (AWS KMS) integrieren, damit Sie einfacher andere integrierte Services zum Verschlüsseln und Entschlüsseln von Daten an Amazon Simple Storage Service (Amazon S3)-Standorten einrichten können.

Sowohl AWS KMS keys vom Kunden verwaltete als auch Von AWS verwaltete Schlüssel werden unterstützt. Derzeit wird die clientseitige Verschlüsselung/Entschlüsselung nur mit Athena unterstützt.

Sie müssen eine AWS Identity and Access Management (IAM)-Rolle angeben, wenn Sie einen Amazon S3-Speicherort registrieren. Für verschlüsselte Amazon S3-Speicherorte muss die Rolle entweder über die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit der verfügen AWS KMS key oder die KMS-Schlüsselrichtlinie muss der Rolle Berechtigungen für den Schlüssel erteilen.

Wichtig

Vermeiden Sie es, einen Amazon S3-Bucket zu registrieren, für den die Zahlung durch den Anforderer aktiviert ist. Bei Buckets, die bei Lake Formation registriert sind, wird die Rolle, die zur Registrierung des Buckets verwendet wird, immer als Anforderer angezeigt. Wenn auf den Bucket von einem anderen AWS Konto zugegriffen wird, wird dem Bucket-Eigentümer der Datenzugriff in Rechnung gestellt, wenn die Rolle zum selben Konto gehört wie der Bucket-Eigentümer.

Die einfachste Möglichkeit, den Standort zu registrieren, ist die Verwendung der serviceverknüpften Rolle Lake Formation. Diese Rolle gewährt die erforderlichen Lese-/Schreibberechtigungen am Standort. Sie können auch eine benutzerdefinierte Rolle verwenden, um den Standort zu registrieren, vorausgesetzt, er erfüllt die Anforderungen in Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden.

Wichtig

Wenn Sie einen Von AWS verwalteter Schlüssel (aws/s3) verwendet haben, um den Amazon S3-Speicherort zu verschlüsseln, können Sie die serviceverknüpfte Rolle Lake Formation nicht verwenden. Sie müssen eine benutzerdefinierte Rolle verwenden und der Rolle IAM-Berechtigungen für den Schlüssel hinzufügen. Einzelheiten finden Sie weiter unten in diesem Abschnitt.

In den folgenden Verfahren wird erläutert, wie Sie einen Amazon S3-Speicherort registrieren, der entweder mit einem vom Kunden verwalteten Schlüssel oder einem verschlüsselt ist Von AWS verwalteter Schlüssel.

Registrieren eines Standorts, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist
Registrieren eines mit einem verschlüsselten Standorts Von AWS verwalteter Schlüssel

Bevor Sie beginnen

Überprüfen Sie die Anforderungen für die Rolle, die zur Registrierung des Standorts verwendet wurde.

So registrieren Sie einen Amazon S3-Speicherort, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist

Anmerkung

Wenn sich der KMS-Schlüssel oder der Amazon S3-Speicherort nicht im selben AWS Konto wie der Data Catalog befinden, befolgen Sie Registrieren eines verschlüsselten Amazon S3-Speicherorts über -Konten hinweg AWS stattdessen die Anweisungen unter .

Öffnen Sie die - AWS KMS Konsole unter https://console.aws.amazon.com/kms und melden Sie sich als AWS Identity and Access Management (IAM) Administratorbenutzer oder als Benutzer an, der die Schlüsselrichtlinie des KMS-Schlüssels ändern kann, der zur Verschlüsselung des Standorts verwendet wurde.
Wählen Sie im Navigationsbereich Kundenverwaltete Schlüssel und dann den Namen des gewünschten KMS-Schlüssels aus.
Wählen Sie auf der Seite mit den KMS-Schlüsseldetails die Registerkarte Schlüsselrichtlinie aus und führen Sie dann einen der folgenden Schritte aus, um Ihre benutzerdefinierte Rolle oder die serviceverknüpfte Rolle von Lake Formation als KMS-Schlüsselbenutzer hinzuzufügen:
- Wenn die Standardansicht angezeigt wird (mit den Abschnitten Schlüsseladministratoren , Schlüssellöschung , Schlüsselbenutzer und Andere AWS Konten) – Fügen Sie im Abschnitt Schlüsselbenutzer Ihre benutzerdefinierte Rolle oder die serviceverknüpfte Lake-Formation-Rolle hinzuAWSServiceRoleForLakeFormationDataAccess.
- Wenn die Schlüsselrichtlinie (JSON) angezeigt wird – Bearbeiten Sie die Richtlinie, um Ihre benutzerdefinierte Rolle oder die serviceverknüpfte Lake-Formation-Rolle AWSServiceRoleForLakeFormationDataAccess zum Objekt „Verwendung des Schlüssels zulassen“ hinzuzufügen, wie im folgenden Beispiel gezeigt.
  
  Anmerkung
  Wenn dieses Objekt fehlt, fügen Sie es mit den im Beispiel gezeigten Berechtigungen hinzu. Das Beispiel verwendet die serviceverknüpfte Rolle .
```
        ...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
                    "arn:aws:iam::111122223333:user/keyuser"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...
```
Öffnen Sie die - AWS Lake Formation Konsole unter https://console.aws.amazon.com/lakeformation/. Melden Sie sich als Data-Lake-Administrator oder als Benutzer mit der lakeformation:RegisterResource IAM-Berechtigung an.
Wählen Sie im Navigationsbereich unter Registrieren und Erfassen die Option Data-Lake-Standorte aus.
Wählen Sie Speicherort registrieren und dann Durchsuchen aus, um einen Amazon Simple Storage Service (Amazon S3)-Pfad auszuwählen.
(Optional, aber dringend empfohlen) Wählen Sie Standortberechtigungen überprüfen, um eine Liste aller vorhandenen Ressourcen am ausgewählten Amazon S3-Speicherort und deren Berechtigungen anzuzeigen.

Die Registrierung des ausgewählten Speicherorts kann dazu führen, dass Ihre Lake-Formation-Benutzer Zugriff auf Daten erhalten, die sich bereits an diesem Speicherort befinden. Durch das Anzeigen dieser Liste können Sie sicherstellen, dass vorhandene Daten sicher bleiben.
Wählen Sie für IAM-Rolle entweder die AWSServiceRoleForLakeFormationDataAccess serviceverknüpfte Rolle (Standard) oder Ihre benutzerdefinierte Rolle aus, die dem entsprichtAnforderungen für Rollen, die zur Registrierung von Standorten verwendet werden.
Wählen Sie Speicherort registrieren aus.

Weitere Informationen zur serviceverknüpften Rolle finden Sie unter Berechtigungen von serviceverknüpften Rollen für Lake Formation.

So registrieren Sie einen Amazon S3-Speicherort, der mit einem verschlüsselt ist Von AWS verwalteter Schlüssel

Wichtig

Wenn sich der Amazon S3-Speicherort nicht im selben AWS Konto wie der Data Catalog befindet, befolgen Sie Registrieren eines verschlüsselten Amazon S3-Speicherorts über -Konten hinweg AWS stattdessen die Anweisungen unter .

Erstellen Sie eine IAM-Rolle zur Registrierung des Speicherorts. Stellen Sie sicher, dass es die unter aufgeführten Anforderungen erfülltAnforderungen für Rollen, die zur Registrierung von Standorten verwendet werden.
Fügen Sie der Rolle die folgende Inline-Richtlinie hinzu. Sie gewährt der Rolle Berechtigungen für den Schlüssel. Die Resource Spezifikation muss den Amazon-Ressourcennamen (ARN) des angeben Von AWS verwalteter Schlüssel. Sie können den ARN von der AWS KMS Konsole abrufen. Um den richtigen ARN zu erhalten, stellen Sie sicher, dass Sie sich bei der - AWS KMS Konsole mit demselben AWS Konto und derselben Region wie das anmelden Von AWS verwalteter Schlüssel , das zur Verschlüsselung des Standorts verwendet wurde.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "<Von AWS verwalteter Schlüssel ARN>"
    }
  ]
}
```
Öffnen Sie die - AWS Lake Formation Konsole unter https://console.aws.amazon.com/lakeformation/. Melden Sie sich als Data-Lake-Administrator oder als Benutzer mit der lakeformation:RegisterResource IAM-Berechtigung an.
Wählen Sie im Navigationsbereich unter Registrieren und Erfassen die Option Data-Lake-Standorte aus.
Wählen Sie Speicherort registrieren und dann Durchsuchen aus, um einen Amazon S3-Pfad auszuwählen.
(Optional, aber dringend empfohlen) Wählen Sie Standortberechtigungen überprüfen, um eine Liste aller vorhandenen Ressourcen am ausgewählten Amazon S3-Speicherort und deren Berechtigungen anzuzeigen.

Die Registrierung des ausgewählten Speicherorts kann dazu führen, dass Ihre Lake-Formation-Benutzer Zugriff auf Daten erhalten, die sich bereits an diesem Speicherort befinden. Durch das Anzeigen dieser Liste können Sie sicherstellen, dass vorhandene Daten sicher bleiben.
Wählen Sie für IAM-Rolle die Rolle aus, die Sie in Schritt 1 erstellt haben.
Wählen Sie Speicherort registrieren aus.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Registrieren eines Amazon S3-Speicherorts

Registrieren eines Amazon S3-Speicherorts in einem anderen AWS Konto