Einen verschlüsselten Amazon S3 S3-Speicherort registrieren - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einen verschlüsselten Amazon S3 S3-Speicherort registrieren

Lake Formation integriert sich mitAWS Key Management Service(AWS KMS), damit Sie andere integrierte Dienste zum Verschlüsseln und Entschlüsseln von Daten an Amazon Simple Storage Service (Amazon S3) -Standorten einfacher einrichten können.

Beide Kunden verwaltetAWS KMS keysundVon AWS verwaltete Schlüsselwerden unterstützt. Die clientseitige Verschlüsselung/Entschlüsselung wird nicht unterstützt.

Sie müssen einAWS Identity and Access Management(IAM) -Rolle, wenn Sie einen Amazon S3 S3-Speicherort registrieren. Bei verschlüsselten Amazon-S3-Standorten muss entweder die Rolle über die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit derAWS KMS keyoder die KMS-Schlüsselrichtlinie muss Berechtigungen für den Schlüssel für die Rolle erteilen.

Wichtig

Vermeiden Sie es, einen Amazon S3 S3-Bucket zu registrieren, derBeauftragter zahltEnabled. Für Buckets, die bei Lake Formation registriert sind, wird die Rolle, die zur Registrierung des Buckets verwendet wird, immer als Anforderer angesehen. Wenn auf den Bucket von einem anderen zugegriffen wirdAWS-Konto wird dem Bucket-Besitzer der Datenzugriff in Rechnung gestellt, wenn die Rolle zu demselben Konto gehört wie der Bucket-Eigentümer.

Die einfachste Möglichkeit, den Standort zu registrieren, besteht darin, die mit dem Lake Formation-Service verbundene Rolle zu verwenden. Diese Rolle gewährt die erforderlichen Lese-/Schreibberechtigungen für den Speicherort. Sie können auch eine benutzerdefinierte Rolle verwenden, um den Standort zu registrieren, vorausgesetzt, er erfüllt die Anforderungen inAnforderungen an Rollen, die zur Registrierung von Standorten verwendet werdenaus.

Wichtig

Wenn Sie einVon AWS verwalteter Schlüssel(aws/s3) um den Amazon S3 S3-Standort zu verschlüsseln, können Sie die mit dem Lake Formation-Service verknüpfte Rolle nicht verwenden. Sie müssen eine benutzerdefinierte Rolle verwenden und IAM-Berechtigungen für den Schlüssel zur Rolle hinzufügen. Weitere Informationen finden Sie später in diesem Abschnitt.

Die folgenden Verfahren erklären, wie Sie einen Amazon S3 S3-Standort registrieren, der entweder mit einem vom Kunden verwalteten Schlüssel oder einem verschlüsselt istVon AWS verwalteter Schlüsselaus.

Bevor Sie beginnen

Prüfen Sie dasAnforderungen an die Rolle, die zum Registrieren des Standorts verwendet wirdaus.

So registrieren Sie einen Amazon S3 S3-Speicherort verschlüsselt mit einem vom Kunden verwalteten Schlüssel verschlüsselt

Anmerkung

Wenn sich der KMS-Schlüssel oder der Amazon S3 S3-Standort nicht am selben befindenAWSSie können als Datenkatalog die Anweisungen unter befolgenRegistrieren eines verschlüsselten Amazon-S3-SpeicherortsAWSKontenStattdessen geschieht dies.

  1. Öffnen SieAWS KMS-Konsole unterhttps://console.aws.amazon.com/kmsund melden Sie sich alsAWS Identity and Access Management(IAM) Administratorbenutzer oder als Benutzer, der die Schlüsselrichtlinie des KMS-Schlüssels ändern kann, mit dem der Standort verschlüsselt wird.

  2. Wählen Sie im Navigationsbereich ausKundenverwaltete Schlüsselwählen Sie dann den Namen des gewünschten KMS-Schlüssels aus.

  3. Wählen Sie auf der Seite KMS-Schlüsseldetails dieSchlüsselrichtlinie, und führen Sie dann einen der folgenden Schritte aus, um Ihre benutzerdefinierte Rolle oder die mit dem Lake Formation Service verknüpfte Rolle als KMS-Schlüsselbenutzer hinzuzufügen:

    • Wenn die Standardansicht angezeigt wird(mitWichtige Administratoren,Löschen von Schlüsseln,Die wichtigsten Benutzer, undSonstigeAWSKontenAbschnitte) — Unter demDie wichtigsten Benutzer, fügen Sie Ihre benutzerdefinierte Rolle oder die mit dem Lake Formation-Service verknüpfte Rolle hinzuAWSServiceRoleForLakeFormationDataAccessaus.

    • Wenn die Schlüsselrichtlinie (JSON) angezeigt wird— Bearbeiten Sie die Richtlinie, um Ihre benutzerdefinierte Rolle oder die mit dem Lake Formation-Service verknüpfte Rolle hinzuzufügenAWSServiceRoleForLakeFormationDataAccesszum Objekt „Verwenden des Schlüssels zulassen“, wie im folgenden Beispiel gezeigt.

      Anmerkung

      Wenn dieses Objekt fehlt, fügen Sie es mit den im Beispiel gezeigten Berechtigungen hinzu. Im Beispiel wird die serviceverknüpfte Rolle verwendet.

      ... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
  4. Öffnen SieAWS Lake Formation-Konsole unterhttps://console.aws.amazon.com/lakeformation/aus. Melden Sie sich als Data Lake-Administrator oder als Benutzer mit derlakeformation:RegisterResourceIAM-Berechtigung.

  5. Klicken Sie im Navigationsbereich unterRegistrieren und Aufnehmen, wählenData Lake Speicherorteaus.

  6. Klicken Sie aufSpeicherort registrierenKlicken Sie auf und danach aufDurchsuchenSie können einen Amazon Simple Storage Service (Amazon S3) -Pfad auswählen.

  7. (Optional, aber dringend empfohlen)Überprüfen Sie Standortberechtigungenum eine Liste aller vorhandenen Ressourcen am ausgewählten Amazon S3 S3-Standort und ihrer Berechtigungen anzuzeigen.

    Die Registrierung des ausgewählten Standorts kann dazu führen, dass Ihre Lake Formation Formation-Benutzer Zugriff auf Daten erhalten, die sich bereits an diesem Ort befinden. Durch das Anzeigen dieser Liste können Sie sicherstellen, dass vorhandene Daten sicher bleiben.

  8. FürIAM-Rolle, wählen Sie entweder dieAWSServiceRoleForLakeFormationDataAccessService-verknüpfte Rolle (Standardeinstellung) oder Ihre benutzerdefinierte Rolle, die denAnforderungen an Rollen, die zur Registrierung von Standorten verwendet werdenaus.

  9. Klicken Sie aufSpeicherort registrierenaus.

Weitere Informationen zur serviceverknüpften Rolle finden Sie unter Berechtigungen von serviceverknüpften Rollen für Lake Formation.

So registrieren Sie einen Amazon S3 S3-Speicherort verschlüsselt mit einemVon AWS verwalteter Schlüssel

Wichtig

Wenn sich der Amazon S3 S3-Speicherort nicht am selben befindetAWSSie können als Datenkatalog die Anweisungen unter befolgenRegistrieren eines verschlüsselten Amazon-S3-SpeicherortsAWSKontenStattdessen geschieht dies.

  1. Erstellen Sie eine IAM-Rolle, mit der Sie den Speicherort registrieren können. Stellen Sie sicher, dass es die in aufgeführten Anforderungen erfülltAnforderungen an Rollen, die zur Registrierung von Standorten verwendet werdenaus.

  2. Fügen Sie der Rolle die folgende Inline-Richtlinie hinzu. Es gewährt Berechtigungen für den Schlüssel zur Rolle. DieResourceDie Spezifikation muss den Amazon-Ressourcennamen (ARN) desVon AWS verwalteter Schlüsselaus. Sie erhalten den ARN imAWS KMSconsole. Um den richtigen ARN zu erhalten, stellen Sie sicher, dass Sie sich bei derAWS KMSkonsole mit dem gleichenAWSKonto und Region alsVon AWS verwalteter Schlüsseldas wurde verwendet, um den Speicherort zu verschlüsseln.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<Von AWS verwalteter Schlüssel ARN>" } ] }
  3. Öffnen SieAWS Lake Formation-Konsole unterhttps://console.aws.amazon.com/lakeformation/aus. Melden Sie sich als Data Lake-Administrator oder als Benutzer mit derlakeformation:RegisterResourceIAM-Berechtigung.

  4. Klicken Sie im Navigationsbereich unterRegistrieren und Aufnehmen, wählenData Lake Speicherorteaus.

  5. Klicken Sie aufSpeicherort registrierenKlicken Sie auf und danach aufDurchsuchenUm einen Amazon S3-Pfad auszuwählen.

  6. (Optional, aber dringend empfohlen)Überprüfen Sie Standortberechtigungenum eine Liste aller vorhandenen Ressourcen am ausgewählten Amazon S3 S3-Standort und ihrer Berechtigungen anzuzeigen.

    Die Registrierung des ausgewählten Standorts kann dazu führen, dass Ihre Lake Formation Formation-Benutzer Zugriff auf Daten erhalten, die sich bereits an diesem Ort befinden. Durch das Anzeigen dieser Liste können Sie sicherstellen, dass vorhandene Daten sicher bleiben.

  7. FürIAM-RolleWählen Sie die Rolle aus, die Sie in Schritt 1 erstellt haben.

  8. Klicken Sie aufSpeicherort registrierenaus.