Cifrado de cuadernos y archivos del espacio de trabajo de EMR Studio - Amazon EMR
Requisitos previosConfiguración

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de cuadernos y archivos del espacio de trabajo de EMR Studio

En EMR Studio, puede crear y configurar diferentes espacios de trabajo para organizar y ejecutar cuadernos. Estos espacios de trabajo almacenan libretas y archivos relacionados en el bucket de Amazon S3 que especifiques. De forma predeterminada, estos archivos se cifran con claves administradas por Amazon S3 (SSE-S3) con el cifrado del lado del servidor como nivel base de cifrado. También puede optar por utilizar claves KMS administradas por el cliente (SSE-KMS) para cifrar sus archivos. Puede hacerlo mediante la consola de administración de Amazon EMR o mediante el AWS SDK AWS CLI and al crear un EMR Studio.

El cifrado del almacenamiento del espacio de trabajo de EMR Studio está disponible en todas las regiones en las que está disponible EMR Studio.

Requisitos previos

Antes de poder cifrar el bloc de notas y los archivos del espacio de trabajo de EMR Studio, debe crear AWS Key Management Service una clave de administrador de clientes (CMK) simétrica en la Cuenta de AWS misma región y región que su EMR Studio.

Su política de recursos AWS KMS debe tener los permisos de acceso necesarios para su función de servicio de EMR Studio. El siguiente es un ejemplo de política de IAM que otorga permisos de acceso mínimos para el cifrado de almacenamiento de EMR Studio Workspace: 

{
    "Sid": "AllowEMRStudioServiceRoleAccess",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>"
    },
    "Action": [
        "kms:Decrypt", 
        "kms:GenerateDataKey", 
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "<ACCOUNT_ID>",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::<S3_BUCKET_NAME>",
            "kms:ViaService": "s3.<AWS_REGION>.amazonaws.com"
        }
    }
}

Su rol de servicio de EMR Studio también debe tener los permisos de acceso para usar su AWS KMS clave. El siguiente es un ejemplo de política de IAM que concede los permisos de acceso mínimos para el cifrado de almacenamiento de EMR Studio Workspace:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEMRStudioWorkspaceStorageEncryptionAccess",
            "Effect": "Allow",
            "Action": [
               "kms:Decrypt",
               "kms:GenerateDataKey",
               "kms:ReEncryptFrom",
               "kms:ReEncryptTo",
               "kms:DescribeKey"             
            ],
            "Resource": ["arn:aws:kms:<REGION>:<ACCOUNT_ID>:key/<KEY_IDENTIFIER>"]
        }
    ]
}

Configuración

Siga estos pasos para crear un nuevo EMR Studio que utilice el cifrado de almacenamiento del espacio de trabajo.

  1. Abra la consola de Amazon EMR enhttps://console.aws.amazon.com/elasticmapreduce/.

  2. Selecciona Estudios y, a continuación, selecciona Crear estudio.

  3. Para la ubicación de almacenamiento de S3, introduzca o elija una ruta de Amazon S3. Esta es la ubicación de Amazon S3 en la que Amazon EMR almacena las libretas y los archivos del espacio de trabajo.

  4. En Función de servicio, introduzca o elija una función de IAM. Esta es la función de IAM que asume Amazon EMR.

  5. Elija Cifrar los archivos del espacio de trabajo con su propia clave. AWS KMS

  6. Introduzca o elija una AWS KMS clave para cifrar las libretas y los archivos del espacio de trabajo en Amazon S3.

  7. Elija Create Studio o Create Studio e inicie Workspaces.

  8. Elige Cifrar los archivos del espacio de trabajo con tu propia clave. AWS KMS

  9. Introduzca o elija una de AWS KMS las que desee utilizar para cifrar las libretas y los archivos del espacio de trabajo en Amazon S3.

  10. Seleccione Guardar cambios.

Los siguientes pasos muestran cómo actualizar un EMR Studio y configurar el cifrado del almacenamiento del espacio de trabajo.

  1. Abra la consola de Amazon EMR enhttps://console.aws.amazon.com/elasticmapreduce/.

  2. Elija un EMR Studio existente de la lista y, a continuación, elija Editar.

  3. Elija Cifrar los archivos del espacio de trabajo con su propia clave. AWS KMS

  4. Introduzca o elija una de AWS KMS las que desee utilizar para cifrar las libretas y los archivos del espacio de trabajo en Amazon S3.

  5. Seleccione Guardar cambios.