Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado del Catálogo de datos
Puede habilitar el cifrado de sus objetos de AWS Glue Data Catalog en la opción Settings (Configuración) del Catálogo de datos en la consola de AWS Glue. Puede habilitar o desactivar la configuración de cifrado de todo el Catálogo de datos. En el proceso, debe especificar una clave AWS KMS que se utiliza en forma automática cuando los objetos, como las tablas, se escriben en el Catálogo de datos. Los objetos cifrados incluyen lo siguiente:
-
Bases de datos
-
Tablas
-
Particiones
-
Versiones de tablas
-
Conexiones
-
Funciones definidas por el usuario
Puede configurar este comportamiento con AWS Management Console o AWS Command Line Interface (AWS CLI).
Para habilitar el cifrado mediante la consola
Inicie sesión en AWS Management Console y abra la consola de AWS Glue en https://console.aws.amazon.com/glue/
. -
Seleccione Settings (Configuración) en el panel de navegación.
-
En la página Data catalog settings (Configuración del Catálogo de datos), seleccione Metadata encryption (Cifrado de metadatos) y elija una clave AWS KMS.
importante
AWS Glue solo soporta claves maestras de cliente (CMK) simétricas. La lista de AWS KMS key (Clave KMS) muestra únicamente claves simétricas. Sin embargo, si selecciona Choose a AWS KMS key ARN (Elegir un ARN de clave KMS), la consola le permite introducir un ARN para cualquier tipo de clave. Asegúrese de introducir sólo ARN para claves simétricas.
Cuando el cifrado está activado, se cifrarán todos los objetos futuros del Catálogo de datos. La clave predeterminada es la clave AWS KMS de AWS Glue que AWS creó para su cuenta. Si borra esta configuración, los objetos ya no se cifrarán cuando se escriban en el Catálogo de datos. Se podrá seguir accediendo a todos los objetos cifrados en el Catálogo de datos con la clave.
Para habilitar el cifrado con el SDK o AWS CLI
-
Use la operación de la API
PutDataCatalogEncryptionSettings. Si no se especifica ninguna clave, se usa la clave de cifrado AWS Glue predeterminada para la cuenta de cliente.
importante
La clave AWS KMS debe permanecer disponible en el almacén de claves AWS KMS para todos los objetos que se cifran con ella en el Catálogo de datos. Si elimina la clave, los objetos ya no se podrán descifrar. Es posible que en determinados casos le interese esta opción para evitar el acceso a los metadatos del Catálogo de datos.
Cuando el cifrado está habilitado, el cliente que accede al Catálogo de datos debe tener los siguientes permisos de AWS KMS en su política:
-
kms:Decrypt -
kms:Encrypt -
kms:GenerateDataKey
Por ejemplo, a la hora de definir un rastreador o un trabajo, el rol de IAM que se proporcione en la definición debe tener estos permisos de AWS KMS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": "ARN-of-key-used-to-encrypt-data-catalog" } ] }
