Cifrado de datos escritos por AWS Glue - AWS Glue

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos escritos por AWS Glue

Una configuración de seguridad es un conjunto de propiedades de seguridad que AWS Glue puede usar. Puede utilizar una configuración de seguridad para cifrar los datos en reposo. En las siguientes situaciones se muestran algunas de las maneras en las que puede utilizar una configuración de seguridad.

  • Asocie una configuración de seguridad a un rastreador de AWS Glue para escribir registros cifrados de Amazon CloudWatch Logs. Para obtener más información sobre cómo asociar las configuraciones de seguridad a los rastreadores, consulte Paso 3: Establecer configuración de seguridad.

  • Asocie una configuración de seguridad a un trabajo de extracción, transformación y carga (ETL) para escribir destinos de Amazon Simple Storage Service (Amazon S3) cifrados y registros de CloudWatch Logs cifrados.

  • Asocie una configuración de seguridad a un trabajo de ETL para escribir sus marcadores de trabajo como datos de Amazon S3 cifrados.

  • Asocie una configuración de seguridad a un punto de enlace de desarrollo para escribir destinos de Amazon S3 cifrados.

importante

En la actualidad, una configuración de seguridad reemplaza cualquier configuración de cifrado del lado del servidor (SSE-S3) que se haya pasado como un parámetro de flujo de trabajo de ETL. Por lo tanto, si un flujo de trabajo tiene asociados una configuración de seguridad y un parámetro de SSE-S3, este último se ignorará.

Para obtener más información acerca de las configuraciones de seguridad, consulte Trabajar con configuraciones de seguridad en la consola de AWS Glue.

Configuración de AWS Glue para utilizar configuraciones de seguridad

Siga estos pasos para configurar el entorno de AWS Glue para utilizar configuraciones de seguridad.

  1. Cree o actualice las claves de AWS Key Management Service (AWS KMS) para conceder permisos de AWS KMS a los roles de IAM que se transfieren a los rastreadores y los trabajos de AWS Glue para cifrar registros de CloudWatch Logs. Para obtener más información, consulte Cifrado de datos de registro en CloudWatch Logs con AWS KMS en la Guía del usuario de Amazon CloudWatch Logs.

    En el siguiente ejemplo, "role1", "role2" y "role3" son roles de IAM que se transfieren a los rastreadores y los trabajos.

    { "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

    La instrucción Service, que se muestra como "Service": "logs.region.amazonaws.com", es necesaria si utiliza la clave para cifrar CloudWatch Logs.

  2. Asegúrese de que la clave AWS KMS es ENABLED antes de utilizarla.

nota

Si utiliza Iceberg como marco de lago de datos, las tablas sw Iceberg tienen sus propios mecanismos para habilitar el cifrado del lado del servidor. Debe habilitar esta configuración además de las configuraciones de seguridad de AWS Glue. Para habilitar el cifrado del lado del servidor en las tablas de Iceberg, consulte las instrucciones de la documentación de Iceberg.

Creación de una ruta a AWS KMS para rastreadores y trabajos de VPC

Puede conectarse directamente a AWS KMS a través de un punto de enlace privado en su nube virtual privada (VPC) en lugar de conectarse a través de Internet. Cuando se utiliza un punto de enlace de la VPC, la comunicación entre la VPC y AWS KMS se realiza en su totalidad dentro de la red de AWS.

Puede crear un punto de enlace de la VPC de AWS KMS dentro de una VPC. Sin este paso, sus trabajos o rastreadores podrían generar un error con kms timeout en trabajos o con internal service exception en rastreadores. Para obtener instrucciones detalladas, consulte Conexión a AWS KMS a través de un punto de enlace de la VPC en la Guía para desarrolladores de AWS Key Management Service.

Cuando siga estas instrucciones, en la consola de VPC, debe hacer lo siguiente:

  • Seleccione Enable Private DNS name (Habilitar nombre de DNS privado).

  • Elija el Security group (Grupo de seguridad) (con regla de autorreferencia) que utilice para su trabajo o rastreador que accede a Java Database Connectivity (JDBC). Para obtener más información acerca de las conexiones de AWS Glue, consulte Conexión a datos.

Cuando agregue una configuración de seguridad a un rastreador o a un trabajo que accede a almacenes de datos de JDBC, AWS Glue debe tener una ruta al punto de enlace de la AWS KMS. Puede proporcionar la ruta con una gateway de conversión de las direcciones de red (NAT) o con un punto de enlace de las VPC de AWS KMS. Para crear una gateway NAT, consulte Gateways NAT en la Guía del usuario de Amazon VPC.