Protection des données - Amazon EMR
Chiffrement au reposChiffrement en transit

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données

Le modèle de responsabilité AWS partagée s'applique à la protection des données dans Amazon EMR Serverless. Comme décrit dans ce modèle, AWS est responsable de la protection de l'infrastructure mondiale qui gère l'ensemble du AWS cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Ce contenu inclut la configuration de la sécurité et les tâches de gestion pour les AWS services que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez les FAQ sur la confidentialité des données. Pour plus d'informations sur la protection des données en Europe, consultez le modèle de responsabilité AWS partagée et le billet de blog sur le RGPD sur le blog sur la AWS sécurité.

Pour des raisons de protection des données, nous vous recommandons de protéger les informations d'identification des AWS comptes et de configurer des comptes individuels avec AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous recommandons TLS 1.2 ou version ultérieure.

  • Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut au sein AWS des services.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données personnelles stockées dans Amazon S3.

  • Utilisez les options de chiffrement sans serveur Amazon EMR pour chiffrer les données au repos et en transit.

  • Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-2 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez Federal Information Processing Standard (FIPS) 140-2 (Normes de traitement de l’information fédérale).

Nous vous recommandons vivement de ne jamais placer d'informations identifiables sensibles, telles que les numéros de compte de vos clients, dans des champs de formulaire comme Name (Nom). Cela inclut lorsque vous travaillez avec Amazon EMR Serverless ou d'autres AWS services à l'aide de la console, de l'API ou. AWS CLI AWS SDKs Toutes les données que vous entrez dans Amazon EMR Serverless ou dans d'autres services peuvent être récupérées pour être incluses dans les journaux de diagnostic. Lorsque vous fournissez une URL à un serveur externe, n’incluez pas les informations d’identification non chiffrées dans l’URL pour valider votre demande adressée au serveur.

Chiffrement au repos

Le chiffrement des données vous permet d'empêcher les utilisateurs non autorisés de lire les données d'un cluster et celles des systèmes de stockage de données associés. Cela inclut les données enregistrées sur les supports persistants (données au repos) et les données qui peuvent être interceptées alors qu'elles circulent sur le réseau (données en transit).

Le chiffrement des données nécessite des clés et des certificats. Vous pouvez choisir parmi plusieurs options, notamment les clés gérées par AWS Key Management Service, les clés gérées par Amazon S3 et les clés et certificats fournis par les fournisseurs personnalisés que vous fournissez. Lorsque vous l'utilisez en AWS KMS tant que fournisseur de clés, des frais s'appliquent pour le stockage et l'utilisation des clés de chiffrement. Pour en savoir plus, consultez Pricing AWS KMS (Tarification).

Avant d'indiquer les options de chiffrement, choisissez les systèmes de gestion des clés et des certificats que vous souhaitez utiliser. Créez ensuite les clés et les certificats pour les fournisseurs personnalisés que vous indiquez dans le cadre des paramètres de chiffrement.

Chiffrement au repos des données EMRFS dans Amazon S3

Chaque application EMR Serverless utilise une version de version spécifique, qui inclut EMRFS (EMR File System). Le chiffrement Amazon S3 fonctionne avec les objets du système de fichiers EMR (EMRFS) lus et écrits sur Amazon S3. Vous pouvez spécifier le chiffrement côté serveur (SSE) ou le chiffrement côté client (CSE) Amazon S3 comme mode de chiffrement par défaut lorsque vous activez le chiffrement au repos. Le cas échéant, vous pouvez spécifier différentes méthodes de chiffrement pour les compartiments individuels à l'aide de remplacements de chiffrement par compartiment. Que le chiffrement Amazon S3 soit activé ou non, le protocole TLS (Transport Layer Security) chiffre les objets EMRFS en transit entre les nœuds de cluster EMR et Amazon S3. Si vous utilisez Amazon S3 CSE avec des clés gérées par le client, votre rôle d'exécution utilisé pour exécuter des tâches dans une application EMR sans serveur doit avoir accès à la clé. Pour obtenir des informations détaillées sur le chiffrement Amazon S3, consultez la section Protection des données à l'aide du chiffrement dans le manuel Amazon Simple Storage Service Developer Guide.

Note

Lorsque vous les utilisez AWS KMS, des frais s'appliquent pour le stockage et l'utilisation des clés de chiffrement. Pour en savoir plus, consultez Pricing AWS KMS (Tarification).

Chiffrement côté serveur sur Amazon S3

Le chiffrement est configuré par défaut pour tous les compartiments Amazon S3, et tous les nouveaux objets chargés dans un compartiment S3 sont automatiquement chiffrés au repos. Amazon S3 chiffre les données au niveau de l'objet lorsqu'il écrit les données sur le disque et les déchiffre lors de l'accès. Pour plus d'informations sur SSE, consultez la section Protection des données à l'aide du chiffrement côté serveur dans le manuel Amazon Simple Storage Service Developer Guide.

Vous pouvez choisir entre deux systèmes de gestion de clés différents lorsque vous spécifiez SSE dans Amazon EMR Serverless :

  • SSE-S3 : Amazon S3 gère les clés pour vous. Aucune configuration supplémentaire n'est requise sur EMR Serverless.

  • SSE-KMS ‐ Vous utilisez un AWS KMS key pour configurer des politiques adaptées à EMR Serverless. Aucune configuration supplémentaire n'est requise sur EMR Serverless.

Pour utiliser AWS KMS le chiffrement des données que vous écrivez sur Amazon S3, deux options s'offrent à vous lorsque vous utilisez l'StartJobRunAPI. Vous pouvez soit activer le chiffrement pour tout ce que vous écrivez sur Amazon S3, soit activer le chiffrement pour les données que vous écrivez dans un compartiment spécifique. Pour plus d'informations sur l'StartJobRunAPI, consultez le manuel EMR Serverless API Reference.

Pour activer le AWS KMS chiffrement de toutes les données que vous écrivez sur Amazon S3, utilisez les commandes suivantes lorsque vous appelez l'StartJobRunAPI. 

--conf spark.hadoop.fs.s3.enableServerSideEncryption=true 
--conf spark.hadoop.fs.s3.serverSideEncryption.kms.keyId=<kms_id>

Pour activer le AWS KMS chiffrement des données que vous écrivez dans un compartiment spécifique, utilisez les commandes suivantes lorsque vous appelez l'StartJobRunAPI.

--conf spark.hadoop.fs.s3.bucket.<amzn-s3-demo-bucket1>.enableServerSideEncryption=true
--conf spark.hadoop.fs.s3.bucket.<amzn-s3-demo-bucket1>.serverSideEncryption.kms.keyId=<kms-id>

Le SSE avec clés fournies par le client (SSE-C) n'est pas disponible pour une utilisation avec EMR Serverless.

Chiffrement côté client sur Amazon S3

Avec le chiffrement côté client Amazon S3, le chiffrement et le déchiffrement Amazon S3 ont lieu dans le client EMRFS disponible sur chaque version d'Amazon EMR. Les objets sont chiffrés avant d'être chargés sur Amazon S3 et déchiffrés après leur chargement. Le fournisseur que vous indiquez fournit la clé de chiffrement utilisée par le client. Le client peut utiliser les clés fournies par AWS KMS (CSE-KMS) ou une classe Java personnalisée qui fournit la clé racine côté client (CSE-C). Les spécificités du chiffrement sont légèrement différentes entre CSE-KMS et CSE-C, en fonction du fournisseur indiqué et des métadonnées de l'objet à déchiffrer ou à chiffrer. Si vous utilisez Amazon S3 CSE avec des clés gérées par le client, votre rôle d'exécution utilisé pour exécuter des tâches dans une application EMR sans serveur doit avoir accès à la clé. Des frais KMS supplémentaires peuvent s'appliquer. Pour plus d'informations sur ces différences, consultez la section Protection des données à l'aide du chiffrement côté client dans le manuel Amazon Simple Storage Service Developer Guide.

Chiffrement de disque local

Les données stockées dans un stockage éphémère sont cryptées à l'aide de clés appartenant au service à l'aide de l'algorithme cryptographique AES-256 standard du secteur.

Gestion des clés

Vous pouvez configurer KMS pour qu'il effectue automatiquement la rotation de vos clés KMS. Ce système permet d'effectuer une rotation de vos clés une fois par an tout en conservant indéfiniment les anciennes clés, afin que vos données puissent toujours être déchiffrées. Pour plus d'informations, voir Rotation des clés principales du client.

Chiffrement en transit

Les fonctionnalités de chiffrement spécifiques aux applications suivantes sont disponibles avec Amazon EMR Serverless :

  • Spark

    • Par défaut, la communication entre les pilotes Spark et les exécuteurs est authentifiée et interne. La communication RPC entre les pilotes et les exécuteurs est cryptée.

  • Hive

    • La communication entre le métastore AWS Glue et les applications EMR Serverless s'effectue via le protocole TLS.

Vous devez autoriser uniquement les connexions chiffrées via HTTPS (TLS) conformément à la SecureTransport condition aws : des politiques IAM du compartiment Amazon S3.