Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Chiffrement de données écrites par AWS Glue

PDF
RSS
Mode de mise au point
Chiffrement de données écrites par AWS Glue - AWS Glue
Configuration AWS Glue pour utiliser des configurations de sécuritéCréation d'une route vers AWS KMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Une configuration de sécurité est un ensemble de propriétés de sécurité qui peuvent être utilisées par AWS Glue. Vous pouvez utiliser une configuration de sécurité pour chiffrer les données au repos. Les scénarios suivants illustrent les différentes façons dont vous pouvez utiliser une configuration de sécurité.

  • Joindre une configuration de sécurité à un AWS Glue robot d'exploration pour écrire des Amazon CloudWatch Logs cryptés. Pour plus d'informations sur l'association de configurations de sécurité aux robots d'exploration, consultezÉtape 3 : Configurer les paramètres de sécurité.

  • Associez une configuration de sécurité à une tâche d'extraction, de transformation et de chargement (ETL) pour écrire des cibles Amazon Simple Storage Service (Amazon S3) chiffrées et CloudWatch des journaux chiffrés.

  • Attacher une configuration de sécurité à une tâche ETL pour écrire ses signets de tâche sous forme de données Amazon S3 chiffrées.

  • Attacher une configuration de sécurité à un point de terminaison de développement pour écrire des cibles Amazon S3 chiffrées.

Important

Actuellement, une configuration de sécurité remplace tout paramètre de chiffrement côté serveur (SSE-S3) qui est transmis en tant que paramètre de tâche ETL. Par conséquent, si une configuration de sécurité et un paramètre SSE-S3 sont associés à une tâche, le paramètre SSE-S3 est ignoré.

Pour plus d'informations sur les configurations de sécurité, consultez Gestion des configurations de sécurité sur le AWS Glue console.

Rubriques

Configuration AWS Glue pour utiliser des configurations de sécurité

Suivez ces étapes pour configurer votre AWS Glue environnement pour utiliser les configurations de sécurité.

  1. Créez ou mettez à jour vos clés AWS Key Management Service (AWS KMS) pour accorder AWS KMS des autorisations aux rôles IAM transmis à AWS Glue robots d'exploration et tâches pour chiffrer les journaux. CloudWatch Pour plus d'informations, consultez la section Chiffrer les données de journal dans CloudWatch les journaux à l'aide AWS KMS du guide de l'utilisateur Amazon CloudWatch Logs.

    Dans l'exemple suivant, "role1""role2", et "role3" sont des rôles IAM transmis aux robots d'exploration et aux tâches.

    {
       "Effect": "Allow",
       "Principal": { "Service": "logs.region.amazonaws.com",
       "AWS": [
                "role1",
                "role2",
                "role3"
             ] },
                    "Action": [
                           "kms:Encrypt*",
                           "kms:Decrypt*",
                           "kms:ReEncrypt*",
                           "kms:GenerateDataKey*",
                           "kms:Describe*"
                    ],
                    "Resource": "*"
}

    L'Serviceinstruction, représentée sous la forme"Service": "logs.region.amazonaws.com", est obligatoire si vous utilisez la clé pour chiffrer CloudWatch les journaux.

  2. Assurez-vous que la AWS KMS clé est bien ENABLED là avant de l'utiliser.

Note

Si vous utilisez Iceberg comme cadre de lac de données, les tables Iceberg disposent de leurs propres mécanismes pour activer le chiffrement côté serveur. Vous devez activer ces configurations en plus des configurations AWS Glue de sécurité. Pour activer le chiffrement côté serveur sur les tables Iceberg, consultez les conseils de la documentation d'Iceberg.

Création d'un itinéraire AWS KMS pour les tâches VPC et les robots d'exploration

Vous pouvez vous connecter directement à AWS KMS via un point de terminaison privé dans votre VPC au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison VPC, la communication entre votre VPC et celui-ci AWS KMS s'effectue entièrement au sein du réseau. AWS

Vous pouvez créer un point de terminaison AWS KMS VPC au sein d'un VPC. Sans cette étape, vos tâches ou crawlers peuvent échouer avec un kms timeout sur les tâches ou une internal service exception sur les crawlers. Pour obtenir des instructions détaillées, consultez la section Connexion AWS KMS via un point de terminaison VPC dans le guide du AWS Key Management Service développeur.

Au fur et à mesure que vous suivez ces instructions, sur la console VPC,vous devez effectuer les opérations suivantes :

  • Sélectionnez Enable Private DNS name (Activer le nom DNS privé).

  • Choisissez le groupe de sécurité (avec une règle à référence circulaire) que vous utilisez pour votre tâche ou votre crawler qui accède à Java Database Connectivity (JDBC). Pour plus d'informations sur AWS Glue connexions, voirConnexion aux données.

Lorsque vous ajoutez une configuration de sécurité à un robot ou à une tâche qui accède aux magasins de données JDBC, AWS Glue doit avoir un itinéraire vers le AWS KMS point de terminaison. Vous pouvez fournir l'itinéraire à l'aide d'une passerelle de traduction d'adresses réseau (NAT) ou d'un point de AWS KMS terminaison VPC. Pour créer une passerelle NAT, veuillez consulter Passerelles NAT dans le Guide de l'utilisateur Amazon VPC.

Sur cette page

Related resources

AWS Glue DataBrew Guide du développeur
AWS CLI commandes pour AWS Glue
SDKs et outils 

Related resources

AWS Glue DataBrew Guide du développeur
AWS CLI commandes pour AWS Glue
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.