Chiffrement de données écrites par AWS Glue - AWS Glue

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement de données écrites par AWS Glue

Une configuration de sécurité est un ensemble de propriétés de sécurité pouvant être utilisées par AWS Glue. Vous pouvez utiliser une configuration de sécurité pour chiffrer les données au repos. Les scénarios suivants illustrent les différentes façons dont vous pouvez utiliser une configuration de sécurité.

  • Associez une configuration de sécurité à un AWS Glue robot d'exploration pour écrire des Amazon CloudWatch Logs chiffrés. Pour plus d'informations sur l'association de configurations de sécurité aux robots d'exploration, consultezÉtape 3 : Configurer les paramètres de sécurité.

  • Associez une configuration de sécurité à une tâche d'extraction, de transformation et de chargement (ETL) pour écrire des cibles Amazon Simple Storage Service (Amazon S3) chiffrées et CloudWatch des journaux chiffrés.

  • Attacher une configuration de sécurité à une tâche ETL pour écrire ses signets de tâche sous forme de données Amazon S3 chiffrées.

  • Attacher une configuration de sécurité à un point de terminaison de développement pour écrire des cibles Amazon S3 chiffrées.

Important

Actuellement, une configuration de sécurité remplace tout paramètre de chiffrement côté serveur (SSE-S3) qui est transmis en tant que paramètre de tâche ETL. Par conséquent, si une configuration de sécurité et un paramètre SSE-S3 sont associés à une tâche, le paramètre SSE-S3 est ignoré.

Pour plus d'informations sur les configurations de sécurité, consultez Gestion des configurations de sécurité sur la AWS Glue console.

Configuration d'AWS Glue pour utiliser des configurations de sécurité

Exécutez les étapes suivantes pour configurer votre environnement AWS Glue pour utiliser des configurations de sécurité.

  1. Créez ou mettez à jour vos clés AWS Key Management Service (AWS KMS) pour accorder AWS KMS des autorisations aux rôles IAM qui sont transmis aux AWS Glue robots d'exploration et aux tâches pour chiffrer CloudWatch les journaux. Pour plus d'informations, consultez la section Chiffrer les données de journal dans CloudWatch les journaux à l'aide AWS KMS du guide de l'utilisateur Amazon CloudWatch Logs.

    Dans l'exemple suivant, « role1 », « role2 » et « role3 » sont des rôles IAM qui sont transmis à des crawlers et à des tâches.

    { "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

    L'Serviceinstruction, représentée sous la forme"Service": "logs.region.amazonaws.com", est obligatoire si vous utilisez la clé pour chiffrer CloudWatch les journaux.

  2. Assurez-vous que la clé AWS KMS est ENABLED avant de l'utiliser.

Note

Si vous utilisez Iceberg comme cadre de lac de données, les tables Iceberg disposent de leurs propres mécanismes pour activer le chiffrement côté serveur. Vous devez activer cette configuration en plus des configurations de sécurité de AWS Glue. Pour activer le chiffrement côté serveur sur les tables Iceberg, consultez les conseils de la documentation d'Iceberg.

Création d'une route vers AWS KMS pour les tâches et les crawlers VPC

Vous pouvez vous connecter directement à AWS KMS via un point de terminaison privé dans votre VPC au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison de VPC, la communication entre votre VPC et AWS KMS est gérée entièrement au sein du réseau AWS.

Vous pouvez créer un point de terminaison de VPC AWS KMS au sein d'un VPC. Sans cette étape, vos tâches ou crawlers peuvent échouer avec un kms timeout sur les tâches ou une internal service exception sur les crawlers. Pour obtenir des instructions détaillées, veuillez consulter Connexion à AWS KMS via un point de terminaison d'un VPC dans le Guide du développeur AWS Key Management Service.

Au fur et à mesure que vous suivez ces instructions, sur la console VPC,vous devez effectuer les opérations suivantes :

  • Sélectionnez Enable Private DNS name (Activer le nom DNS privé).

  • Choisissez le groupe de sécurité (avec une règle à référence circulaire) que vous utilisez pour votre tâche ou votre crawler qui accède à Java Database Connectivity (JDBC). Pour plus d'informations sur les connexions AWS Glue, consultez Connexion aux données.

Lorsque vous ajoutez une configuration de sécurité à un crawler ou à une tâche qui accède aux magasins de données JDBC, AWS Glue doit avoir une route vers le point de terminaison AWS KMS. Vous pouvez fournir la route avec une passerelle de traduction d'adresses réseau (NAT) ou avec un point de terminaison de VPC AWS KMS. Pour créer une passerelle NAT, veuillez consulter Passerelles NAT dans le Guide de l'utilisateur Amazon VPC.