Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengenkripsi notebook dan file ruang kerja EMR Studio
Di EMR Studio, Anda dapat membuat dan mengonfigurasi ruang kerja yang berbeda untuk mengatur dan menjalankan notebook. Ruang kerja ini menyimpan buku catatan dan file terkait di bucket Amazon S3 yang Anda tentukan. Secara default, file-file ini dienkripsi dengan kunci yang dikelola Amazon S3 (SSE-S3) dengan enkripsi sisi server sebagai tingkat dasar enkripsi. Anda juga dapat memilih untuk menggunakan kunci KMS yang dikelola pelanggan (SSE-KMS) untuk mengenkripsi file Anda. Anda dapat melakukannya dengan menggunakan konsol manajemen EMR Amazon atau melalui AWS SDK AWS CLI dan saat membuat EMR Studio.
Enkripsi penyimpanan ruang kerja EMR Studio tersedia di semua Wilayah di mana EMR Studio tersedia.
Prasyarat
Sebelum Anda dapat mengenkripsi buku catatan dan file ruang kerja EMR Studio, Anda harus AWS Key Management Service menggunakan untuk membuat kunci manajer pelanggan simetris (CMK) di tempat yang sama Akun AWS dan Wilayah sebagai EMR Studio Anda.
Kebijakan sumber daya Anda AWS KMS harus memiliki izin akses yang diperlukan untuk peran layanan EMR Studio Anda. Berikut ini adalah contoh kebijakan IAM yang memberikan izin akses minimum untuk enkripsi penyimpanan EMR Studio Workspace:
{ "Sid": "AllowEMRStudioServiceRoleAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:CallerAccount": "<ACCOUNT_ID>", "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::<S3_BUCKET_NAME>", "kms:ViaService": "s3.<AWS_REGION>.amazonaws.com" } } }
Peran layanan EMR Studio Anda juga harus memiliki izin akses untuk menggunakan kunci Anda. AWS KMS Berikut ini adalah contoh kebijakan IAM yang memberikan izin akses minimum untuk enkripsi penyimpanan EMR Studio Workspace:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEMRStudioWorkspaceStorageEncryptionAccess", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": ["arn:aws:kms:<REGION>:<ACCOUNT_ID>:key/<KEY_IDENTIFIER>"] } ] }
Pengaturan
Ikuti langkah-langkah ini untuk membuat EMR Studio baru yang menggunakan enkripsi penyimpanan ruang kerja.
-
Buka konsol Amazon EMR di https://console.aws.amazon.com/elasticmapreduce/
. -
Pilih Studios, lalu pilih Create Studio.
-
Untuk lokasi penyimpanan S3, masukkan atau pilih jalur Amazon S3. Ini adalah lokasi Amazon S3 tempat Amazon EMR menyimpan notebook dan file ruang kerja.
-
Untuk peran Layanan, masukkan atau pilih peran IAM. Ini adalah peran IAM yang diasumsikan Amazon EMR.
-
Pilih Enkripsi file Workspace dengan kunci Anda sendiri AWS KMS.
-
Masukkan atau pilih AWS KMS kunci yang akan digunakan untuk mengenkripsi notebook dan file ruang kerja di Amazon S3.
-
Pilih Buat Studio atau Buat Studio dan Luncurkan Ruang Kerja.
-
Pilih Enkripsi file Workspace dengan kunci Anda sendiri AWS KMS.
-
Masukkan atau pilih yang AWS KMS akan digunakan untuk mengenkripsi notebook dan file ruang kerja di Amazon S3.
-
Pilih Simpan Perubahan.
Langkah-langkah berikut menunjukkan cara memperbarui EMR Studio dan mengatur enkripsi penyimpanan ruang kerja.
-
Buka konsol Amazon EMR di https://console.aws.amazon.com/elasticmapreduce/
. -
Pilih EMR Studio yang ada dari daftar, lalu pilih Edit.
-
Pilih Enkripsi file Workspace dengan kunci Anda sendiri AWS KMS.
-
Masukkan atau pilih yang AWS KMS akan digunakan untuk mengenkripsi notebook dan file ruang kerja di Amazon S3.
-
Pilih Simpan Perubahan.
