Menentukan enkripsi Amazon S3 menggunakan properti EMRFS - Amazon EMR
Menggunakan AWS KMS keys untuk enkripsi EMRFSEnkripsi sisi server Amazon S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menentukan enkripsi Amazon S3 menggunakan properti EMRFS

penting

Muali dari rilis Amazon EMR versi 4.8.0, Anda dapat menggunakan konfigurasi keamanan untuk menerapkan pengaturan enkripsi dengan lebih mudah dan lebih banyak opsi. Kami merekomendasikan untuk menggunakan konfigurasi keamanan. Untuk selengkapnya, lihat Mengkonfigurasi enkripsi data. Instruksi konsol yang dijelaskan di bagian ini tersedia untuk versi rilis lebih awal dari 4.8.0. Jika Anda menggunakan enkripsi Amazon S3 AWS CLI untuk mengonfigurasi enkripsi Amazon S3 baik dalam konfigurasi cluster maupun dalam konfigurasi keamanan di versi berikutnya, konfigurasi keamanan akan menggantikan konfigurasi cluster.

Saat membuat klaster, Anda dapat menentukan enkripsi sisi server (SSE) atau enkripsi sisi klien (CSE) untuk data EMRFS di Amazon S3 menggunakan konsol atau menggunakan properti klasifikasi melalui SDK atau EMR. emrfs-site AWS CLI Amazon S3 SSE dan CSE sama-sama eksklusif; Anda dapat memilih salah satu tetapi tidak keduanya.

Untuk AWS CLI petunjuk, lihat bagian yang sesuai untuk jenis enkripsi Anda di bawah ini.

Untuk menentukan opsi enkripsi EMRFS menggunakan AWS Management Console

  1. Arahkan ke konsol EMR Amazon baru dan pilih Beralih ke konsol lama dari navigasi samping. Untuk informasi selengkapnya tentang apa yang diharapkan saat beralih ke konsol lama, lihat Menggunakan konsol lama.

  2. Pilih Buat klaster, Pergi ke opsi lanjutan.

  3. Pilih Rilis 4.7.2 atau yang lebih lama.

  4. Pilih opsi lain untuk Perangkat Lunak dan Langkah-langkah yang sesuai untuk aplikasi Anda, lalu pilih Berikutnya.

  5. Pilih pengaturan di panel Perangkat Keras dan Pengaturan Klaster Umum yang sesuai untuk aplikasi Anda.

  6. Pada panel Keamanan, di bawah Autentikasi dan enkripsi, pilih opsi Enkripsi S3 (dengan EMRFS) untuk digunakan.

    catatan

    Enkripsi sisi server S3 dengan Manajemen Kunci KMS (SSE-KMS) tidak tersedia saat menggunakan rilis Amazon EMR versi 4.4 atau lebih lama.

  7. Pilih opsi lain yang sesuai untuk aplikasi Anda lalu pilih Buat klaster.

Menggunakan AWS KMS keys untuk enkripsi EMRFS

Kunci AWS KMS enkripsi harus dibuat di Wilayah yang sama dengan instans cluster EMR Amazon Anda dan bucket Amazon S3 yang digunakan dengan EMRFS. Jika kunci yang Anda tentukan berada di akun yang berbeda dari yang Anda gunakan untuk mengkonfigurasi klaster, Anda harus menentukan kunci menggunakan ARN-nya.

Peran untuk profil instans Amazon EC2 harus memiliki izin untuk menggunakan kunci KMS yang Anda tentukan. Peran default untuk profil instans di Amazon EMR adalah EMR_EC2_DefaultRole. Jika Anda menggunakan peran yang berbeda untuk profil instans, atau Anda menggunakan IAM role untuk permintaan EMRFS ke Amazon S3, pastikan bahwa setiap peran ditambahkan sebagai pengguna kunci sebagaimana mestinya. Ini memberikan izin peran untuk menggunakan kunci KMS. Untuk informasi selengkapnya, lihat Menggunakan Kebijakan Utama di Panduan AWS Key Management Service Pengembang dan Mengonfigurasi peran IAM untuk permintaan EMRFS ke Amazon S3.

Anda dapat menggunakan AWS Management Console untuk menambahkan profil instans atau profil instans EC2 ke daftar pengguna utama untuk kunci KMS yang ditentukan, atau Anda dapat menggunakan AWS CLI atau AWS SDK untuk melampirkan kebijakan kunci yang sesuai.

Perhatikan bahwa Amazon EMR hanya mendukung kunci KMS simetris. Anda tidak dapat menggunakan kunci KMS asimetris untuk mengenkripsi data saat istirahat di klaster EMR Amazon. Untuk bantuan menentukan apakah kunci KMS simetris atau asimetris, lihat Mengidentifikasi kunci KMS simetris dan asimetris.

Prosedur di bawah ini menjelaskan cara menambahkan profil instans EMR Amazon default, EMR_EC2_DefaultRole sebagai pengguna utama yang menggunakan. AWS Management Console Ini mengasumsikan bahwa Anda telah membuat kunci KMS. Untuk membuat kunci KMS baru, lihat Membuat Kunci di Panduan AWS Key Management Service Pengembang.

Untuk menambahkan profil instans EC2 untuk Amazon EMR ke daftar pengguna kunci enkripsi

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Pilih alias tombol KMS untuk memodifikasi.

  4. Pada halaman detail kunci di bawah Pengguna Kunci, pilih Tambahkan.

  5. Di kotak dialog Tambah pengguna kunci, pilih peran yang sesuai. Nama peran default adalah EMR_EC2_DefaultRole.

  6. Pilih Tambahkan.

Enkripsi sisi server Amazon S3

Saat Anda mengatur enkripsi sisi server Amazon S3, Amazon S3 akan mengenkripsi data pada tingkat objek saat menulis data ke disk dan mendekripsi data saat diakses. Untuk informasi selengkapnya tentang SSE, lihat Melindungi data menggunakan enkripsi sisi server di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Anda dapat memilih di antara dua sistem manajemen kunci yang berbeda saat Anda menentukan SSE di Amazon EMR:

  • SSE-S3 – Amazon S3 mengelola kunci untuk Anda.

  • SSE-KMS - Anda menggunakan AWS KMS key untuk mengatur dengan kebijakan yang sesuai untuk Amazon EMR. Untuk informasi selengkapnya tentang persyaratan utama untuk Amazon EMR, lihat Menggunakan AWS KMS keys untuk enkripsi.

SSE dengan kunci yang disediakan pelanggan (SSE-C) tidak tersedia untuk penggunaan dengan Amazon EMR.

Untuk membuat cluster dengan SSE-S3 diaktifkan menggunakan AWS CLI

  • Ketik perintah berikut ini:

    aws emr create-cluster --release-label emr-4.7.2 or earlier \
--instance-count 3 --instance-type m5.xlarge --emrfs Encryption=ServerSide

Anda juga dapat mengaktifkan SSE-S3 dengan mengatur fs.s3. enableServerSideProperti enkripsi ke true dalam emrfs-site properti. Lihat contoh SSE-KMS di bawah ini dan hilangkan properti untuk ID Kunci.

Untuk membuat cluster dengan SSE-KMS diaktifkan menggunakan AWS CLI
catatan

SSE-KMS hanya tersedia di Amazon EMR versi rilis 4.5.0 dan yang lebih baru.

  • Ketik AWS CLI perintah berikut untuk membuat cluster dengan SSE-KMS, di mana KeyID adalah, misalnya, AWS KMS key a4567b8-9900-12ab-1234-123a45678901:

    aws emr create-cluster --release-label emr-4.7.2 or earlier --instance-count 3 \
--instance-type m5.xlarge --use-default-roles \
--emrfs Encryption=ServerSide,Args=[fs.s3.serverSideEncryption.kms.keyId=keyId]

    --ATAU--

    Ketik AWS CLI perintah berikut menggunakan emrfs-site klasifikasi dan berikan file JSON konfigurasi dengan konten seperti yang ditunjukkan mirip dengan contoh myConfig.json di bawah ini:

    aws emr create-cluster --release-label emr-4.7.2 or earlier --instance-count 3 --instance-type m5.xlarge --applications Name=Hadoop --configurations file://myConfig.json --use-default-roles

    Contoh konten MyConfig.json:

    [
  {
    "Classification":"emrfs-site",
    "Properties": {
       "fs.s3.enableServerSideEncryption": "true",
       "fs.s3.serverSideEncryption.kms.keyId":"a4567b8-9900-12ab-1234-123a45678901"
    }
  }
]

Properti konfigurasi untuk SSE-S3 dan SSE-KMS

Properti ini dapat dikonfigurasi menggunakan klasifikasi konfigurasi emrfs-site. SSE-KMS hanya tersedia di Amazon EMR versi rilis 4.5.0 dan yang lebih baru.

Properti Nilai default Deskripsi
fs.s3.enableServerSideEncryption false

Saat disetel ke true, objek yang disimpan di Amazon S3 dienkripsi menggunakan enkripsi sisi server. Jika tidak ada kunci yang ditentukan, SSE-S3 akan digunakan.
fs.s3.serverSideEncryption.kms.keyId n/a

Menentukan ID AWS KMS kunci atau ARN. Jika kunci ditentukan, SSE-KMS yang digunakan.