Menggunakan enkripsi dengan perayap peristiwa Amazon S3 - AWS Glue
Mengaktifkan enkripsi hanya pada SQSMengaktifkan enkripsi pada SQS dan Amazon S3Pertanyaan yang Sering Diajukan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan enkripsi dengan perayap peristiwa Amazon S3

Bagian ini menjelaskan penggunaan enkripsi pada SQS saja atau pada SQS dan Amazon S3.

Mengaktifkan enkripsi hanya pada SQS

Amazon SQS menyediakan enkripsi dalam perjalanan secara default. Untuk menambahkan Enkripsi Sisi Server (SSE) opsional ke antrian Anda, Anda dapat melampirkan kunci master pelanggan (CMK) di panel edit. Ini berarti SQS mengenkripsi semua data pelanggan saat istirahat di server SQS.

Buat Customer Master Key (CMK)

  1. Pilih Key Management Service (KMS) > Customer Managed Keys > Create key.

  2. Ikuti langkah-langkah untuk menambahkan alias dan deskripsi Anda sendiri.

  3. Tambahkan peran IAM masing-masing yang Anda inginkan untuk dapat menggunakan kunci ini.

  4. Dalam kebijakan utama, tambahkan pernyataan lain ke daftar “Pernyataan” sehingga kebijakan kunci kustom Anda memberikan izin penggunaan kunci yang memadai kepada Amazon SNS.

     "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sns.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
 ]
Aktifkan Server-Side Encryption (SSE) pada antrian Anda

  1. Pilih Amazon SQS > Antrian > sqs_queue_name > tab Enkripsi.

  2. Pilih Edit, dan gulir ke bawah ke drop down Encryption.

  3. Pilih Diaktifkan untuk menambahkan SSE.

  4. Pilih CMK yang Anda buat sebelumnya, dan bukan kunci default dengan namaalias/aws/sqs.

    Setelah menambahkan ini, tab Enkripsi Anda diperbarui dengan kunci yang Anda tambahkan.

catatan

Amazon SQS secara otomatis menghapus pesan yang telah berada dalam antrian selama lebih dari periode penyimpanan pesan maksimum. Periode penyimpanan pesan default adalah 4 hari. Untuk menghindari peristiwa yang hilang, ubah SQS MessageRetentionPeriodhingga maksimal 14 hari.

Mengaktifkan enkripsi pada SQS dan Amazon S3

Aktifkan Enkripsi Sisi Server (SSE) di SQS

  1. Ikuti langkah-langkahnya di Mengaktifkan enkripsi hanya pada SQS.

  2. Pada langkah terakhir penyiapan CMK, berikan izin penggunaan kunci yang cukup kepada Amazon S3.

    Tempelkan yang berikut ini ke daftar “Pernyataan”:

     "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
 ]
Aktifkan Enkripsi Sisi Server (SSE) di bucket Amazon S3

  1. Ikuti langkah-langkahnya di Mengaktifkan enkripsi hanya pada SQS.

  2. Lakukan salah satu dari berikut:

    • Untuk mengaktifkan SSE untuk seluruh bucket S3 Anda, navigasikan ke tab Properties di bucket target Anda.

      Di sini Anda dapat mengaktifkan SSE dan memilih jenis enkripsi yang ingin Anda gunakan. Amazon S3 menyediakan kunci enkripsi yang dibuat, dikelola, dan digunakan Amazon S3 untuk Anda, atau Anda juga dapat memilih kunci dari KMS.

    • Untuk mengaktifkan SSE pada folder tertentu, klik kotak centang di samping folder target Anda dan pilih Edit enkripsi sisi server di bawah drop-down Tindakan.

Pertanyaan yang Sering Diajukan

Mengapa pesan yang saya terbitkan ke topik Amazon SNS saya tidak dikirim ke antrean Amazon SQS berlangganan saya yang mengaktifkan enkripsi sisi server (SSE)?

Periksa kembali apakah antrian Amazon SQS Anda menggunakan:

  1. Customer Master Key (CMK) yang dikelola oleh pelanggan. Bukan yang default yang disediakan oleh SQS.

  2. CMK Anda dari (1) menyertakan kebijakan kunci khusus yang memberikan izin penggunaan kunci yang memadai kepada Amazon SNS.

Untuk informasi lebih lanjut, lihat artikel ini di pusat pengetahuan.

Saya telah berlangganan notifikasi email, tetapi saya tidak menerima pembaruan email apa pun saat saya mengedit ember Amazon S3 saya.

Pastikan Anda telah mengonfirmasi alamat email Anda dengan mengklik tautan “Konfirmasi Berlangganan” di email Anda. Anda dapat memverifikasi status konfirmasi Anda dengan memeriksa tabel Langganan di bawah topik SNS Anda.

Pilih Amazon SNS > Topik > > sns_topic_name Tabel langganan.

Jika Anda mengikuti skrip prasyarat kami, Anda akan menemukan bahwa naskah sama dengan naskah prasyarat Anda. sns_topic_name sqs_queue_name Itu terlihat serupa dengan yang berikut ini:

Hanya beberapa folder yang saya tambahkan yang muncul di tabel saya setelah mengaktifkan enkripsi sisi server pada antrian SQS saya. Mengapa saya melewatkan beberapa parket?

Jika perubahan bucket Amazon S3 dilakukan sebelum mengaktifkan SSE pada antrean SQS Anda, mereka mungkin tidak diambil oleh crawler. Untuk memastikan bahwa Anda telah merayapi semua pembaruan ke bucket S3 Anda, jalankan crawler lagi dalam mode daftar (“Crawl All Folder”). Pilihan lainnya adalah memulai yang baru dengan membuat crawler baru dengan acara S3 diaktifkan.