Mengenkripsi data yang ditulis oleh AWS Glue - AWS Glue
Menyiapkan AWS Glue untuk menggunakan konfigurasi keamananMembuat Rute ke AWS KMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi data yang ditulis oleh AWS Glue

Sebuah konfigurasi keamanan adalah seperangkat properti keamanan yang dapat digunakan olehAWS Glue. Anda dapat menggunakan sebuah konfigurasi keamanan untuk mengenkripsi data at rest. Skenario berikut menunjukkan beberapa cara yang dapat Anda pakai untuk menggunakan konfigurasi keamanan.

  • Lampirkan konfigurasi keamanan ke AWS Glue crawler untuk menulis Log Amazon CloudWatch terenkripsi. Untuk informasi selengkapnya tentang melampirkan konfigurasi keamanan ke crawler, lihat. Langkah 3: Konfigurasikan pengaturan keamanan

  • Lampirkan konfigurasi keamanan ke tugas ekstrak, transformasi, dan muat (ETL) untuk menulis target Amazon Simple Storage Service (Amazon S3) terenkripsi dan Log terenkripsi. CloudWatch

  • Melampirkan sebuah konfigurasi keamanan untuk tugas ETL untuk menulis bookmark tugas sebagai data Amazon S3 yang dienkripsi.

  • Melampirkan sebuah konfigurasi keamanan untuk titik akhir pengembangan untuk menulis target Amazon S3 yang terenkripsi.

penting

Saat ini, sebuah konfigurasi keamanan menimpa pengaturan enkripsi sisi server (SSE-S3) yang diberikan sebagai parameter tugas ETL. Jadi, jika sebuah konfigurasi keamanan dan parameter SSE-S3 dikaitkan dengan sebuah tugas, maka parameter SSE-S3 akan diabaikan.

Untuk informasi selengkapnya tentang konfigurasi keamanan, lihat Bekerja dengan konfigurasi keamanan di konsol AWS Glue.

Topik

Menyiapkan AWS Glue untuk menggunakan konfigurasi keamanan

Ikuti langkah-langkah berikut untuk menyiapkan lingkungan AWS Glue Anda untuk menggunakan konfigurasi keamanan.

  1. Buat atau perbarui kunci AWS Key Management Service (AWS KMS) Anda untuk memberikan AWS KMS izin ke peran IAM yang diteruskan ke AWS Glue crawler dan pekerjaan untuk mengenkripsi Log. CloudWatch Untuk informasi selengkapnya, lihat Mengenkripsi Data Log di CloudWatch Log Menggunakan AWS KMS di Panduan Pengguna Amazon CloudWatch Logs.

    Pada contoh berikut, "peran1", "peran2", dan "peran3" adalah IAM role yang diberikan ke crawler dan tugas.

    {
       "Effect": "Allow",
       "Principal": { "Service": "logs.region.amazonaws.com",
       "AWS": [
                "role1",
                "role2",
                "role3"
             ] },
                    "Action": [
                           "kms:Encrypt*",
                           "kms:Decrypt*",
                           "kms:ReEncrypt*",
                           "kms:GenerateDataKey*",
                           "kms:Describe*"
                    ],
                    "Resource": "*"
}

    ServicePernyataan, ditampilkan sebagai"Service": "logs.region.amazonaws.com", diperlukan jika Anda menggunakan kunci untuk mengenkripsi CloudWatch Log.

  2. Pastikan bahwa kunci AWS KMS adalah ENABLED sebelum digunakan.

catatan

Jika Anda menggunakan Iceberg sebagai kerangka data lake Anda, tabel Iceberg memiliki mekanisme sendiri untuk mengaktifkan enkripsi sisi server. Anda harus mengaktifkan konfigurasi ini selain AWS Glue konfigurasi keamanan. Untuk mengaktifkan enkripsi sisi server pada tabel Iceberg, tinjau panduan dari dokumentasi Iceberg.

Membuat rute AWS KMS untuk pekerjaan dan crawler VPC

Anda dapat connect langsung ke AWS KMS melalui titik akhir privat di virtual private cloud (VPC) Anda alih-alih terhubung melalui internet. Bila Anda menggunakan VPC endpoint, komunikasi antara VPC dan AWS KMS dilakukan sepenuhnya dalam jaringan AWS.

Anda dapat membuat VPC endpoint AWS KMS dalam sebuah VPC. Tanpa langkah ini, tugas atau crawler Anda mungkin gagal dengan kms timeout pada tugas atau internal service exception pada crawler. Untuk instruksi terperinci, lihat Menghubungkan ke AWS KMS Melalui VPC Endpoint dalam Panduan Developer AWS Key Management Service.

Saat Anda mengikuti petunjuk ini, pada Konsol VPC, Anda harus melakukan hal berikut:

  • Pilih Mengaktifkan Nama DNS Privat.

  • Pilih Grup keamanan (dengan aturan self-referencing) yang Anda gunakan untuk tugas Anda atau crawler yang mengakses Java Database Connectivity (JDBC). Untuk informasi selengkapnya tentang koneksi AWS Glue, lihat Menghubungkan ke data.

Bila Anda menambahkan sebuah konfigurasi keamanan ke crawler atau tugas yang mengakses penyimpanan data JDBC, maka AWS Glue harus memiliki rute ke titik akhir AWS KMS. Anda dapat menyediakan rute dengan gateway penerjemahan alamat jaringan (NAT) atau dengan VPC endpoint AWS KMS. Untuk membuat gateway NAT, lihat Gateway NAT di Panduan Pengguna Amazon VPC.