Mendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS

AWS Lake Formation terintegrasi dengan AWS Key Management Service(AWS KMS) untuk memungkinkan Anda mengatur layanan terintegrasi lainnya dengan lebih mudah untuk mengenkripsi dan mendekripsi data di lokasi Amazon Simple Storage Service (Amazon S3).

Kedua kunci yang dikelola pelanggan dan Kunci yang dikelola AWS didukung. Enkripsi/dekripsi sisi klien tidak didukung.

penting

Hindari mendaftarkan bucket Amazon S3 yang mengaktifkan Requester pay. Untuk ember yang terdaftar di Lake Formation, peran yang digunakan untuk mendaftarkan ember selalu dipandang sebagai pemohon. Jika bucket diakses oleh AWS akun lain, pemilik bucket akan dikenakan biaya untuk akses data jika peran tersebut milik akun yang sama dengan pemilik bucket.

Bagian ini menjelaskan cara mendaftarkan lokasi Amazon S3 dalam keadaan berikut:

  • Data di lokasi Amazon S3 dienkripsi dengan kunci KMS yang dibuat di. AWS KMS

  • Lokasi Amazon S3 tidak berada di AWS akun yang sama dengan. AWS Glue Data Catalog

  • Kunci KMS berada atau tidak berada di AWS akun yang sama dengan Katalog Data.

Mendaftarkan AWS KMS bucket Amazon S3 yang dienkripsi di AWS akun B menggunakan peran AWS Identity and Access Management (IAM) di AWS akun A memerlukan izin berikut:

  • Peran di akun A harus memberikan izin pada bucket di akun B.

  • Kebijakan bucket di akun B harus memberikan izin akses ke peran di Akun A.

  • Jika kunci KMS ada di akun B, kebijakan kunci harus memberikan akses ke peran di akun A, dan peran dalam akun A harus memberikan izin pada kunci KMS.

Dalam prosedur berikut, Anda membuat peran dalam AWS akun yang berisi Katalog Data (akun A dalam diskusi sebelumnya). Kemudian, Anda menggunakan peran ini untuk mendaftarkan lokasi. Lake Formation mengasumsikan peran ini saat mengakses data yang mendasarinya di Amazon S3. Peran yang diasumsikan memiliki izin yang diperlukan pada kunci KMS. Akibatnya, Anda tidak perlu memberikan izin pada kunci KMS kepada kepala sekolah yang mengakses data dasar dengan pekerjaan ETL atau dengan layanan terintegrasi seperti. Amazon Athena

penting

Anda tidak dapat menggunakan peran terkait layanan Lake Formation untuk mendaftarkan lokasi di akun lain. Anda harus menggunakan peran yang ditentukan pengguna sebagai gantinya. Peran tersebut harus memenuhi persyaratan diPersyaratan untuk peran yang digunakan untuk mendaftarkan lokasi. Untuk informasi selengkapnya tentang peran tertaut layanan, lihat Izin peran terkait layanan untuk Lake Formation.

Sebelum Anda Memulai

Tinjau persyaratan untuk peran yang digunakan untuk mendaftarkan lokasi.

Untuk mendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun AWS

  1. Di AWS akun yang sama dengan Katalog Data, masuk ke AWS Management Console dan buka konsol IAM dihttps://console.aws.amazon.com/iam/.

  2. Buat peran baru atau lihat peran yang ada yang memenuhi persyaratan diPersyaratan untuk peran yang digunakan untuk mendaftarkan lokasi. Pastikan peran tersebut menyertakan kebijakan yang memberikan izin Amazon S3 di lokasi.

  3. Jika kunci KMS tidak berada di akun yang sama dengan Katalog Data, tambahkan ke peran kebijakan inline yang memberikan izin yang diperlukan pada kunci KMS. Berikut ini adalah contoh kebijakan . Ganti <cmk-region>dan < cmk-account-id > dengan wilayah dan nomor akun kunci KMS. Ganti <key-id>dengan ID kunci.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey"
         ],
        "Resource": "arn:aws:kms:<cmk-region>:<cmk-account-id>:key/<key-id>"
        }
    ]
}

  4. Di konsol Amazon S3, tambahkan kebijakan bucket yang memberikan izin Amazon S3 yang diperlukan ke peran tersebut. Berikut ini adalah contoh kebijakan bucket. Ganti < catalog-account-id > dengan nomor AWS akun Katalog Data, <role-name>dengan nama peran Anda, dan <bucket-name>dengan nama bucket.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>"
            },
            "Action":"s3:ListBucket",
            "Resource":"arn:aws:s3:::<bucket-name>"
        },
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>"
            },
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource":"arn:aws:s3:::<bucket-name>/*"
        }
    ]
}

  5. Di AWS KMS, tambahkan peran sebagai pengguna kunci KMS.

    1. Buka AWS KMS konsol di https://console.aws.amazon.com/kms. Kemudian, masuk sebagai pengguna administrator atau sebagai pengguna yang dapat mengubah kebijakan kunci kunci KMS yang digunakan untuk mengenkripsi lokasi.

    2. Di panel navigasi, pilih Kunci yang dikelola pelanggan, lalu pilih nama kunci KMS.

    3. Pada halaman detail kunci KMS, di bawah tab Kebijakan kunci, jika tampilan JSON dari kebijakan kunci tidak ditampilkan, pilih Beralih ke tampilan kebijakan.

    4. Di bagian Kebijakan kunci, pilih Edit, dan tambahkan Nama Sumber Daya Amazon (ARN) peran ke Allow use of the key objek, seperti yang ditunjukkan pada contoh berikut.

      catatan

      Jika objek itu hilang, tambahkan dengan izin yang ditunjukkan dalam contoh.

              ...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::<catalog-account-id>:role/<role-name>"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...

      Untuk informasi selengkapnya, lihat Mengizinkan Pengguna di Akun Lain Menggunakan kunci KMS di Panduan AWS Key Management Service Pengembang.

  6. Buka AWS Lake Formation konsol di https://console.aws.amazon.com/lakeformation/. Masuk ke AWS akun Katalog Data sebagai administrator danau data.

  7. Di panel navigasi, di bawah Administrasi, pilih Lokasi danau data.

  8. Pilih Daftarkan lokasi.

  9. Pada halaman Daftar lokasi, untuk jalur Amazon S3, masukkan jalur lokasi sebagai. s3://<bucket>/<prefix> Ganti <bucket>dengan nama ember dan <prefix>dengan sisa jalur untuk lokasi.

    catatan

    Anda harus mengetik jalur karena bucket lintas akun tidak muncul dalam daftar saat Anda memilih Browse.

  10. Untuk peran IAM, pilih peran dari Langkah 2.

  11. Pilih Daftarkan lokasi.