Registrazione di una posizione Amazon S3 crittografata tra più account AWS - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione di una posizione Amazon S3 crittografata tra più account AWS

AWS Lake Formation si integra con AWS Key Management Service(AWS KMS) per consentirti di configurare più facilmente altri servizi integrati per crittografare e decrittografare i dati nelle sedi Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3).

Sono supportate entrambe le chiavi gestite dal cliente. Chiavi gestite da AWS La crittografia/decrittografia lato client non è supportata.

Importante

Evita di registrare un bucket Amazon S3 con Requester pay abilitato. Per i bucket registrati con Lake Formation, il ruolo utilizzato per registrare il bucket viene sempre visualizzato come richiedente. Se al bucket si accede da un altro AWS account, al proprietario del bucket viene addebitato l'accesso ai dati se il ruolo appartiene allo stesso account del proprietario del bucket.

Questa sezione spiega come registrare una sede Amazon S3 nelle seguenti circostanze:

  • I dati nella posizione Amazon S3 sono crittografati con una chiave KMS creata in. AWS KMS

  • La sede Amazon S3 non si trova nello stesso AWS account di. AWS Glue Data Catalog

  • La chiave KMS è o non si trova nello stesso AWS account del Data Catalog.

La registrazione di un bucket Amazon S3 AWS KMS crittografato AWS nell'account B utilizzando AWS Identity and Access Management un ruolo (IAM) AWS nell'account A richiede le seguenti autorizzazioni:

  • Il ruolo nell'account A deve concedere le autorizzazioni sul bucket dell'account B.

  • La politica del bucket nell'account B deve concedere le autorizzazioni di accesso al ruolo nell'account A.

  • Se la chiave KMS è nell'account B, la politica chiave deve concedere l'accesso al ruolo nell'account A e il ruolo nell'account A deve concedere le autorizzazioni sulla chiave KMS.

Nella procedura seguente, si crea un ruolo nell' AWS account che contiene il catalogo dati (l'account A nella discussione precedente). Quindi, si utilizza questo ruolo per registrare la posizione. Lake Formation assume questo ruolo quando accede ai dati sottostanti in Amazon S3. Il ruolo assunto dispone delle autorizzazioni richieste sulla chiave KMS. Di conseguenza, non è necessario concedere le autorizzazioni sulla chiave KMS ai responsabili che accedono ai dati sottostanti con lavori ETL o con servizi integrati come. Amazon Athena

Importante

Non puoi utilizzare il ruolo collegato al servizio Lake Formation per registrare una sede in un altro account. È invece necessario utilizzare un ruolo definito dall'utente. Il ruolo deve soddisfare i requisiti diRequisiti per i ruoli utilizzati per registrare le sedi. Per ulteriori informazioni sul ruolo collegato al servizio, consulta Autorizzazioni di ruolo collegate al servizio per Lake Formation.

Prima di iniziare

Esamina i requisiti per il ruolo utilizzato per registrare la sede.

Per registrare una posizione Amazon S3 crittografata tra più account AWS

  1. Nello stesso AWS account del Data Catalog, accedi AWS Management Console e apri la console IAM all'indirizzohttps://console.aws.amazon.com/iam/.

  2. Crea un nuovo ruolo o visualizza un ruolo esistente che soddisfa i requisiti inRequisiti per i ruoli utilizzati per registrare le sedi. Assicurati che il ruolo includa una policy che conceda le autorizzazioni di Amazon S3 sulla location.

  3. Se la chiave KMS non si trova nello stesso account del Data Catalog, aggiungi al ruolo una policy in linea che conceda le autorizzazioni richieste sulla chiave KMS. Di seguito è riportata una policy di esempio. Sostituisci <cmk-region>e < cmk-account-id > con la regione e il numero di account della chiave KMS. Sostituisci <key-id>con l'ID della chiave.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey"
         ],
        "Resource": "arn:aws:kms:<cmk-region>:<cmk-account-id>:key/<key-id>"
        }
    ]
}

  4. Sulla console Amazon S3, aggiungi una bucket policy che conceda le autorizzazioni Amazon S3 richieste per il ruolo. Di seguito è riportato un esempio di policy di bucket. Sostituisci < catalog-account-id > con il numero di AWS account del Data Catalog, <role-name>con il nome del tuo ruolo e <bucket-name>con il nome del bucket.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>"
            },
            "Action":"s3:ListBucket",
            "Resource":"arn:aws:s3:::<bucket-name>"
        },
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::<catalog-account-id>:role/<role-name>"
            },
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource":"arn:aws:s3:::<bucket-name>/*"
        }
    ]
}

  5. In AWS KMS, aggiungi il ruolo come utente della chiave KMS.

    1. Apri la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms. Quindi, accedi come utente amministratore o come utente che può modificare la politica delle chiavi della chiave KMS utilizzata per crittografare la posizione.

    2. Nel riquadro di navigazione, scegli Customer managed keys, quindi scegli il nome della chiave KMS.

    3. Nella pagina dei dettagli della chiave KMS, nella scheda Politica chiave, se la visualizzazione JSON della politica chiave non viene visualizzata, scegli Passa alla visualizzazione delle politiche.

    4. Nella sezione Key policy, scegli Modifica e aggiungi l'Amazon Resource Name (ARN) del ruolo all'Allow use of the keyoggetto, come mostrato nell'esempio seguente.

      Nota

      Se quell'oggetto manca, aggiungilo con le autorizzazioni mostrate nell'esempio.

              ...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::<catalog-account-id>:role/<role-name>"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...

      Per ulteriori informazioni, consulta Consentire agli utenti di altri account di utilizzare una chiave KMS nella Guida per gli AWS Key Management Service sviluppatori.

  6. Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/. Accedi all' AWS account Data Catalog come amministratore del data lake.

  7. Nel riquadro di navigazione, in Amministrazione, scegli Posizioni Data lake.

  8. Scegli Registra posizione.

  9. Nella pagina Registra posizione, per il percorso Amazon S3, inserisci il percorso della posizione come. s3://<bucket>/<prefix> Sostituiscilo <bucket>con il nome del bucket e <prefix>con il resto del percorso della posizione.

    Nota

    È necessario digitare il percorso perché i bucket tra account non vengono visualizzati nell'elenco quando si sceglie Sfoglia.

  10. Per il ruolo IAM, scegli il ruolo dalla Fase 2.

  11. Scegli Registra posizione.