Registrazione di una posizione Amazon S3 crittografata - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione di una posizione Amazon S3 crittografata

Lake Formation si integra con AWS Key Management Service(AWS KMS) per consentirti di configurare più facilmente altri servizi integrati per crittografare e decrittografare i dati nelle sedi Amazon Simple Storage Service (Amazon S3).

Entrambi sono gestiti dal cliente e sono supportati. AWS KMS keys Chiavi gestite da AWS Attualmente, la crittografia/decrittografia lato client è supportata solo con Athena.

È necessario specificare un ruolo AWS Identity and Access Management (IAM) quando si registra una sede Amazon S3. Per le sedi Amazon S3 crittografate, il ruolo deve disporre dell'autorizzazione per crittografare e decrittografare i dati con o la politica della AWS KMS key chiave KMS deve concedere le autorizzazioni sulla chiave del ruolo.

Importante

Evita di registrare un bucket Amazon S3 con Requester pay abilitato. Per i bucket registrati con Lake Formation, il ruolo utilizzato per registrare il bucket viene sempre visualizzato come richiedente. Se al bucket si accede da un altro AWS account, al proprietario del bucket viene addebitato l'accesso ai dati se il ruolo appartiene allo stesso account del proprietario del bucket.

Il modo più semplice per registrare la sede è utilizzare il ruolo collegato al servizio Lake Formation. Questo ruolo concede le autorizzazioni di lettura/scrittura richieste sulla posizione. È inoltre possibile utilizzare un ruolo personalizzato per registrare la posizione, a condizione che soddisfi i requisiti di. Requisiti per i ruoli utilizzati per registrare le sedi

Importante

Se hai utilizzato un Chiave gestita da AWS per crittografare la posizione Amazon S3, non puoi utilizzare il ruolo collegato al servizio Lake Formation. È necessario utilizzare un ruolo personalizzato e aggiungere le autorizzazioni IAM sulla chiave del ruolo. I dettagli sono forniti più avanti in questa sezione.

Le seguenti procedure spiegano come registrare una posizione Amazon S3 crittografata con una chiave gestita dal cliente o un. Chiave gestita da AWS

Prima di iniziare

Esamina i requisiti per il ruolo utilizzato per registrare la sede.

Per registrare una posizione Amazon S3 crittografata con una chiave gestita dal cliente
Nota

Se la chiave KMS o la posizione Amazon S3 non si trovano AWS nello stesso account del Data Catalog, segui invece le istruzioni riportate Registrazione di una posizione Amazon S3 crittografata tra più account AWS in.

  1. Apri la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms e accedi come utente amministrativo AWS Identity and Access Management (IAM) o come utente che può modificare la politica chiave della chiave KMS utilizzata per crittografare la posizione.

  2. Nel riquadro di navigazione, scegli Customer managed keys, quindi scegli il nome della chiave KMS desiderata.

  3. Nella pagina dei dettagli della chiave KMS, scegli la scheda Politica chiave, quindi esegui una delle seguenti operazioni per aggiungere il tuo ruolo personalizzato o il ruolo collegato al servizio Lake Formation come utente chiave KMS:

    • Se viene visualizzata la visualizzazione predefinita (con le sezioni Amministratori chiave, Eliminazione chiavi, Utenti chiave e Altri AWS account), nella sezione Utenti chiave, aggiungi il tuo ruolo personalizzato o il ruolo collegato al servizio Lake Formation. AWSServiceRoleForLakeFormationDataAccess

    • Se viene visualizzata la policy chiave (JSON), modifica la policy per aggiungere il ruolo personalizzato o il ruolo collegato AWSServiceRoleForLakeFormationDataAccess al servizio Lake Formation all'oggetto «Consenti l'uso della chiave», come mostrato nell'esempio seguente.

      Nota

      Se quell'oggetto manca, aggiungilo con le autorizzazioni mostrate nell'esempio. L'esempio utilizza il ruolo collegato al servizio.

      ... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
  4. Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/. Accedi come amministratore del data lake o come utente con l'autorizzazione lakeformation:RegisterResource IAM.

  5. Nel riquadro di navigazione, in Amministrazione, scegli Data lake locations.

  6. Scegli Registra posizione, quindi scegli Sfoglia per selezionare un percorso Amazon Simple Storage Service (Amazon S3).

  7. (Facoltativo, ma fortemente consigliato) Scegli Rivedi le autorizzazioni della sede per visualizzare un elenco di tutte le risorse esistenti nella posizione Amazon S3 selezionata e le relative autorizzazioni.

    La registrazione della località selezionata potrebbe consentire agli utenti di Lake Formation di accedere ai dati già presenti in quella posizione. La visualizzazione di questo elenco ti aiuta a garantire che i dati esistenti rimangano sicuri.

  8. Per il ruolo IAM, scegli il ruolo AWSServiceRoleForLakeFormationDataAccess collegato al servizio (predefinito) o il ruolo personalizzato che soddisfa i. Requisiti per i ruoli utilizzati per registrare le sedi

  9. Scegli Registra posizione.

Per ulteriori informazioni sul ruolo collegato al servizio, consulta Autorizzazioni di ruolo collegate al servizio per Lake Formation.

Per registrare una posizione Amazon S3 crittografata con un Chiave gestita da AWS
Importante

Se la sede Amazon S3 non si trova nello stesso AWS account del Data Catalog, segui invece le istruzioni riportate inRegistrazione di una posizione Amazon S3 crittografata tra più account AWS.

  1. Crea un ruolo IAM da utilizzare per registrare la posizione. Assicurati che soddisfi i requisiti elencati inRequisiti per i ruoli utilizzati per registrare le sedi.

  2. Aggiungi la seguente politica in linea al ruolo. Concede le autorizzazioni sulla chiave del ruolo. La Resource specifica deve indicare l'Amazon Resource Name (ARN) di. Chiave gestita da AWSÈ possibile ottenere l'ARN dalla AWS KMS console. Per ottenere l'ARN corretto, assicurati di accedere alla AWS KMS console con lo stesso AWS account e la stessa regione utilizzati per crittografare la Chiave gestita da AWS posizione.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<Chiave gestita da AWS ARN>" } ] }
  3. Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/. Accedi come amministratore del data lake o come utente con l'autorizzazione lakeformation:RegisterResource IAM.

  4. Nel riquadro di navigazione, in Amministrazione, scegli Data lake locations.

  5. Scegli Registra posizione, quindi scegli Sfoglia per selezionare un percorso Amazon S3.

  6. (Facoltativo, ma fortemente consigliato) Scegli Rivedi le autorizzazioni della sede per visualizzare un elenco di tutte le risorse esistenti nella posizione Amazon S3 selezionata e le relative autorizzazioni.

    La registrazione della località selezionata potrebbe consentire agli utenti di Lake Formation di accedere ai dati già presenti in quella posizione. La visualizzazione di questo elenco ti aiuta a garantire che i dati esistenti rimangano sicuri.

  7. Per il ruolo IAM, scegli il ruolo che hai creato nella fase 1.

  8. Scegli Registra posizione.