翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
暗号化オプション
Amazon EMRリリース 4.8.0 以降では、セキュリティ設定を使用して、保管中のデータ、転送中のデータ、またはその両方を暗号化するための設定を指定できます。保管時のデータ暗号化を有効にすると、Amazon S3 EMRFSのデータ、ローカルディスクのデータ、またはその両方を暗号化できます。作成する各セキュリティ設定はクラスター設定EMRではなく Amazon に保存されるため、クラスターを作成するたびに設定を簡単に再利用してデータ暗号化設定を指定できます。詳細については、「セキュリティ設定を作成する」を参照してください。
次の図は、セキュリティ設定で使用できるさまざまなデータ暗号化オプションを示しています。
以下の暗号オプションも使用できます。また、セキュリティ設定では設定できません。
-
オプションで、Amazon EMRバージョン 4.1.0 以降では、 で透過的な暗号化を設定することもできますHDFS。詳細については、「Amazon リリースガイド」のHDFS「Amazon での の透過的な暗号化EMR」を参照してください。 EMR
-
セキュリティ設定をサポートEMRしていない Amazon のリリースバージョンを使用している場合は、Amazon S3 のEMRFSデータの暗号化を手動で設定できます。詳細については、EMRFS「プロパティを使用した Amazon S3 暗号化の指定」を参照してください。
-
5.24.0 より前の Amazon EMRバージョンを使用している場合、暗号化されたEBSルートデバイスボリュームは、カスタム を使用する場合にのみサポートされますAMI。詳細については、「Amazon 管理ガイドAMI」の「暗号化された Amazon EBSルートデバイスボリュームを使用したカスタムの作成」を参照してください。 EMR
注記
Amazon EMRバージョン 5.24.0 以降では、 をキープロバイダー AWS KMS として指定すると、セキュリティ設定オプションを使用してEBSルートデバイスとストレージボリュームを暗号化できます。詳細については、「ローカルディスク暗号化」を参照してください。
データの暗号化には、キーと証明書が必要です。セキュリティ設定では、 によって管理されるキー、Amazon S3 によって管理されるキー AWS Key Management Service、提供するカスタムプロバイダーのキーと証明書など、複数のオプションから柔軟に選択できます。をキープロバイダー AWS KMS として使用する場合、暗号化キーの保存と使用には料金が適用されます。詳細については、AWS KMS の料金
暗号化オプションを指定する前に、使用するキーと証明書の管理システムを決定します。これにより、暗号化設定の一部として指定するキーと証明書、またはカスタムプロバイダーをまず作成できます。
Amazon S3 内のEMRFSデータの保管時の暗号化
Amazon S3 暗号化は、Amazon S3 との間で読み書きされる Amazon EMR ファイルシステム (EMRFS) オブジェクトで機能します。Amazon S3 サーバー側の暗号化 (SSE) またはクライアント側の暗号化 (CSE) は、保管時の暗号化を有効にするときにデフォルトの暗号化モードとして指定します。オプションで、[Per bucket encryption overrides (バケットごとの暗号化オーバーライド)] を使用して、バケットごとに異なる暗号化方法を指定できます。Amazon S3 暗号化が有効になっているかどうかにかかわらず、Transport Layer Security (TLS) はEMRクラスターノードと Amazon S3 間で転送中のEMRFSオブジェクトを暗号化します。Amazon S3 暗号化の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「暗号化を使用したデータの保護」を参照してください。
注記
を使用する場合 AWS KMS、暗号化キーのストレージと使用に対して料金が適用されます。詳細については、「AWS KMS 料金
Amazon S3 のサーバー側の暗号化
Amazon S3 のサーバー側の暗号化をセットアップすると、Amazon S3 はデータをディスクに書き込むときにオブジェクトレベルで暗号化し、アクセスするときに復号します。の詳細についてはSSE、「Amazon Simple Storage Service ユーザーガイド」の「サーバー側の暗号化を使用したデータの保護」を参照してください。
Amazon SSEで を指定する場合、2 つの異なるキー管理システムから選択できますEMR。
-
SSE-S3 – Amazon S3 がキーを管理します。
-
SSE-KMS – を使用して AWS KMS key 、Amazon に適したポリシーをセットアップしますEMR。Amazon のキー要件の詳細についてはEMR、「暗号化に を使用する AWS KMS keys」を参照してください。
SSE と のお客様が用意したキー (SSE-C) は、Amazon では使用できませんEMR。
Amazon S3 クライアント側の暗号化
Amazon S3 クライアント側の暗号化では、Amazon S3 の暗号化と復号化はクラスター上のEMRFSクライアントで行われます。オブジェクトは Amazon S3 にアップロードされる前に暗号化され、ダウンロード後に復号化されます。指定するプロバイダーが、クライアントが使用する暗号化キーを提供します。クライアントは、 (CSE-KMS) が提供する AWS KMS キー、またはクライアント側のルートキー (-CSEC) を提供するカスタム Java クラスを使用できます。暗号化の詳細は、指定されたプロバイダーと復号化または暗号化されるオブジェクトのメタデータに応じて、CSE-KMS と CSE-C の間で若干異なります。これらの差異に関する詳細は、「Amazon Simple Storage Service ユーザーガイド」の「クライアント側の暗号化を使用したデータの保護」を参照してください。
注記
Amazon S3 は、Amazon S3 と交換されたEMRFSデータCSEのみが暗号化されるようにします。クラスターインスタンスボリュームのすべてのデータが暗号化されるわけではありません。さらに、Hue は を使用しないためEMRFS、Hue S3 ファイルブラウザが Amazon S3 に書き込むオブジェクトは暗号化されません。
Amazon でのデータの保管時の暗号化 EMR WAL
先書きログ (SSE) 用にサーバー側の暗号化 () を設定するとWAL、Amazon EMR は保管中のデータを暗号化します。Amazon SSEで を指定する場合、2 つの異なるキー管理システムから選択できますEMR。
- SSE-EMR-WAL
-
Amazon がキーEMRを管理します。デフォルトでは、Amazon は Amazon EMR に保存したデータを EMRWALで暗号化しますSSE-EMR-WAL。
- SSE-KMS-WAL
-
AWS KMS キーを使用して、Amazon EMR に適用されるポリシーを設定しますWAL。Amazon の主要な要件の詳細についてはEMR、「」を参照してください暗号化 AWS KMS keys に を使用する。
Amazon で を有効にするSSE場合、 WALで独自のキーを使用することはできませんEMR。詳細については、「Amazon のログ先行書き込み (WAL)EMR」を参照してください。
ローカルディスク暗号化
Amazon EMR セキュリティ設定を使用してローカルディスクの暗号化を有効にすると、次のメカニズムが連携してローカルディスクを暗号化します。
オープンソースHDFS暗号化
HDFS は、分散処理中にクラスターインスタンス間でデータを交換します。また、インスタンスストアボリュームとインスタンスにアタッチされたEBSボリュームとの間でデータを読み取り、書き込みます。ローカルディスク暗号化を有効にすると、次のオープンソース Hadoop 暗号化オプションがアクティブになります。
-
Secure Hadoop RPC
は Privacy
、Simple Authentication Security Layer () を使用する に設定されますSASL。 -
HDFS ブロックデータ転送のデータ暗号化
は に設定 true
され、256 AES 暗号化を使用するように設定されています。
注記
追加の Apache Hadoop 暗号化をアクティブ化するには、転送時の暗号化を有効にします。詳細については、「転送中の暗号化」を参照してください。これらの暗号化設定では、手動で設定できるHDFS透過的な暗号化はアクティブ化されません。詳細については、「Amazon リリースガイド」のHDFS「Amazon での透過的な暗号化EMR」を参照してください。 EMR
インスタンスストアの暗号化
NVMeベースの をEC2インスタンスストアボリュームSSDsとして使用するインスタンスタイプでは、Amazon NVMeの暗号化設定に関係なくEMR暗号化が使用されます。詳細については、「Amazon ユーザーガイド」の「 NVMeSSDボリューム」を参照してください。 EC2 他のインスタンスストアボリュームの場合、ボリュームが暗号化 または LUKS を使用して暗号化されているかどうかにかかわらず、ローカルディスク暗号化が有効になっている場合、Amazon は EMRを使用してインスタンスストアEBSボリュームをEBS暗号化しますLUKS。
EBS ボリューム暗号化
アカウントでEBSボリュームの Amazon EC2暗号化がデフォルトで有効になっているリージョンにクラスターを作成すると、ローカルディスク暗号化が有効になっていなくてもEBSボリュームは暗号化されます。詳細については、「Amazon ユーザーガイド」の「デフォルトでの暗号化」を参照してください。 EC2 セキュリティ設定でローカルディスク暗号化を有効にすると、クラスターEC2インスタンスの Amazon EMR設定よりも Amazon EC2 encryption-by-default 設定が優先されます。
セキュリティ設定を使用してEBSボリュームを暗号化するには、次のオプションを使用できます。
-
EBS 暗号化 — Amazon EMRバージョン 5.24.0 以降では、EBS暗号化を有効にするように選択できます。EBS 暗号化オプションは、EBSルートデバイスボリュームとアタッチされたストレージボリュームを暗号化します。EBS 暗号化オプションは、 をキープロバイダー AWS Key Management Service として指定した場合にのみ使用できます。EBS 暗号化を使用することをお勧めします。
-
LUKS 暗号化 – Amazon EBSボリュームのLUKS暗号化を使用する場合、LUKS暗号化はルートデバイスボリュームではなく、アタッチされたストレージボリュームにのみ適用されます。LUKS 暗号化の詳細については、LUKSディスク上の仕様
を参照してください。 キープロバイダーの場合、Amazon に適したポリシーEMR、または暗号化アーティファクトを提供するカスタム Java クラス AWS KMS key を使用して を設定できます。を使用する場合 AWS KMS、暗号化キーのストレージと使用に対して料金が適用されます。詳細については、AWS KMS の料金
を参照してください。
注記
クラスターでEBS暗号化が有効になっているかどうかを確認するには、 DescribeVolumes
API呼び出しを使用することをお勧めします。詳細については、「」を参照してくださいDescribeVolumes。クラスターlsblk
で を実行すると、LUKS暗号化ではなく暗号化のステータスのみがチェックされますEBS。
転送中の暗号化
転送時の暗号化では、複数の暗号化メカニズムが有効になります。これらはオープンソースの機能であり、アプリケーション固有であり、Amazon EMRリリースによって異なる場合があります。次のアプリケーション固有の暗号化機能は、Apache アプリケーション設定を使用して有効にすることができます。詳細については、「アプリケーションの設定」を参照してください。
転送時の暗号化で使用する暗号化アーティファクトを指定するには、Amazon S3 にアップロードする証明書の圧縮ファイルを提供するか、暗号化アーティファクトを提供するカスタム Java クラスを参照するかのいずれかを行います。詳細については、「Amazon 暗号化を使用して転送中のデータをEMR暗号化するための証明書を提供する」を参照してください。