暗号化オプション - Amazon EMR
S3 での の保管EMRFS時の暗号化WAL の保管時の暗号化ローカルディスク暗号化転送中の暗号化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

暗号化オプション

Amazon EMRリリース 4.8.0 以降では、セキュリティ設定を使用して、保管中のデータ、転送中のデータ、またはその両方を暗号化するための設定を指定できます。保管時のデータ暗号化を有効にすると、Amazon S3 EMRFSのデータ、ローカルディスクのデータ、またはその両方を暗号化できます。作成した各セキュリティ設定はクラスター設定EMRではなく Amazon に保存されるため、クラスターを作成するたびに設定を簡単に再利用してデータ暗号化設定を指定できます。詳細については、「セキュリティ設定を作成する」を参照してください。

次の図は、セキュリティ設定で使用できるさまざまなデータ暗号化オプションを示しています。

Amazon では、転送時および保管時の暗号化オプションがいくつかありますEMR。

以下の暗号オプションも使用できます。また、セキュリティ設定では設定できません。

注記

Amazon EMRバージョン 5.24.0 以降では、 を指定する際に、セキュリティ設定オプションを使用してEBSルートデバイスとストレージボリュームを暗号化できます。 AWS KMS キープロバイダーとして。詳細については、「ローカルディスク暗号化」を参照してください。

データの暗号化には、キーと証明書が必要です。セキュリティ設定では、 によって管理されるキーなど、複数のオプションから柔軟に選択できます。 AWS Key Management Service、Amazon S3 によって管理されるキー、およびユーザーが指定するカスタムプロバイダーからのキーと証明書。を使用する場合 AWS KMS キープロバイダーとして、暗号化キーの保存と使用には料金が適用されます。詳細については、「」を参照してくださいAWS KMS の料金

暗号化オプションを指定する前に、使用するキーと証明書の管理システムを決定します。これにより、暗号化設定の一部として指定するキーと証明書、またはカスタムプロバイダーをまず作成できます。

Amazon S3 EMRFSのデータの保存時の暗号化

Amazon S3 暗号化は、Amazon S3 との間で読み書きされる Amazon EMR ファイルシステム (EMRFS) オブジェクトで機能します。Amazon S3 サーバー側の暗号化 (SSE) またはクライアント側の暗号化 (CSE) は、保管時の暗号化を有効にするときにデフォルトの暗号化モードとして指定します。オプションで、[Per bucket encryption overrides (バケットごとの暗号化オーバーライド)] を使用して、バケットごとに異なる暗号化方法を指定できます。Amazon S3 暗号化が有効になっているかどうかにかかわらず、Transport Layer Security (TLS) はEMRクラスターノードと Amazon S3 間で転送中のEMRFSオブジェクトを暗号化します。Amazon S3 暗号化の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「暗号化を使用したデータの保護」を参照してください。

注記

を使用する場合 AWS KMS、暗号化キーのストレージと使用には料金が適用されます。詳細については、「」を参照してくださいAWS KMS 料金

Amazon S3 のサーバー側の暗号化

Amazon S3 のサーバー側の暗号化をセットアップすると、Amazon S3 はデータをディスクに書き込むときにオブジェクトレベルで暗号化し、アクセスするときに復号します。の詳細についてはSSE、「Amazon Simple Storage Service ユーザーガイド」の「サーバー側の暗号化を使用したデータの保護」を参照してください。

Amazon SSEで を指定する場合、2 つの異なるキー管理システムから選択できますEMR。

SSE と のお客様が用意したキー (SSE-C) は、Amazon では使用できませんEMR。

Amazon S3 クライアント側の暗号化

Amazon S3 クライアント側の暗号化では、Amazon S3 の暗号化と復号化はクラスター上のEMRFSクライアントで行われます。オブジェクトは Amazon S3 にアップロードされる前に暗号化され、ダウンロード後に復号化されます。指定するプロバイダーが、クライアントが使用する暗号化キーを提供します。クライアントは、 が提供するキーを使用できます。 AWS KMS (CSE-KMS) またはクライアント側のルートキー (-C) を提供するカスタム CSEJava クラス。暗号化の詳細は、指定されたプロバイダーと復号化または暗号化されるオブジェクトのメタデータに応じて、CSE-KMS と CSE-C の間で若干異なります。これらの差異に関する詳細は、「Amazon Simple Storage Service ユーザーガイド」の「クライアント側の暗号化を使用したデータの保護」を参照してください。

注記

Amazon S3 は、Amazon S3 と交換されたEMRFSデータCSEのみが暗号化されるようにします。クラスターインスタンスボリュームのすべてのデータが暗号化されるわけではありません。さらに、Hue は を使用しないためEMRFS、Hue S3 ファイルブラウザが Amazon S3 に書き込むオブジェクトは暗号化されません。

Amazon でのデータの保管時の暗号化 EMR WAL

先書きログ (SSE) 用にサーバー側の暗号化 () を設定するとWAL、Amazon EMR は保管中のデータを暗号化します。Amazon SSEで を指定する場合、2 つの異なるキー管理システムから選択できますEMR。

SSE-EMR-WAL

Amazon がキーEMRを管理します。デフォルトでは、Amazon は Amazon EMR に保存したデータを EMRWALで暗号化します。SSE-EMR-WAL.

SSE-KMS-WAL

を使用する AWS KMS Amazon に適用されるポリシーをセットアップするための EMR キーWAL。Amazon の主要な要件の詳細についてはEMR、「」を参照してください使用 AWS KMS keys 暗号化用

Amazon で を有効にするSSE場合、 WALで独自のキーを使用することはできませんEMR。詳細については、「Amazon のログ先行書き込み (WAL)EMR」を参照してください。

ローカルディスク暗号化

Amazon EMR セキュリティ設定を使用してローカルディスクの暗号化を有効にすると、次のメカニズムが連携してローカルディスクを暗号化します。

オープンソースHDFS暗号化

HDFS は、分散処理中にクラスターインスタンス間でデータを交換します。また、インスタンスストアボリュームとインスタンスにアタッチされたEBSボリュームとの間でデータを読み取り、書き込みます。ローカルディスク暗号化を有効にすると、次のオープンソース Hadoop 暗号化オプションがアクティブになります。

注記

追加の Apache Hadoop 暗号化をアクティブ化するには、転送時の暗号化を有効にします。詳細については、「転送中の暗号化」を参照してください。これらの暗号化設定では、手動で設定できるHDFS透過的な暗号化はアクティブ化されません。詳細については、「Amazon リリースガイド」のHDFS「Amazon での透過的な暗号化EMR」を参照してください。 EMR

インスタンスストアの暗号化

NVMeベースの をEC2インスタンスストアボリュームSSDsとして使用するインスタンスタイプでは、Amazon NVMe暗号化設定に関係なくEMR暗号化が使用されます。詳細については、「Amazon ユーザーガイド」の「 NVMeSSDボリューム」を参照してください。 EC2 他のインスタンスストアボリュームの場合、ボリュームが暗号化 または LUKS を使用して暗号化されているかどうかにかかわらず、ローカルディスク暗号化が有効になっている場合、Amazon は EMRを使用してインスタンスストアEBSボリュームをEBS暗号化しますLUKS。

EBS ボリューム暗号化

アカウントでEBSボリュームの Amazon EC2暗号化がデフォルトで有効になっているリージョンにクラスターを作成すると、ローカルディスク暗号化が有効になっていなくてもEBSボリュームは暗号化されます。詳細については、「Amazon ユーザーガイド」の「デフォルトでの暗号化」を参照してください。 EC2 セキュリティ設定でローカルディスク暗号化を有効にすると、クラスターEC2インスタンスの Amazon EMR設定よりも Amazon EC2 encryption-by-default 設定が優先されます。

セキュリティ設定を使用してEBSボリュームを暗号化するには、次のオプションを使用できます。

  • EBS 暗号化 — Amazon EMRバージョン 5.24.0 以降では、EBS暗号化を有効にするように選択できます。EBS 暗号化オプションは、EBSルートデバイスボリュームとアタッチされたストレージボリュームを暗号化します。EBS 暗号化オプションは、 を指定した場合のみ使用できます。 AWS Key Management Service キープロバイダーとして。EBS 暗号化を使用することをお勧めします。

  • LUKS 暗号化 – Amazon EBSボリュームのLUKS暗号化を使用する場合、LUKS暗号化はルートデバイスボリュームではなく、アタッチされたストレージボリュームにのみ適用されます。LUKS 暗号化の詳細については、LUKSディスク上の仕様 を参照してください。

    キープロバイダーの場合は、 を設定できます。 AWS KMS key は、Amazon に適したポリシーEMR、または暗号化アーティファクトを提供するカスタム Java クラスを使用します。を使用する場合 AWS KMS、暗号化キーのストレージと使用には料金が適用されます。詳細については、「」を参照してくださいAWS KMS の料金

注記

クラスターでEBS暗号化が有効になっているかどうかを確認するには、 DescribeVolumesAPI呼び出しを使用することをお勧めします。詳細については、「」を参照してくださいDescribeVolumes。クラスターlsblkで を実行すると、LUKS暗号化ではなく暗号化のステータスのみがチェックされますEBS。

転送中の暗号化

転送時の暗号化では、複数の暗号化メカニズムが有効になります。これらはオープンソースの機能であり、アプリケーション固有であり、Amazon EMRリリースによって異なる場合があります。次のアプリケーション固有の暗号化機能は、Apache アプリケーション設定を使用して有効にすることができます。詳細については、「アプリケーションの設定」を参照してください。

Hadoop
HBase
Hive

  • JDBC HiveServer2 (HS2) との /ODBC クライアント通信は、Amazon EMRリリース 6.9.0 以降のSSL設定を使用して暗号化されます。

  • 詳細については、Apache Hive ドキュメントのSSL暗号化セクションを参照してください。

Spark

  • ブロック転送サービスと外部シャッフルサービスなどの Spark コンポーネント間の内部RPC通信は、Amazon EMRバージョン 5.9.0 以降の AES-256 暗号を使用して暗号化されます。以前のリリースでは、内部RPC通信は暗号として DIGEST-MD5 SASLを使用して暗号化されています。

  • HTTP Spark History Server や HTTPS対応ファイルサーバーなどのユーザーインターフェイスとのプロトコル通信は、Spark SSLの設定を使用して暗号化されます。詳細については、Spark ドキュメントのSSL「設定」を参照してください。

  • 詳細については、Apache Spark ドキュメントの「Spark security settings」セクションを参照してください。

Tez
Presto

  • Presto ノード間の内部通信は SSL/TLS (Amazon EMRバージョン 5.6.0 以降のみ) を使用します。

転送時の暗号化で使用する暗号化アーティファクトを指定するには、Amazon S3 にアップロードする証明書の圧縮ファイルを提供するか、暗号化アーティファクトを提供するカスタム Java クラスを参照するかのいずれかを行います。詳細については、「Amazon 暗号化を使用して転送中のデータをEMR暗号化するための証明書を提供する」を参照してください。