翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
EMRFS プロパティを使用した Amazon S3 暗号化の指定
重要
Amazon EMRリリースバージョン 4.8.0 以降では、セキュリティ設定を使用して、より簡単かつより多くのオプションで暗号化設定を適用できます。セキュリティ設定を使用することをお勧めします。詳細については、「データ暗号化の設定」を参照してください。このセクションで説明するコンソールの手順は、リリース 4.8.0 より前のリリースバージョンで使用できます。を使用して AWS CLI クラスター設定と後続バージョンのセキュリティ設定の両方で Amazon S3 暗号化を設定する場合、セキュリティ設定はクラスター設定を上書きします。
クラスターを作成するときは、コンソールを使用するか、 SSEまたは でemrfs-site
分類プロパティを使用して、Amazon S3 EMRFSのデータにサーバー側の暗号化 () またはクライアント側の暗号化 (CSE) AWS CLI EMR を指定できますSDK。Amazon S3 SSEと CSEは相互に排他的です。どちらかを選択できますが、両方を選択することはできません。
AWS CLI 手順については、以下の暗号化タイプに適したセクションを参照してください。
を使用してEMRFS暗号化オプションを指定するには AWS Management Console
新しい Amazon EMRコンソールに移動し、サイドナビゲーションから古いコンソールに切り替えるを選択します。古いコンソールに切り替えたときの動作の詳細については、「Using the old console」を参照してください。
-
[Create cluster (クラスターの作成)]、[Go to advanced options (詳細オプションに移動する)] の順に選択します。
4.7.2 以前の [Release] を選択します。
アプリケーションに合わせて [Software and Steps] の他のオプションを選択し、[Next] を選択します。
アプリケーションに合わせて、[Hardware] ペインおよび [General Cluster Settings] ペインで設定を選択します。
セキュリティペインの認証と暗号化 で、使用する S3 暗号化 ( を使用EMRFS) オプションを選択します。
注記
Amazon EMRリリースバージョン 4.4 以前を使用している場合、KMSキー管理による S3 サーバー側の暗号化 (SSE-KMS) は使用できません。
AWS キー管理 を使用するオプションを選択する場合は、AWS KMSキー ID を選択します。詳細については、「EMRFS 暗号化 AWS KMS keys に を使用する」を参照してください。
カスタムマテリアルプロバイダー による S3 クライアント側の暗号化を選択した場合は、クラス名とJAR場所 を指定します。詳細については、「Amazon S3 クライアント側の暗号化」を参照してください。
必要に応じて、アプリケーションの他のオプションを選択し、[Create Cluster] を選択します。
EMRFS 暗号化 AWS KMS keys に を使用する
AWS KMS 暗号化キーは、Amazon EMRクラスターインスタンスおよび で使用される Amazon S3 バケットと同じ リージョンに作成する必要がありますEMRFS。指定したキーがクラスターの設定に使用するアカウントとは異なるアカウントにある場合は、その を使用してキーを指定する必要がありますARN。
Amazon EC2インスタンスプロファイルのロールには、指定したKMSキーを使用するためのアクセス許可が必要です。Amazon のインスタンスプロファイルのデフォルトロールは EMRですEMR_EC2_DefaultRole
。インスタンスプロファイルに別のロールを使用する場合、または Amazon S3 へのEMRFSリクエストにIAMロールを使用する場合は、必要に応じて各ロールがキーユーザーとして追加されていることを確認してください。これにより、 KMSキーを使用するアクセス許可がロールに付与されます。詳細については、「 AWS Key Management Service デベロッパーガイド」の「キーポリシーの使用」およびAmazon S3へのEMRFSリクエストのIAMロールの設定」を参照してください。
を使用して AWS Management Console 、指定したキーのキーユーザーのリストにインスタンスプロファイルまたはEC2インスタンスプロファイルを追加することもKMS、 AWS CLI または AWS SDKを使用して適切なキーポリシーをアタッチすることもできます。
Amazon は対称KMSキー のみEMRをサポートしていることに注意してください。非対称KMSキーを使用して Amazon EMRクラスター内の保管中のデータを暗号化することはできません。KMS キーが対称か非対称かを判断する方法については、「対称キーと非対称KMSキーの識別」を参照してください。
次の手順では、 を使用して、デフォルトの Amazon EMRインスタンスプロファイルをキーユーザーEMR_EC2_DefaultRole
として追加する方法について説明します AWS Management Console。KMS キーを既に作成していることを前提としています。新しいKMSキーを作成するには、「 AWS Key Management Service デベロッパーガイド」の「キーの作成」を参照してください。
Amazon のEC2インスタンスプロファイルEMRを暗号化キーユーザーのリストに追加するには
-
にサインイン AWS Management Console し、https://console.aws.amazon.com/kms
で AWS Key Management Service (AWS KMS) コンソールを開きます。 -
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
-
変更するKMSキーのエイリアスを選択します。
-
[Key Users] のキーの詳細ページで、[Add] を選択します。
-
[Add key users] ダイアログボックスで、適切なロールを選択します。デフォルトロールの名前は
EMR_EC2_DefaultRole
です。 -
追加を選択します。
Amazon S3 のサーバー側の暗号化
Amazon S3 のサーバー側の暗号化をセットアップすると、Amazon S3 はデータをディスクに書き込むときにオブジェクトレベルで暗号化し、アクセスするときに復号します。の詳細についてはSSE、「Amazon Simple Storage Service ユーザーガイド」の「サーバー側の暗号化を使用したデータの保護」を参照してください。
Amazon SSEで を指定する場合、2 つの異なるキー管理システムから選択できますEMR。
-
SSE-S3 – Amazon S3 がキーを管理します。
-
SSE-KMS – を使用して AWS KMS key 、Amazon に適したポリシーをセットアップしますEMR。Amazon のキー要件の詳細についてはEMR、「暗号化に を使用する AWS KMS keys」を参照してください。
SSE と のお客様が用意したキー (SSE-C) は、Amazon では使用できませんEMR。
を使用して SSE-S3 を有効にしたクラスターを作成するには AWS CLI
-
次のコマンドを入力します。
aws emr create-cluster --release-label
emr-4.7.2 or earlier
\ --instance-count 3 --instance-type m5.xlarge --emrfs Encryption=ServerSide
プロパティで fs.sSSE3.Encryption プロパティを true に設定することで、-S3 を有効にすることもできますemrfs-site
。enableServerSide以下の SSE-KMS の例を参照し、キー ID の プロパティを省略します。
を使用して SSE- KMSが有効なクラスターを作成するには AWS CLI
注記
SSE-KMS は、Amazon EMRリリースバージョン 4.5.0 以降でのみ使用できます。
-
次の AWS CLI コマンドを入力して、 SSE- でクラスターを作成します。ここでKMS、
keyID
は AWS KMS keyです。例えば、a4567b8-9900-12ab-1234-123a45678901
:aws emr create-cluster --release-label
emr-4.7.2 or earlier
--instance-count3
\ --instance-typem5.xlarge
--use-default-roles \ --emrfs Encryption=ServerSide,Args=[fs.s3.serverSideEncryption.kms.keyId=keyId
]--または--
emrfs-site
分類を使用して次の AWS CLI コマンドを入力し、以下のmyConfig.json
例のようにコンテンツを含む設定JSONファイルを指定します。aws emr create-cluster --release-label
emr-4.7.2 or earlier
--instance-count 3 --instance-typem5.xlarge
--applications Name=Hadoop
--configurationsfile://myConfig.json
--use-default-rolesmyConfig.json の内容例:
[ { "Classification":"emrfs-site", "Properties": { "fs.s3.enableServerSideEncryption": "true", "fs.s3.serverSideEncryption.kms.keyId":"
a4567b8-9900-12ab-1234-123a45678901
" } } ]
SSE-S3 および SSE- の設定プロパティKMS
これらのプロパティは emrfs-site
設定分類を使用して設定できます。SSE-KMS は、Amazon EMRリリースバージョン 4.5.0 以降でのみ使用できます。
プロパティ | デフォルト値 | 説明 |
---|---|---|
fs.s3.enableServerSideEncryption |
false |
|
fs.s3.serverSideEncryption.kms.keyId |
n/a |
AWS KMS キー ID または を指定しますARN。キーが指定されている場合、 SSE-KMS が使用されます。 |