AWS Glue コンソールでのセキュリティ設定の使用

警告

AWS Glue セキュリティ設定は、現在、Ray ジョブではサポートされていません。

AWS Glue の [security configuration] (セキュリティ設定) には、暗号化されたデータを書き込むときに必要なプロパティが含まれています。AWS Glue コンソールでセキュリティ設定を作成し、クローラ、ジョブ、および開発エンドポイントによって使用される暗号化プロパティを指定します。

作成したすべてのセキュリティ設定を表示するには、https://console.aws.amazon.com/glue/ で AWS Glue コンソールを開き、ナビゲーションペインで [Security configurations] (セキュリティ設定) をクリックします。

[セキュリティ設定] には、設定に関する次のプロパティが表示されます。

名前

設定を作成したときに指定した一意の名前です。名前に使用できるのは、文字 (A～Z)、数字 (0～9)、ハイフン (-)、またはアンダースコア (_) で、長さは 255 文字までです。

Amazon S3 暗号化を有効にする

オンの場合、データカタログのメタデータ保存に Amazon Simple Storage Service (Amazon S3) 暗号化モード (SSE-KMS、SSE-S3 など) が有効になります。

Amazon CloudWatch Logs 暗号化を有効にする

オンの場合、Amazon CloudWatch にログを書き込む際に Amazon S3 暗号化モード (SSE-KMS など) が有効になります。

詳細設定: ジョブのブックマーク暗号化を有効にする

オンの場合、ジョブがブックマークされた際に Amazon S3 暗号化モード (CSE-KMS など) が有効になります。

コンソールの [セキュリティ設定] セクションで設定を追加または削除できます。設定の詳細を表示するには、リスト内の設定名を選択します。詳細には、設定の作成時に定義した情報が含まれます。

セキュリティ設定の追加

セキュリティ設定を追加するには、AWS Glue コンソールの [セキュリティ設定] ページで [セキュリティ設定の追加] を選択します。

セキュリティ設定プロパティ

一意のセキュリティ設定名を入力します。名前に使用できるのは、文字 (A～Z)、数字 (0～9)、ハイフン (-)、またはアンダースコア (_) で、長さは 255 文字までです。

暗号化設定

Amazon CloudWatch のログと Amazon S3 のデータカタログに保存されているメタデータの保管時の暗号化を有効にできます。AWS Glue コンソールで AWS Key Management Service (AWS KMS) キーを使用したデータとメタデータの暗号化を設定するには、コンソールユーザーにポリシーを追加します。このポリシーでは次の例のように、​許可されているリソースを、Amazon S3 データストアを暗号化するために使用されるキーの Amazon リソースネーム (ARN) として、指定する必要があります。

{
"Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt",    
    "kms:Encrypt"],
  "Resource": "arn:aws:kms:region:account-id:key/key-id"}
}

重要

セキュリティ設定がクローラまたはジョブにアタッチされている場合、渡される IAM ロールには AWS KMS アクセス許可が必要です。詳細については、AWS Glue​ によって書き込まれたデータの暗号化 を参照してください。

設定を定義する場合、次のプロパティの値を指定できます。

S3 暗号化を有効にする

Amazon S3 データを書き込む場合は、Amazon S3 管理キー (SSE-S3) によるサーバー側の暗号化、または AWS KMS 管理キー (SSE-KMS) によるサーバー側の暗号化を使用します。このフィールドはオプションです。Amazon S3 へのアクセス許可を有効にするには、AWS KMS キーを選択するか、または [Enter a key ARN] (キーの ARN を入力) を選択してキーの ARN を指定します。arn:aws:kms:region:account-id:key/key-id の形式で ARN を入力します。arn:aws:kms:region:account-id:alias/alias-name など、キーのエイリアスで ARN を指定することもできます。

ジョブで Spark UI を有効にすると、Amazon S3 にアップロードされた Spark UI ログファイルに同じ暗号化が適用されます。

重要

AWS Glue は、対称カスタマーマスターキー (CMK) のみをサポートしています。[AWS KMS key] (KMS キー) リストには、対称キーのみが表示されます。ただし、[Choose a AWS KMS key ARN] (KMS キー ARN を選択します) を選択した場合、任意のキータイプの ARN をコンソールで入力します。対称キーには ARN だけを入力するようにしてください。

CloudWatch Logs 暗号化を有効にする

サーバー側 (SSE-KMS) 暗号化が CloudWatch Logs の暗号化に使用されます。このフィールドはオプションです。有効にするには、AWS KMS キーを選択するか、または [Enter a key ARN] (キーの ARN を入力)を選択してキーの ARN を指定します。arn:aws:kms:region:account-id:key/key-id の形式で ARN を入力します。arn:aws:kms:region:account-id:alias/alias-name など、キーのエイリアスで ARN を指定することもできます。

詳細設定: ジョブブックマークの暗号化

クライアント側 (CSE-KMS) 暗号化は、ジョブのブックマークを暗号化するために使用されます。このフィールドはオプションです。ブックマークデータは、Amazon S3 に保存するために送信される前に暗号化されます。有効にするには、AWS KMS キーを選択するか、または [Enter a key ARN] (キーの ARN を入力)を選択してキーの ARN を指定します。arn:aws:kms:region:account-id:key/key-id の形式で ARN を入力します。arn:aws:kms:region:account-id:alias/alias-name など、キーのエイリアスで ARN を指定することもできます。

詳細については、Amazon Simple Storage Service コンソールユーザーガイドの以下のトピックを参照してください。

• SSE-S3 の詳細については、「Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護」を参照してください。

• SSE-KMS の詳細については、「AWS KMS keys によるサーバー側の暗号化を使用したデータの保護」を参照してください。

• CSE-KMS の詳細については、「AWS KMS に保存されている KMS キーの使用」を参照してください。