AWS Glue コンソールでのセキュリティ設定の管理

警告

AWS Glue セキュリティ設定は、現在 Ray ジョブではサポートされていません。

AWS Glue の [security configuration] (セキュリティ設定) には、暗号化されたデータを書き込むときに必要なプロパティが含まれています。AWS Glue コンソールでセキュリティ設定を作成し、クローラ、ジョブ、および開発エンドポイントによって使用される暗号化プロパティを指定します。

作成したすべてのセキュリティ設定のリストを表示するには、 でAWS Glueコンソールを開きhttps://console.aws.amazon.com/glue/、ナビゲーションペインでセキュリティ設定を選択します。

[セキュリティ設定] には、設定に関する次のプロパティが表示されます。

名前

設定を作成したときに指定した一意の名前です。名前に使用できるのは、文字 (A～Z)、数字 (0～9)、ハイフン (-)、またはアンダースコア (_) で、長さは 255 文字までです。

Amazon S3 暗号化を有効にする

オンの場合、データカタログのメタデータ保存に Amazon Simple Storage Service (Amazon S3) 暗号化モード (SSE-KMS、SSE-S3 など) が有効になります。

Amazon CloudWatch ログの暗号化を有効にする

オンにすると、 などの Amazon S3 暗号化モードSSE-KMSは、Amazon にログを書き込むときに有効になります CloudWatch。

詳細設定: ジョブのブックマーク暗号化を有効にする

オンの場合、ジョブがブックマークされた際に Amazon S3 暗号化モード (CSE-KMS など) が有効になります。

コンソールの [セキュリティ設定] セクションで設定を追加または削除できます。設定の詳細を表示するには、リスト内の設定名を選択します。詳細には、設定の作成時に定義した情報が含まれます。

セキュリティ設定の追加

セキュリティ設定を追加するには、AWS Glue コンソールの [セキュリティ設定] ページで [セキュリティ設定の追加] を選択します。

セキュリティ設定プロパティ

一意のセキュリティ設定名を入力します。名前に使用できるのは、文字 (A～Z)、数字 (0～9)、ハイフン (-)、またはアンダースコア (_) で、長さは 255 文字までです。

暗号化設定

Amazon S3 の Data Catalog に保存されているメタデータと Amazon のログの保管時の暗号化を有効にできます CloudWatch。AWS Glue コンソールで AWS Key Management Service （AWS KMS) キーによるデータとメタデータの暗号化を設定するには、コンソールユーザーにポリシーを追加します。このポリシーでは、次の例のように、許可されたリソースを Amazon S3 データストアの暗号化に使用されるキー Amazon リソースネーム (ARNs) として指定する必要があります。 Amazon S3

{
"Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt",    
    "kms:Encrypt"],
  "Resource": "arn:aws:kms:region:account-id:key/key-id"}
}

重要

セキュリティ設定がクローラーまたはジョブにアタッチされている場合、渡されるIAMロールには アクセス AWS KMS 許可が必要です。詳細については、「AWS Glue​ によって書き込まれたデータの暗号化」を参照してください。

設定を定義する場合、次のプロパティの値を指定できます。

S3 暗号化を有効にする

Amazon S3 データを書き込むときは、Amazon S3 マネージドキーによるAmazon S3SSE-S3) または AWS KMS マネージドキーによるサーバー側の暗号化 (-) SSEのいずれかを使用しますKMS。このフィールドはオプションです。Amazon S3 へのアクセスを許可するには、 AWS KMS キーを選択するか、キーを入力してARNキーARNに を指定します。ARN の形式で を入力しますarn:aws:kms:region:account-id:key/key-id。を などのキーエイリアスARNとして指定することもできますarn:aws:kms:region:account-id:alias/alias-name。

ジョブで Spark UI を有効にすると、Amazon S3 にアップロードされた Spark UI ログファイルに同じ暗号化が適用されます。

重要

AWS Glue は、対称カスタマーマスターキー () のみをサポートしますCMKs。[AWS KMS key] (KMS キー) リストには、対称キーのみが表示されます。ただし、 AWS KMS キーの選択 ARNを選択すると、コンソールでは任意のキータイプの ARN を入力できます。必ず対称キーARNsにのみ入力してください。

CloudWatch ログ暗号化を有効にする

サーバー側の (SSE-KMS) 暗号化は、 CloudWatch ログの暗号化に使用されます。このフィールドはオプションです。オンにするには、 AWS KMS キーを選択するか、キーを入力してARNキーARNに を指定します。ARN の形式で を入力しますarn:aws:kms:region:account-id:key/key-id。を などのキーエイリアスARNとして指定することもできますarn:aws:kms:region:account-id:alias/alias-name。

詳細設定: ジョブブックマークの暗号化

クライアント側の (CSE-KMS) 暗号化は、ジョブのブックマークの暗号化に使用されます。このフィールドはオプションです。ブックマークデータは、Amazon S3 に保存するために送信される前に暗号化されます。オンにするには、 AWS KMS キーを選択するか、キーを入力してARNキーARNに を指定します。ARN の形式で を入力しますarn:aws:kms:region:account-id:key/key-id。などのキーエイリアスARNとして を指定することもできますarn:aws:kms:region:account-id:alias/alias-name。

詳細については、Amazon Simple Storage Service コンソールユーザーガイドの以下のトピックを参照してください。

• の詳細についてはSSE-S3、「Amazon S3-Managed暗号化キーによるサーバー側の暗号化を使用したデータの保護 (SSE-S3)」を参照してください。

• の詳細についてはSSE-KMS、「 でのサーバー側の暗号化を使用したデータの保護 AWS KMS keys」を参照してください。

• の詳細についてはCSE-KMS、「 に保存されているKMSキーの使用 AWS KMS」を参照してください。