Amazon S3 イベントクローラで暗号化を使用します。 - AWS Glue
SQS でのみ暗号化を有効にしますSQS と S3 の両方での暗号化の有効にします。よくある質問

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon S3 イベントクローラで暗号化を使用します。

このセクションでは SQS のみ、または SQS と Amazon S3 の両方での暗号化の使用について説明します。

SQS でのみ暗号化を有効にします

Amazon SQS は、デフォルトで送信中の暗号化を提供します。オプションのサーバー側の暗号化 (SSE) をキューに追加するため、編集パネルのカスタマーマスターキー (CMK) にアタッチします。つまり、SQS は SQS サーバー上のすべての保管中の顧客データを暗号化します。

カスタマーマスターキー (CMK) を作成します

  1. [キー管理サービス (KMS)] > [カスタマーマネージドキー > [キーを作成する] を選択します。

  2. 手順に従って、独自のエイリアスと説明を追加します。

  3. このキーを使用できるようにする IAM ロールを追加します。

  4. キーポリシーで、別のステートメントを「ステートメント」リストに追加することで、カスタムキーポリシーは Amazon SNS に十分なキー使用許可を付与します。

     "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sns.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
 ]
キューのサーバー側の暗号化 (SSE) を有効にします。

  1. [Amazon SQS] > [キュー] > [sqs_queue_name] > [暗号化] タブを選択します。

  2. [編集] を選択し、[暗号化] まで下にスクロールしてドロップダウンします。

  3. [有効] を選択し、SSE を追加します。

  4. 名前 alias/aws/sqs のデフォルトキーではなく、前に作成した CMK をクリックします。

    これを追加すると、追加したキーで 暗号化タブを更新します。

注記

Amazon SQS は最長メッセージ保持期間を超えてキューに残っているメッセージを自動的に削除します。デフォルトのメッセージ保持期間は 4 日間です。イベントの欠落を回避するには、SQS MessageRetentionPeriod を 14 日以内に変更します。

SQS と S3 の両方での暗号化の有効にします。

SQS でサーバー側の暗号化 (SSE) を有効にします。

  1. SQS でのみ暗号化を有効にします」の手順を実行します。

  2. CMK セットアップの最後のステップで、Amazon S3 に十分なキー使用許可を付与します。

    「ステートメント」リストに以下を貼り付けます。

     "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
 ]
Amazon S3 バケットのサーバー側の暗号化 (SSE) を有効にします。

  1. SQS でのみ暗号化を有効にします」の手順を実行します。

  2. 以下のいずれかを実行します。

    • S3 バケット全体で SSE を有効にするには、ターゲットバケットの [プロパティ] タブを操作します。

      ここで SSE を有効にして、使用する暗号化の種類を選択できます。Amazon S3 は、Amazon S3 が作成、管理、使用する暗号化キーを提供したり、KMS からキーを選択することもできます。

    • 特定のフォルダで SSE を有効にするには、ターゲットフォルダの横にある [チェックボックス] を選択し、[アクション] をドロップダウンして [サーバー側の暗号化の編集] を選択します。

よくある質問

Amazon SNS トピックに公開したメッセージが、サーバー側暗号化 (SSE) が有効になっている登録済みの Amazon SQS キューに配信されないのはなぜですか。

Amazon SQS キューが使用していることを再確認してください。

  1. カスタマーマスターキー (CMK) は、カスタマーが管理します。SQS によって提供されるデフォルトではありません。

  2. (1) の CMK はカスタムキーポリシーを含み、Amazon SNS に十分なキー使用許可を付与します。

詳細情報は、ナレッジセンターのこの記事を参照してください

E メール通知の登録をしましたが、Amazon S3 バケットを編集しても E メールの更新が届きません。

メールの「登録確認」リンクをクリックして、メールアドレスを確認したことを確認してください。SNS トピックの下の[サブスクリプション] テーブルで確認ステータスを確認できます。

[Amazon SNS] >[トピック] >[sns_topic_name] >[サブスクリプション] テーブルを選択します。

前提条件のスクリプトに従えば、sns_topic_name はユーザーの sqs_queue_name と同等だと分かります。これは次のように表示されます。

SQS キューでサーバー側の暗号化を有効にした後、追加したフォルダの一部だけがテーブルに表示されます。なぜ parquet が一部欠けているのでしょうか。

SQS キューで SSE を有効にする前に Amazon S3 バケットを変更した場合、クローラによって変更が適用されない可能性があります。S3 バケットにすべての更新を確実にクロールするために、リストモード (「すべてのフォルダをクロールする」) でクローラーを再度実行します。もう 1 つのオプションは、S3 イベントを有効にして新しいクローラを作成することで、やり直すことです。