翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Glue によって書き込まれたデータの暗号化
セキュリティ設定は、AWS Glue が使用できるセキュリティプロパティのセットです。セキュリティ構成を使用して、保管時にデータを暗号化できます。以下のシナリオでは、セキュリティ設定を使用できるいくつかの方法を示します。
-
暗号化された Amazon CloudWatch Logs を書き込む AWS Glue クローラーにセキュリティ設定をアタッチします。クローラーにセキュリティ設定のアタッチの詳細については、「ステップ 3: セキュリティ設定を構成する」を参照してください。
-
抽出、変換、ロード (ETL) ジョブにセキュリティ設定をアタッチして、暗号化された Amazon Simple Storage Service (Amazon S3) ターゲット、および暗号化された CloudWatch Logs を書き込みます。
-
ETL ジョブにセキュリティ設定をアタッチして、暗号化された Amazon S3 データとしてジョブブックマークを書き込みます。
-
開発エンドポイントにセキュリティ設定をアタッチして、暗号化された Amazon S3 ターゲットを書き込みます。
重要
現時点では、セキュリティ設定は、ETL ジョブのパラメータとして渡されるサーバー側暗号化 (SSE-S3) 設定をすべてオーバーライドします。したがって、ジョブにセキュリティ設定と SSE-S3 の両方が関連付けられている場合、SSE-S3 パラメータは無視されます。
セキュリティ設定の詳細については、「AWS Glue コンソールでのセキュリティ設定の管理」を参照してください。
セキュリティ設定を使用するための AWS Glue のセットアップ
以下の手順を実行して、セキュリティ設定を使用するように AWS Glue 環境をセットアップします。
-
AWS Glue クローラーに渡される IAM ロールおよび CloudWatch Logs を暗号化するジョブへの AWS KMS アクセス許可を付与するため、AWS Key Management Service (AWS KMS) キーを作成または更新します。詳しくは、Amazon CloudWatch Logs ユーザーガイドの「AWS KMS を使用して CloudWatch Logs のログデータを暗号化する」を参照してください。
次の例では、
"role1"
、"role2"
、および"role3"
が、クローラーおよびジョブに渡される IAM ロールです。{ "Effect": "Allow", "Principal": { "Service": "logs.
region
.amazonaws.com", "AWS": ["role1"
,"role2"
,"role3"
] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }キーを使用して CloudWatch Logs を暗号化する場合、
"Service": "logs.
と表示される region
.amazonaws.com"Service
ステートメントが必要です。 -
使用する前に、AWS KMS キーが
ENABLED
であることを確認します。
注記
データレイクフレームワークとして Iceberg を使用している場合、Iceberg テーブルにはサーバー側の暗号化を有効にする独自のメカニズムがあります。AWS Glue のセキュリティ設定に加えて、これらの設定を有効にする必要があります。Iceberg テーブルでサーバー側の暗号化を有効にするには、「Iceberg ドキュメント
VPC ジョブとクローラーの AWS KMS へのルートを作成する
インターネットを介さずに、仮想プライベートクラウド (VPC) のプライベートエンドポイントから AWS KMS に直接接続できます。VPC エンドポイントを使用すると、VPC と AWS KMS の間の通信は完全に AWS ネットワーク内で実施されます。
VPC 内に AWS KMS VPC エンドポイントを作成することができます。この手順を実行しないと、ジョブまたはクローラーがジョブの kms timeout
またはクローラーの internal service exception
で失敗する可能性があります。詳細な手順については、AWS Key Management Serviceデベロッパーガイドの「VPC エンドポイントを介した AWS KMS への接続」を参照してください。
これらの手順に従って、VPC コンソール
[Enable Private DNS name] (プライベート DNS 名を有効にする) を選択します。
Java Database Connectivity (JDBC) にアクセスするジョブまたはクローラーに使用する [Security group] (セキュリティグループ) (自己参照ルールを持つ) を選択します。AWS Glue 接続の詳細については、「データへの接続」を参照してください。
JDBC データストアにアクセスするクローラーまたはジョブにセキュリティ設定を追加する場合、AWS Glue には AWS KMS エンドポイントへのルートが必要です。ネットワークアドレス変換 (NAT) ゲートウェイまたは AWS KMS VPC エンドポイントを使用してルートを指定できます。NAT ゲートウェイを作成するには、Amazon VPC ユーザーガイドの「NAT ゲートウェイ」を参照してください。