AWS Glue 콘솔의 보안 구성 관련 작업 - AWS Glue

AWS Glue 콘솔의 보안 구성 관련 작업

AWS Glue의 보안 구성에는 암호화된 데이터를 쓸 때 필요한 속성이 포함되어 있습니다. AWS Glue 콘솔에서 보안 구성을 생성하여 크롤러, 작업 및 개발 엔드포인트에서 사용되는 암호화 속성을 제공합니다.

생성한 보안 구성 목록을 모두 보려면 https://console.aws.amazon.com/glue/에서 AWS Glue 콘솔을 열고 탐색 창에서 [보안 구성(Security configurations)]을 선택합니다.

보안 구성 목록은 각 구성에 대한 다음 속성을 표시합니다.

이름

구성 생성 시 제공한 고유 이름입니다.

S3 암호화 모드

설정된 경우 SSE-KMS 또는 SSE-S3과 같은 Amazon Simple Storage Service(Amazon S3) 암호화 모드.

CloudWatch Logs 암호화 모드

설정된 경우 SSE-KMS와 같은 Amazon S3 암호화 모드.

작업 북마크 암호화 모드

설정된 경우 CSE-KMS와 같은 Amazon S3 암호화 모드.

생성 날짜

구성을 생성한 날짜와 시간(UTC)입니다.

콘솔의 보안 구성 섹션에서 구성을 추가하거나 삭제할 수 있습니다. 목록에서 구성 이름을 선택하여 구성에 대한 더 자세한 정보를 알아봅니다. 세부 정보는 구성을 생성할 시 정의한 정보를 포함합니다.

보안 구성 추가

AWS Glue 콘솔을 사용하여 보안 구성을 추가하려면 보안 구성 페이지에서 Add security configuration(보안 구성 추가)을 선택합니다. 마법사가 필요한 속성을 설정하는 과정을 안내합니다.

AWS Glue 콘솔에서 AWS Key Management Service(AWS KMS) 키를 통해 데이터 및 메타데이터의 암호화를 설정하려면 콘솔 사용자에게 정책을 추가합니다. 다음 예와 같이 이 정책은 허용된 리소스를 Amazon S3 데이터 스토어 암호화에 사용되는 주요 Amazon 리소스 이름(ARN)으로 지정해야 합니다.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt"], "Resource": "arn:aws:kms:region:account-id:key/key-id"} }
중요

보안 구성이 크롤러나 작업에 연결되면 전달되는 IAM 역할에 AWS KMS 권한이 있어야 합니다. 자세한 정보는 크롤러, 작업 및 개발 엔드포인트로 기록된 데이터 암호화을 참조하십시오.

구성을 정의할 때 필요한 다음 속성에 대한 값을 제공할 수 있습니다.

S3 암호화

Amazon S3 데이터를 작성할 때 Amazon S3 관리형 키(SSE-S3)를 사용하는 서버 측 암호화 또는 AWS KMS 관리형 키(SSE-KMS)를 사용하는 서버 측 암호화를 사용합니다. 이 필드는 선택 사항입니다. Amazon S3 액세스를 허용하려면 AWS KMS 키를 선택하거나 [키 ARN 입력(Enter a key ARN)]을 선택하고 키의 ARN을 제공합니다. arn:aws:kms:region:account-id:key/key-id 형식에 ARN 이름을 입력합니다. 또한 arn:aws:kms:region:account-id:alias/alias-name 같은 키 별칭으로 ARN을 제공할 수도 있습니다.

중요

AWS Glue에서는 대칭 고객 마스터 키(CMK)만 지원합니다. AWS KMS 키( key) 목록에는 대칭 키만 표시됩니다. 그러나 AWS KMS 키 ARN 선택(Choose a AWS KMS key ARN)을 선택하면 콘솔에서 모든 키 유형의 ARN을 입력할 수 있습니다. 대칭 키에 대한 ARN만 입력해야 합니다.

CloudWatch Logs 암호화

서버 측(SSE-KMS) 암호화는 CloudWatch Logs 암호화에 사용됩니다. 이 필드는 선택 사항입니다. 이를 설정하려면 AWS KMS 키를 선택하거나 [키 ARN 입력(Enter a key ARN)]을 선택하고 키에 대한 ARN 이름을 제공합니다. arn:aws:kms:region:account-id:key/key-id 형식에 ARN 이름을 입력합니다. 또한 arn:aws:kms:region:account-id:alias/alias-name 같은 키 별칭으로 ARN을 제공할 수도 있습니다.

작업 북마크 암호화

클라이언트 측(CSE-KMS) 암호화는 작업 북마크를 암호화하는 데 사용됩니다. 이 필드는 선택 사항입니다. 북마크 데이터는 저장을 위해 Amazon S3에 전송되기 전에 암호화됩니다. 이를 설정하려면 AWS KMS 키를 선택하거나 [키 ARN 입력(Enter a key ARN)]을 선택하고 키에 대한 ARN 이름을 제공합니다. arn:aws:kms:region:account-id:key/key-id 형식에 ARN 이름을 입력합니다. 또한 arn:aws:kms:region:account-id:alias/alias-name 같은 키 별칭으로 ARN을 제공할 수도 있습니다.

자세한 내용은 Amazon Simple Storage Service 사용 설명서의 다음 주제를 참조하세요.