Data Catalog 암호화 - AWS Glue

Data Catalog 암호화

AWS Glue 콘솔의 Data Catalog [설정(Settings)]에서 AWS Glue Data Catalog 객체의 암호화를 설정할 수 있습니다. 전체 Data Catalog에 대한 암호화 설정을 지정하거나 해제할 수 있습니다. 이 프로세스에서 테이블 같은 객체가 Data Catalog에 작성될 때 자동으로 사용되는 AWS KMS 키를 지정합니다. 암호화되는 객체에는 다음이 포함됩니다.

  • 데이터베이스

  • 테이블

  • 파티션

  • 테이블 버전

  • 연결

  • 사용자 정의 함수

AWS Management Console 또는 AWS Command Line Interface(AWS CLI)를 사용하여 이 동작을 설정할 수 있습니다.

콘솔을 사용하여 자동화를 설정하려면
  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/glue/에서 AWS Glue 콘솔을 엽니다.

  2. 탐색 창에서 [Settings]를 선택합니다.

  3. 데이터 카탈로그 설정 페이지에서 메타데이터 암호화를 선택하고 AWS KMS 키를 선택합니다.

    중요

    AWS Glue에서는 대칭 고객 마스터 키(CMK)만 지원합니다. AWS KMS 키( key) 목록에는 대칭 키만 표시됩니다. 그러나 AWS KMS 키 ARN 선택(Choose a AWS KMS key ARN)을 선택하면 콘솔에서 모든 키 유형의 ARN을 입력할 수 있습니다. 대칭 키에 대한 ARN만 입력해야 합니다.

암호화가 설정되면 이후의 모든 Data Catalog 객체가 암호화됩니다. 기본 키는 AWS가 사용자 계정에 대해 생성하는 AWS Glue AWS KMS 키입니다. 사용자가 이 설정을 삭제하면 Data Catalog에 객체가 작성될 때 더 이상 암호화되지 않습니다. Data Catalog의 암호화되어 있는 모든 객체는 이 키로 계속 액세스할 수 있습니다.

SDK 또는 AWS CLI를 사용하여 암호화를 설정하려면
  • PutDataCatalogEncryptionSettings API 작업을 사용합니다. 지정된 키가 없는 경우 고객 계정의 기본 AWS Glue 암호화 키가 사용됩니다.

중요

AWS KMS 키는 Data Catalog에 함께 암호화된 객체의 AWS KMS 키 스토어에서 계속 사용할 수 있어야 합니다. 키를 제거하면 객체의 암호를 해독할 수 없습니다. 일부 시나리오에서는 Data Catalog 메타데이터에 대한 액세스를 방지하기 위에 이것이 필요할 수 있습니다.

암호화가 설정되면 Data Catalog에 액세스하는 클라이언트가 해당 정책에 대해 다음 AWS KMS 권한을 갖고 있어야 합니다.

  • kms:Decrypt

  • kms:Encrypt

  • kms:GenerateDataKey

예를 들어 크롤러나 작업을 정의할 때 정의에 제공하는 IAM 역할에 이 AWS KMS 권한이 있어야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": "ARN-of-key-used-to-encrypt-data-catalog" } ] }