Criptografando cadernos e arquivos do espaço de trabalho do EMR Studio - Amazon EMR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografando cadernos e arquivos do espaço de trabalho do EMR Studio

No EMR Studio, você pode criar e configurar diferentes áreas de trabalho para organizar e executar notebooks. Esses Workspaces armazenam cadernos e arquivos relacionados no bucket do Amazon S3 especificado. Por padrão, esses arquivos são criptografados com chaves gerenciadas pelo Amazon S3 (SSE-S3) com criptografia do lado do servidor como nível básico de criptografia. Você também pode optar por usar KMS chaves gerenciadas pelo cliente (SSE-KMS) para criptografar seus arquivos. Você pode fazer isso usando o console EMR de gerenciamento da Amazon ou por meio do AWS CLI e AWS SDK ao criar um EMR Studio.

EMRA criptografia de armazenamento do espaço de trabalho do Studio está disponível em todas as regiões em que o EMR Studio está disponível.

Pré-requisitos

Antes de criptografar o caderno e os arquivos do espaço de trabalho do EMR Studio, você deve usar AWS Key Management Service para criar uma chave simétrica de gerente de clientes (CMK) na mesma Conta da AWS região do seu Studio. EMR

Sua política de recursos AWS KMS deve ter as permissões de acesso necessárias para a função de serviço do seu EMR Studio. Veja a seguir um exemplo de IAM política que concede permissões mínimas de acesso à criptografia de armazenamento do EMR Studio Workspace:

{ "Sid": "AllowEMRStudioServiceRoleAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:CallerAccount": "<ACCOUNT_ID>", "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::<S3_BUCKET_NAME>", "kms:ViaService": "s3.<AWS_REGION>.amazonaws.com" } } }

Sua função de serviço do EMR Studio também deve ter as permissões de acesso para usar sua AWS KMS chave. Veja a seguir um exemplo de IAM política que concede as permissões mínimas de acesso à criptografia de armazenamento do EMR Studio Workspace:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEMRStudioWorkspaceStorageEncryptionAccess", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey" ], "Resource": ["arn:aws:kms:<REGION>:<ACCOUNT_ID>:key/<KEY_IDENTIFIER>"] } ] }

Crie um novo EMR estúdio

Siga estas etapas para criar um novo EMR Studio que usa criptografia de armazenamento do espaço de trabalho.

  1. Abra o EMR console da Amazon em https://console.aws.amazon.com/elasticmapreduce/.

  2. Escolha Studios e Criar Studio.

  3. Em Localização do Amazon S3 para armazenamento, insira ou escolha um caminho do Amazon S3. Esse é o local do Amazon S3 onde a Amazon EMR armazena cadernos e arquivos do espaço de trabalho.

  4. Em Função de serviço, insira ou escolha uma IAM função. Esse é o IAM papel que a Amazon EMR assume.

  5. Escolha Criptografar arquivos do Workspace com sua própria chave. AWS KMS

  6. Insira ou escolha uma AWS KMS chave para usar para criptografar cadernos e arquivos do espaço de trabalho no Amazon S3.

  7. Escolha Criar Studio ou Criar Studio e iniciar Workspaces.

  8. Escolha Criptografar arquivos do Workspace com sua própria chave. AWS KMS

  9. Insira ou escolha um AWS KMS para usar para criptografar cadernos e arquivos do espaço de trabalho no Amazon S3.

  10. Escolha Save Changes (Salvar alterações).

As etapas a seguir demonstram como atualizar um EMR Studio e configurar a criptografia de armazenamento do espaço de trabalho.

  1. Abra o EMR console da Amazon em https://console.aws.amazon.com/elasticmapreduce/.

  2. Escolha um EMR Studio existente na lista e, em seguida, escolha Editar.

  3. Escolha Criptografar arquivos do Workspace com sua própria chave. AWS KMS

  4. Insira ou escolha um AWS KMS para usar para criptografar cadernos e arquivos do espaço de trabalho no Amazon S3.

  5. Escolha Save Changes (Salvar alterações).