Criptografar dados gravados pelo AWS Glue - AWS Glue

Criptografar dados gravados pelo AWS Glue

Uma configuração de segurança é um conjunto de propriedades de segurança que pode ser usado pelo AWS Glue. Você pode usar uma configuração de segurança para criptografar dados em repouso. Os cenários a seguir mostram algumas maneiras de usar uma configuração de segurança.

  • Anexe uma configuração de segurança a um crawler do AWS Glue para gravar Amazon CloudWatch Logs criptografados. Para obter mais informações sobre como associar configurações de segurança a crawlers, consulte Etapa 3: Defina as configurações de segurança.

  • Anexe uma configuração de segurança a um trabalho do tipo extrair, transformar e carregar (ETL) para gravar destinos do Amazon Simple Storage Service (Amazon S3) criptografados e CloudWatch Logs criptografados.

  • Anexe uma configuração de segurança a um trabalho de ETL para gravar seus marcadores de trabalhos como dados do Amazon S3 criptografados.

  • Anexe uma configuração de segurança a um endpoint de desenvolvimento para gravar destinos do Amazon S3 criptografados.

Importante

Atualmente, uma configuração de segurança substitui qualquer configuração de criptografia no lado do servidor (SSE-S3) que seja transmitida como um parâmetro de trabalho de ETL. Portanto, se uma configuração de segurança e um parâmetro SSE-S3 forem associados a um trabalho, o parâmetro SSE-S3 será ignorado.

Para obter mais informações sobre configurações de segurança, consulte Gerenciar configurações de segurança no console do AWS Glue.

Configurar o AWS Glue para usar configurações de segurança

Siga estas etapas para configurar seu ambiente AWS Glue para usar configurações de segurança.

  1. Crie ou atualize as chaves do AWS Key Management Service (AWS KMS) para conceder permissões ao AWS KMS para as funções do IAM que são transmitidas para crawlers e trabalhos do AWS Glue, a fim de criptografar o CloudWatch Logs. Para obter mais informações, consulte Criptografar dados de log no CloudWatch Logs usando o AWS KMS no Manual do usuário do Amazon CloudWatch Logs.

    No exemplo a seguir, "role1", "role2" e "role3" são funções do IAM que são transmitidas para crawlers e trabalhos.

    { "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

    A instrução Service, mostrada como "Service": "logs.region.amazonaws.com", será necessária se você usar a chave para criptografar o CloudWatch Logs.

  2. Certifique-se de que a chave AWS KMS seja ENABLED antes de ser usada.

nota

Se você estiver usando o Iceberg como estrutura de data lake, as tabelas do Iceberg têm seus próprios mecanismos para habilitar a criptografia do lado do servidor. Você deve habilitar essas configurações além das configurações de segurança do AWS Glue. Para habilitar a criptografia do lado do servidor nas tabelas do Iceberg, consulte as orientações na documentação do Iceberg.

Criar uma rota para o AWS KMS para trabalhos e crawlers da VPC

Você pode se conectar diretamente ao AWS KMS através de um endpoint privado na sua VPC (virtual private cloud) em vez de fazer a conexão pela Internet. Quando você usa um endpoint da VPC, a comunicação entre seu VPC e o AWS KMS é realizada inteiramente dentro da rede da AWS.

Você pode criar um AWS KMS VPC endpoint dentro de uma VPC. Sem essa etapa, seus trabalhos ou crawlers podem falhar com um kms timeout em trabalhos ou com um internal service exception em crawlers. Para obter instruções detalhadas, consulte Conectar-se ao AWS KMS por meio de um endpoint da VPC no Guia do desenvolvedor do AWS Key Management Service.

À medida que você seguir estas instruções, no console da VPC, será necessário fazer o seguinte:

  • Selecione Enable Private DNS name (Ativar nome de DNS privado).

  • Escolha o Grupo de segurança (com regra de autorreferência) que você usa para o seu trabalho ou crawler que acessa o JDBC (Java Database Connectivity). Para obter mais informações sobre conexões do AWS Glue, consulte Conectar a dados.

Quando você adiciona uma configuração de segurança a um crawler ou trabalho que acessa armazenamentos de dados JDBC, o AWS Glue deve ter uma rota para o AWS KMS endpoint. Você pode fornecer essa rota com um gateway de NAT (conversão de endereços de rede) ou com um AWS KMS VPC endpoint. Para criar um gateway NAT, consulte Gateways NAT no Manual do usuário da Amazon VPC.