Registrando uma localização criptografada do Amazon S3

O Lake Formation se integra com AWS Key Management Service (AWS KMS) para permitir que você configure com mais facilidade outros serviços integrados para criptografar e descriptografar dados em locais do Amazon Simple Storage Service (Amazon S3).

Tanto o cliente é gerenciado AWS KMS keys Chaves gerenciadas pela AWS quanto o suporte. Atualmente, a criptografia/descriptografia do lado do cliente é suportada somente com o Athena.

Você deve especificar uma função AWS Identity and Access Management (IAM) ao registrar uma localização no Amazon S3. Para locais criptografados do Amazon S3, a função deve ter permissão para criptografar e descriptografar dados com o. Ou a AWS KMS key política de chaves deve conceder permissões sobre a KMS chave da função.

Importante

Evite registrar um bucket do Amazon S3 que tenha o Solicitante paga ativado. Para buckets registrados no Lake Formation, a função usada para registrar o bucket é sempre vista como solicitante. Se o bucket for acessado por outra AWS conta, o proprietário do bucket será cobrado pelo acesso aos dados se a função pertencer à mesma conta do proprietário do bucket.

A maneira mais simples de registrar a localização é usar a função vinculada ao serviço Lake Formation. Essa função concede as permissões de leitura/gravação necessárias no local. Você também pode usar uma função personalizada para registrar o local, desde que ele atenda aos requisitos do Requisitos para funções usadas para registrar locais.

Importante

Se você usou um Chave gerenciada pela AWS (aws/s3) para criptografar a localização do Amazon S3, não poderá usar a função vinculada ao serviço Lake Formation. Você deve usar um papel personalizado e adicionar IAM permissões na chave do papel. Os detalhes são fornecidos posteriormente nesta seção.

Os procedimentos a seguir explicam como registrar um local do Amazon S3 criptografado com uma chave gerenciada pelo cliente ou uma Chave gerenciada pela AWS.

Registrar um local criptografado com uma chave gerenciada pelo cliente
Registrando um local criptografado com um Chave gerenciada pela AWS

Antes de começar

Analise os requisitos da função usada para registrar o local.

Para registrar uma localização do Amazon S3 criptografada com uma chave gerenciada pelo cliente

nota

Se a KMS chave ou a localização do Amazon S3 não estiverem na mesma AWS conta do catálogo de dados, siga as instruções em Registrando uma localização criptografada do Amazon S3 em todas as contas AWS vez disso.

Abra o AWS KMS console em https://console.aws.amazon.com/kms e faça login como usuário administrativo AWS Identity and Access Management (IAM) ou como usuário que pode modificar a política de chaves da KMS chave usada para criptografar o local.
No painel de navegação, escolha Chaves gerenciadas pelo cliente e escolha o nome da KMS chave desejada.
Na página de detalhes da KMS chave, escolha a guia Política de chaves e, em seguida, siga um destes procedimentos para adicionar sua função personalizada ou a função vinculada ao serviço Lake Formation como usuário KMS chave:
- Se a visualização padrão estiver sendo exibida (com as seções Administradores de chaves, Exclusão de chaves, Usuários de chaves e Outras AWS contas), na seção Usuários principais, adicione sua função personalizada ou a função vinculada ao serviço Lake Formation. AWSServiceRoleForLakeFormationDataAccess
- Se a política de chave (JSON) estiver sendo exibida — edite a política para adicionar sua função personalizada ou a função vinculada ao serviço Lake Formation AWSServiceRoleForLakeFormationDataAccess ao objeto “Permitir o uso da chave”, conforme mostrado no exemplo a seguir.
  
  nota
  Se esse objeto estiver ausente, adicione-o com as permissões mostradas no exemplo. O exemplo usa a função vinculada ao serviço.
```
        ...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
                    "arn:aws:iam::111122223333:user/keyuser"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...
```
Abra o AWS Lake Formation console em https://console.aws.amazon.com/lakeformation/. Faça login como administrador do data lake ou como usuário com a lakeformation:RegisterResource IAM permissão.
No painel de navegação, em Registrar e ingerir, escolha Locais do data lake.
Escolha Registrar localização e, em seguida, escolha Procurar para selecionar um caminho do Amazon Simple Storage Service (Amazon S3).
(Opcional, mas altamente recomendado) Escolha Revisar permissões de localização para ver uma lista de todos os recursos existentes no local selecionado do Amazon S3 e suas permissões.

Registrar o local selecionado pode fazer com que seus usuários do Lake Formation tenham acesso aos dados que já estão nesse local. A visualização dessa lista ajuda a garantir que os dados existentes permaneçam seguros.
Para IAMfunção, escolha a função AWSServiceRoleForLakeFormationDataAccess vinculada ao serviço (a padrão) ou sua função personalizada que atenda a. Requisitos para funções usadas para registrar locais
Escolha Registrar local.

Para obter mais informações sobre a função vinculada ao serviço, consulte Permissões de perfil vinculado ao serviço para o Lake Formation.

Para registrar uma localização do Amazon S3 criptografada com um Chave gerenciada pela AWS

Importante

Se a localização do Amazon S3 não estiver na mesma AWS conta do catálogo de dados, siga as instruções em Registrando uma localização criptografada do Amazon S3 em todas as contas AWS vez disso.

Crie uma IAM função para usar para registrar o local. Certifique-se de que ele atenda aos requisitos listados em Requisitos para funções usadas para registrar locais.
Adicione a seguinte política em linha à função. Ele concede permissões sobre a chave da função. A Resource especificação deve designar o Amazon Resource Name (ARN) do Chave gerenciada pela AWS. Você pode ARN obtê-lo no AWS KMS console. Para obter a informação corretaARN, certifique-se de fazer login no AWS KMS console com a mesma AWS conta e região Chave gerenciada pela AWS que foram usadas para criptografar o local.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "<Chave gerenciada pela AWS ARN>"
    }
  ]
}
```
Abra o AWS Lake Formation console em https://console.aws.amazon.com/lakeformation/. Faça login como administrador do data lake ou como usuário com a lakeformation:RegisterResource IAM permissão.
No painel de navegação, em Registrar e ingerir, escolha Locais do data lake.
Escolha Registrar localização e, em seguida, escolha Procurar para selecionar um caminho do Amazon S3.
(Opcional, mas altamente recomendado) Escolha Revisar permissões de localização para ver uma lista de todos os recursos existentes no local selecionado do Amazon S3 e suas permissões.

Registrar o local selecionado pode fazer com que seus usuários do Lake Formation tenham acesso aos dados que já estão nesse local. A visualização dessa lista ajuda a garantir que os dados existentes permaneçam seguros.
Para IAMfunção, escolha a função que você criou na Etapa 1.
Escolha Registrar local.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Registrando uma localização do Amazon S3

Registrando uma localização do Amazon S3 em outra conta AWS