加密 EMR 工作室工作區筆記本和檔案 - Amazon EMR
必要條件設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

加密 EMR 工作室工作區筆記本和檔案

在 EMR Studio 中,您可以建立和設定不同的工作區來組織和執行筆記本。這些工作區會將筆記本和相關檔案存放在指定的 Amazon S3 儲存貯體中。根據預設,這些檔案會使用 Amazon S3 受管金鑰 (SSE-S3) 加密,並以伺服器端加密做為加密的基礎層級。您也可以選擇使用客戶受管 KMS 金鑰 (SSE-KMS) 來加密檔案。您可以使用 Amazon EMR 管理主控台,或在建立 EMR 工作室時透過AWS CLI和AWS開發套件執行此操作。

EMR Studio 工作區儲存加密功能適用於所有提供 EMR 工作室的區域

必要條件

在加密 EMR Studio 工作區筆記本和檔案之前,您必須使AWS Key Management Service用在與 EMR Studio 相同AWS 帳戶的區域中建立對稱的客戶管理員金鑰 (CMK)

您的資源原則AWS KMS必須具有 EMR Studio 服務角色所需的存取權限。以下是授與 EMR Studio 工作區儲存加密最低存取權限的 IAM 政策範例:

{
    "Sid": "AllowEMRStudioServiceRoleAccess",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>"
    },
    "Action": [
        "kms:Decrypt", 
        "kms:GenerateDataKey", 
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "<ACCOUNT_ID>",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::<S3_BUCKET_NAME>",
            "kms:ViaService": "s3.<AWS_REGION>.amazonaws.com"
        }
    }
}

您的 EMR Studio 服務角色也必須具有使用AWS KMS金鑰的存取權限。以下是授與 EMR Studio 工作區儲存加密最低存取權限的 IAM 政策範例:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEMRStudioWorkspaceStorageEncryptionAccess",
            "Effect": "Allow",
            "Action": [
               "kms:Decrypt",
               "kms:GenerateDataKey",
               "kms:ReEncryptFrom",
               "kms:ReEncryptTo",
               "kms:DescribeKey"             
            ],
            "Resource": ["arn:aws:kms:<REGION>:<ACCOUNT_ID>:key/<KEY_IDENTIFIER>"]
        }
    ]
}

設定

請依照下列步驟建立使用工作區儲存加密的新 EMR Studio。

  1. 請在 https://console.aws.amazon.com/elasticmapreduce/ 開啟 Amazon EMR 主控台。

  2. 選擇工作,然後選擇「建立工作室

  3. 對於 S3 儲存位置,請輸入或選擇 Amazon S3 路徑。這是 Amazon EMR 存放工作區筆記本和檔案的 Amazon S3 位置。

  4. 對於服務角色,請輸入或選擇 IAM 角色。這是 Amazon EMR 承擔的 IAM 角色。

  5. 選擇使用您自己的AWS KMS金鑰加密工作區檔案

  6. 輸入或選擇AWS KMS金鑰以用來加密 Amazon S3 中的工作區筆記本和檔案。

  7. 選擇建立工作室建立 Studio 並啟動工作區

  8. 選擇使用您自己的AWS KMS金鑰加密工作區檔案

  9. 輸入或選擇AWS KMS要用來在 Amazon S3 中加密工作區筆記本和檔案的項目。

  10. 選擇 Save Changes (儲存變更)。

下列步驟示範如何更新 EMR Studio 並設定工作區儲存加密。

  1. 請在 https://console.aws.amazon.com/elasticmapreduce/ 開啟 Amazon EMR 主控台。

  2. 從清單中選擇現有的 EMR Studio,然後選擇 「編輯」

  3. 選擇使用您自己的AWS KMS金鑰加密工作區檔案

  4. 輸入或選擇AWS KMS要用來在 Amazon S3 中加密工作區筆記本和檔案的項目。

  5. 選擇 Save Changes (儲存變更)。