在AWS Glue主控台上管理安全性設定

警告

AWS Glue Ray 工作目前不支援安全性組態。

AWS Glue 中安全組態的包含在您寫入加密資料時所需的屬性。您將在 AWS Glue 主控台建立安全組態，以提供爬蟲程式、任務以及開發端點所使用的加密屬性。

若要查看您已建立的所有安全性設定清單，請開啟AWS Glue主控台，https://console.aws.amazon.com/glue/然後在瀏覽窗格中選擇 [安全性設定]。

安全組態清單顯示有關各個組態的下列屬性：

名稱

在建立組態時提供的唯一獨特名稱。名稱可包含字母 (A-Z)、數字 (0-9)、連字號 (-) 或底線 (_)，並且長度上限為 255 個字元。

啟用 Amazon S3 加密

如果開啟，則會針對資料型錄中的中繼資料存放區啟用 SSE-KMS 或 SSE-S3 等 Amazon Simple Storage Service (Amazon S3) 等加密模式。

啟用 Amazon CloudWatch 日誌加密

如果開啟，將日誌寫入 Amazon 時會啟SSE-KMS用 Amazon S3 加密模式 CloudWatch。

進階設定：啟用任務書籤加密

如果開啟，則會在為任務加上書籤時啟用 CSE-KMS 等 Amazon S3 加密模式。

您可以在主控台的 Security configurations (安全組態) 部分中新增或刪除組態。若要查看組態詳細資訊，請在清單中選擇組態的名稱。詳細資訊包含您在建立組態時所定義的資訊。

新增安全組態

若要使用 AWS Glue 主控台新增安全組態，請在 Security configurations (安全組態) 頁面，選擇 Add security configuration (新增安全性設定)。

安全性組態屬性

輸入不重複的安全性組態名稱。名稱可包含字母 (A-Z)、數字 (0-9)、連字號 (-) 或底線 (_)，並且長度上限為 255 個字元。

加密設定

您可以為存放在 Amazon S3 資料目錄中的中繼資料和 Amazon 中的日誌啟用靜態加密。 CloudWatch若要使用AWS Glue主控台上的 AWS Key Management Service (AWS KMS) 金鑰設定資料和中繼資料的加密，請將政策新增至主控台使用者。此政策必須將允許的資源指定為用於加密 Amazon S3 資料存放區的金鑰 Amazon 資源名稱 (ARNs)，如下列範例所示。

{
"Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt",    
    "kms:Encrypt"],
  "Resource": "arn:aws:kms:region:account-id:key/key-id"}
}

重要

將安全性組態附加至爬行者程式或工作時，傳遞的IAM角色必須具有 AWS KMS 權限。如需詳細資訊，請參閱對 AWS Glue 寫入的資料加密。

當您定義組態時，您可為下列屬性提供值：

啟用 S3 加密

撰寫 Amazon S3 資料時，您可以使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3)，或使用受 AWS KMS 管金鑰 (SSE-KMS) 使用伺服器端加密。此欄位為選用欄位。若要允許存取 Amazon S3，請選擇 AWS KMS 金鑰，或選擇 [輸入金鑰] ARN 並提供金鑰的。ARN在表單ARN中輸入arn:aws:kms:region:account-id:key/key-id。您也可以提供作ARN為索引鍵別名，例如arn:aws:kms:region:account-id:alias/alias-name。

如果您為任務啟用 Spark UI，則上傳到 Amazon S3 的 Spark UI 日誌檔案將採用相同的加密方式。

重要

AWS Glue僅支援對稱的客戶主金鑰 (CMKs)。AWS KMS key (KMS 金鑰) 清單僅會顯示對稱金鑰。不過，如果您選取 [選擇 AWS KMS 金鑰]ARN，主控台可讓您輸入ARN任何金鑰類型的。請確定您只輸入ARNs對稱金鑰。

啟用 CloudWatch 記錄檔加密

伺服器端 (SSE-KMS) 加密是用來加密 CloudWatch 記錄檔。此欄位為選用欄位。若要將其開啟，請選擇 AWS KMS 金鑰，或選擇 [輸入金鑰] ARN 並提供金鑰的。ARN在表單ARN中輸入arn:aws:kms:region:account-id:key/key-id。您也可以提供作ARN為索引鍵別名，例如arn:aws:kms:region:account-id:alias/alias-name。

進階設定：任務書籤加密

用戶端 (CSE-KMS) 加密用於加密工作書籤。此欄位為選用欄位。書籤資料會先加密後才傳送至 Amazon S3​ 儲存。若要將其開啟，請選擇 AWS KMS 金鑰，或選擇 [輸入金鑰] ARN 並提供金鑰的。ARN在表單ARN中輸入arn:aws:kms:region:account-id:key/key-id。您也可以提供作ARN為索引鍵別名，例如arn:aws:kms:region:account-id:alias/alias-name。

如需詳細資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的下列主題：

• 如需相關資訊SSE-S3，請參閱使用 Amazon S3 受管加密金鑰 (SSE-S3) 使用伺服器端加密保護資料。

• 如需相關資訊SSE-KMS，請參閱使用伺服器端加密來保護資料 AWS KMS keys。

• 如需相關資訊CSE-KMS，請參閱使用儲存於中的KMS金鑰 AWS KMS。