在AWS Glue主控台上管理安全組態

警告

AWS Glue Ray 任務目前不支援安全組態。

AWS Glue 中安全組態的包含在您寫入加密資料時所需的屬性。您將在 AWS Glue 主控台建立安全組態，以提供爬蟲程式、任務以及開發端點所使用的加密屬性。

若要查看您已建立的所有安全組態清單，請開啟位於 https://console.aws.amazon.com/glue/ 的 AWS Glue 主控台，然後在導覽窗格中選擇 Security configurations (安全組態) 標籤。

安全組態清單顯示有關各個組態的下列屬性：

名稱

在建立組態時提供的唯一獨特名稱。名稱可包含字母 (A-Z)、數字 (0-9)、連字號 (-) 或底線 (_)，並且長度上限為 255 個字元。

啟用 Amazon S3 加密

如果開啟，則會針對資料型錄中的中繼資料存放區啟用 SSE-KMS 或 SSE-S3 等 Amazon Simple Storage Service (Amazon S3) 等加密模式。

啟用 Amazon CloudWatch Logs 加密

如果開啟，則會在將日誌寫入 Amazon CloudWatch 時啟用 SSE-KMS 等 Amazon S3 加密模式。

進階設定：啟用任務書籤加密

如果開啟，則會在為任務加上書籤時啟用 CSE-KMS 等 Amazon S3 加密模式。

您可以在主控台的 Security configurations (安全組態) 部分中新增或刪除組態。若要查看組態詳細資訊，請在清單中選擇組態的名稱。詳細資訊包含您在建立組態時所定義的資訊。

新增安全組態

若要使用 AWS Glue 主控台新增安全組態，請在 Security configurations (安全組態) 頁面，選擇 Add security configuration (新增安全性設定)。

安全性組態屬性

輸入不重複的安全性組態名稱。名稱可包含字母 (A-Z)、數字 (0-9)、連字號 (-) 或底線 (_)，並且長度上限為 255 個字元。

加密設定

您可以針對存放在 Amazon S3 資料型錄中的中繼資料和 Amazon CloudWatch 中的日誌啟用靜態加密。若要在AWS Glue主控台上使用 AWS Key Management Service (AWS KMS) 金鑰設定資料和中繼資料的加密，請將政策新增至主控台使用者。此政策必須指定允許的資源做為金鑰 Amazon Resource Name (ARN) (用於加密 Amazon S3​ 資料存放區)，如以下範例所示。

JSON

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt",
            "kms:Encrypt"
        ],
        "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id"
    }
}

重要

當安全組態連接到爬蟲程式或任務時，傳遞的 IAM 角色必須具有 AWS KMS 許可。如需詳細資訊，請參閱對 AWS Glue寫入的資料加密。

當您定義組態時，您可為下列屬性提供值：

啟用 S3 加密

當您寫入 Amazon S3 資料時，您可以使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 或伺服器端加密搭配 AWS KMS 受管金鑰 (SSE-KMS)。此欄位為選用欄位。若要允許存取 Amazon S3，請選擇 AWS KMS 金鑰，或選擇輸入金鑰 ARN，並提供金鑰的 ARN。以 arn:aws:kms:region:account-id:key/key-id 的形式輸入 ARN。您也可以提供 ARN 做為金鑰別名，例如 arn:aws:kms:region:account-id:alias/alias-name。

如果您為任務啟用 Spark UI，則上傳到 Amazon S3 的 Spark UI 日誌檔案將採用相同的加密方式。

重要

AWS Glue 僅支援對稱客戶主金鑰 (CMK)。AWS KMS key (KMS 金鑰) 清單僅會顯示對稱金鑰。不過，如果您選取選擇 AWS KMS 金鑰 ARN，主控台可讓您輸入任何金鑰類型的 ARN。請確定您僅輸入對稱金鑰的 ARN。

啟用 CloudWatch Logs 加密

伺服器端 (SSE-KMS) 加密是用來加密 CloudWatch Logs。此欄位為選用欄位。若要開啟，請選擇 AWS KMS 金鑰，或選擇輸入金鑰 ARN 並提供金鑰的 ARN。以 arn:aws:kms:region:account-id:key/key-id 的形式輸入 ARN。您也可以提供 ARN 做為金鑰別名，例如 arn:aws:kms:region:account-id:alias/alias-name。

進階設定：任務書籤加密

用戶端 (CSE-KMS) 加密是用於加密任務書籤。此欄位為選用欄位。書籤資料會先加密後才傳送至 Amazon S3​ 儲存。若要開啟，請選擇 AWS KMS 金鑰，或選擇輸入金鑰 ARN 並提供金鑰的 ARN。以 arn:aws:kms:region:account-id:key/key-id 的形式輸入 ARN。您也可以提供 ARN 做為金鑰別名，例如 arn:aws:kms:region:account-id:alias/alias-name。

如需詳細資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的下列主題：

• 如需關於 SSE-S3 的詳細資訊，請參閱使用伺服器端加密與 Amazon S3 受管加密金鑰 (SSE-S3) 保護資料。

• 如需 的相關資訊SSE-KMS，請參閱使用伺服器端加密搭配 保護資料 AWS KMS keys。

• 如需有關 CSE-KMS 的資訊，請參閱 Using a KMS key stored in AWS KMS。