選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

在AWS Glue主控台上管理安全組態

PDF
RSS
焦點模式
在AWS Glue主控台上管理安全組態 - AWS Glue
新增安全組態

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

警告

AWS Glue Ray 任務目前不支援安全組態。

AWS Glue 中安全組態的包含在您寫入加密資料時所需的屬性。您將在 AWS Glue 主控台建立安全組態,以提供爬蟲程式、任務以及開發端點所使用的加密屬性。

若要查看您已建立的所有安全組態清單,請開啟位於 https://console.aws.amazon.com/glue/ 的 AWS Glue 主控台,然後在導覽窗格中選擇 Security configurations (安全組態) 標籤。

安全組態清單顯示有關各個組態的下列屬性:

名稱

在建立組態時提供的唯一獨特名稱。名稱可包含字母 (A-Z)、數字 (0-9)、連字號 (-) 或底線 (_),並且長度上限為 255 個字元。

啟用 Amazon S3 加密

如果開啟,則會針對資料型錄中的中繼資料存放區啟用 SSE-KMSSSE-S3 等 Amazon Simple Storage Service (Amazon S3) 等加密模式。

啟用 Amazon CloudWatch Logs 加密

如果開啟,則會在將日誌寫入 Amazon CloudWatch 時啟用 SSE-KMS 等 Amazon S3 加密模式。

進階設定:啟用任務書籤加密

如果開啟,則會在為任務加上書籤時啟用 CSE-KMS 等 Amazon S3 加密模式。

您可以在主控台的 Security configurations (安全組態) 部分中新增或刪除組態。若要查看組態詳細資訊,請在清單中選擇組態的名稱。詳細資訊包含您在建立組態時所定義的資訊。

新增安全組態

若要使用 AWS Glue 主控台新增安全組態,請在 Security configurations (安全組態) 頁面,選擇 Add security configuration (新增安全性設定)

螢幕擷取畫面會顯示「新增安全性組態」頁面。

安全性組態屬性

輸入不重複的安全性組態名稱。名稱可包含字母 (A-Z)、數字 (0-9)、連字號 (-) 或底線 (_),並且長度上限為 255 個字元。

加密設定

您可以針對存放在 Amazon S3 資料型錄中的中繼資料和 Amazon CloudWatch 中的日誌啟用靜態加密。若要在AWS Glue主控台上設定資料和中繼資料的加密,請使用 AWS Key Management Service (AWS KMS) 金鑰,將政策新增至主控台使用者。此政策必須指定允許的資源做為金鑰 Amazon Resource Name (ARN) (用於加密 Amazon S3​ 資料存放區),如以下範例所示。

{
"Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt",    
    "kms:Encrypt"],
  "Resource": "arn:aws:kms:region:account-id:key/key-id"}
}
重要

當安全組態連接到爬蟲程式或任務時,傳遞的 IAM 角色必須具有 AWS KMS 許可。如需詳細資訊,請參閱對 AWS Glue寫入的資料加密

當您定義組態時,您可為下列屬性提供值:

啟用 S3 加密

當您寫入 Amazon S3 資料時,您會使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 或伺服器端加密搭配 AWS KMS 受管金鑰 (SSE-KMS)。此欄位為選用欄位。若要允許存取 Amazon S3,請選擇 AWS KMS 金鑰,或選擇輸入金鑰 ARN,並提供金鑰的 ARN。以 arn:aws:kms:region:account-id:key/key-id 的形式輸入 ARN。您也可以提供 ARN 做為金鑰別名,例如 arn:aws:kms:region:account-id:alias/alias-name

如果您為任務啟用 Spark UI,則上傳到 Amazon S3 的 Spark UI 日誌檔案將採用相同的加密方式。

重要

AWS Glue 僅支援對稱客戶主金鑰 (CMK)。AWS KMS key (KMS 金鑰) 清單僅會顯示對稱金鑰。不過,如果您選取選擇 AWS KMS 金鑰 ARN,主控台可讓您輸入任何金鑰類型的 ARN。請確定您僅輸入對稱金鑰的 ARN。

啟用 CloudWatch Logs 加密

伺服器端 (SSE-KMS) 加密是用來加密 CloudWatch Logs。此欄位為選用欄位。若要將其開啟,請選擇 AWS KMS 金鑰,或選擇輸入金鑰 ARN,並提供金鑰的 ARN。以 arn:aws:kms:region:account-id:key/key-id 的形式輸入 ARN。您也可以提供 ARN 做為金鑰別名,例如 arn:aws:kms:region:account-id:alias/alias-name

進階設定:任務書籤加密

用戶端 (CSE-KMS) 加密是用於加密任務書籤。此欄位為選用欄位。書籤資料會先加密後才傳送至 Amazon S3​ 儲存。若要將其開啟,請選擇 AWS KMS 金鑰,或選擇輸入金鑰 ARN,並提供金鑰的 ARN。以 arn:aws:kms:region:account-id:key/key-id 的形式輸入 ARN。您也可以提供 ARN 做為金鑰別名,例如 arn:aws:kms:region:account-id:alias/alias-name

如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的下列主題:

在本頁面

Related resources

AWS Glue DataBrew 開發人員指南
AWS CLI 的 命令 AWS Glue
SDK 與工具 

Related resources

AWS Glue DataBrew 開發人員指南
AWS CLI 的 命令 AWS Glue
SDK 與工具 
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。