註冊加密的 Amazon S3 位置

Lake Formation 與 AWS Key Management Service(AWS KMS) 整合，可讓您更輕鬆地設定其他整合服務，以加密和解密 Amazon Simple Storage Service (Amazon S3) 位置中的資料。

客戶管理 AWS KMS keys 和 AWS 受管金鑰支持。目前，只有 Athena 才支援用戶端加密/解密。

您必須在註冊 Amazon S3 位置時指定 AWS Identity and Access Management (IAM) 角色。對於加密的 Amazon S3 位置，角色必須具有使用加密和解密資料的權限 AWS KMS key，否則KMS金鑰政策必須授予角色金鑰的許可。

重要

避免註冊已啟用請求者付費的 Amazon S3 儲存貯體。對於在 Lake Formation 註冊的值區，用於註冊值區的角色一律會被視為請求者。如果值區是由其他 AWS 帳戶存取，如果該角色與值區擁有者屬於相同的帳戶，則值區擁有者會收取資料存取費用。

註冊位置的最簡單方法是使用 Lake Formation 服務鏈接的角色。此角色會授與位置所需的讀取/寫入權限。您也可以使用自訂角色來註冊位置，前提是該位置符合中的要求用於註冊地點的角色需求。

重要

如果您使用 AWS 受管金鑰 (aws/s3) 來加密 Amazon S3 位置，則無法使用 Lake Formation 服務連結角色。您必須使用自訂角色，並將金鑰的IAM權限新增至角色。本節稍後將提供詳細資訊。

下列程序說明如何註冊使用客戶受管金鑰或加密的 Amazon S3 位置 AWS 受管金鑰。

註冊使用客戶管理金鑰加密的位置
註冊一個加密的位置 AWS 受管金鑰

開始之前

檢閱用來註冊位置之角色的需求。

註冊使用客戶受管金鑰加密的 Amazon S3 位置

注意

如果KMS金鑰或 Amazon S3 位置與資料目錄不在相同的 AWS 帳戶中，請跨 AWS 帳戶註冊加密的 Amazon S3 位置改為遵循中的指示。

在 https://console.aws.amazon.com/kms 開啟 AWS KMS 主控台，然後以 AWS Identity and Access Management (IAM) 管理使用者身分登入，或以可修改用於加密位置之金鑰的KMS金鑰原則的使用者身分登入。
在瀏覽窗格中，選擇 [客戶管理的金鑰]，然後選擇所需金KMS鑰的名稱。
在KMS重要詳細資料頁面上，選擇 [金鑰原則] 索引標籤，然後執行下列其中一項動作，將您的自訂角色或 Lake Formation 服務連結角色新增為KMS關鍵使用者：
- 如果顯示預設檢視 (包含金鑰管理員、金鑰刪除、金鑰使用者和其他 AWS 帳戶區段) — 在 [關鍵使用者] 區段下，新增您的自訂角色或 Lake Formation 服務連結角色AWSServiceRoleForLakeFormationDataAccess。
- 如果金鑰原則 (JSON) 顯示 — 編輯原則，將您的自訂角色或 Lake Formation 服務連結角色新增AWSServiceRoleForLakeFormationDataAccess至「允許使用金鑰」物件，如下列範例所示。
  
  注意
  如果該物件遺失，請使用範例中顯示的權限來新增該物件。此範例使用服務連結角色。
```
        ...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
                    "arn:aws:iam::111122223333:user/keyuser"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...
```
在開啟 AWS Lake Formation 主控台https://console.aws.amazon.com/lakeformation/。以資料湖管理員身分登入，或以具有lakeformation:RegisterResourceIAM權限的使用者身分登入。
在導覽窗格中的 [註冊並擷取] 下，選擇 [資料湖位置]。
選擇 [註冊位置]，然後選擇 [瀏覽] 以選取 Amazon Simple Storage Service (Amazon S3) 路徑。
(選用，但強烈建議使用) 選擇檢閱位置許可以檢視所選 Amazon S3 位置中所有現有資源及其許可的清單。

註冊選定的位置可能會導致您的 Lake Formation 用戶獲得對該位置已存在的數據的訪問權限。檢視此清單可協助您確保現有資料保持安全。
對於IAM角色，請選擇AWSServiceRoleForLakeFormationDataAccess服務連結角色 (預設) 或符合用於註冊地點的角色需求.
選擇註冊地點。

如需服務連結角色的詳細資訊，請參閱Lake Formation 的服務連結角色權限。

若要註冊使用加密的 Amazon S3 位置 AWS 受管金鑰

重要

如果 Amazon S3 位置與資料目錄不在相同的 AWS 帳戶中，請跨 AWS 帳戶註冊加密的 Amazon S3 位置改為遵循中的指示。

建立IAM用於註冊位置的角色。請確定其符合中列出的需求用於註冊地點的角色需求。
將下列內嵌原則新增至角色。它會授與角色金鑰的權限。Resource規格必須指定的 Amazon 資源名稱 (ARN) 的 AWS 受管金鑰. 您可以ARN從主 AWS KMS 控台取得。若要取得正確的資訊ARN，請確定您使用與用來加密位置的 AWS 帳戶和 [區域] 相同的 AWS 受管金鑰帳戶和 [區域] 登入 AWS KMS 主控台。
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "<AWS 受管金鑰 ARN>"
    }
  ]
}
```
在開啟 AWS Lake Formation 主控台https://console.aws.amazon.com/lakeformation/。以資料湖管理員身分登入，或以具有lakeformation:RegisterResourceIAM權限的使用者身分登入。
在導覽窗格中的 [註冊並擷取] 下，選擇 [資料湖位置]。
選擇 [註冊位置]，然後選擇 [瀏覽] 以選取 Amazon S3 路徑。
(選用，但強烈建議使用) 選擇檢閱位置許可以檢視所選 Amazon S3 位置中所有現有資源及其許可的清單。

註冊選定的位置可能會導致您的 Lake Formation 用戶獲得對該位置已存在的數據的訪問權限。檢視此清單可協助您確保現有資料保持安全。
對於IAM角色，請選擇您在步驟 1 中建立的角色。
選擇註冊地點。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

註冊 Amazon S3 位置

在另一個 AWS 帳戶中註冊 Amazon S3 位置