对 DataBrew 作业写入的数据进行加密
DataBrew 作业可以写入加密的 Amazon S3 目标和加密的 Amazon CloudWatch Logs。
将 DataBrew 设置为使用加密
可按照以下过程将 DataBrew 环境设置为使用加密。
将 DataBrew 环境设置为使用加密
-
创建或更新您的 Amazon KMS 密钥,以向传递给 DataBrew 作业的 Amazon Identity and Access Management(IAM)角色授予 Amazon KMS 权限。这些 IAM 角色可用于加密 CloudWatch Logs 和 Amazon S3 目标。有关更多信息,请参阅《Amazon CloudWatch Logs 用户指南》中的使用 Amazon KMS 加密 CloudWatch Logs 中的日志数据。
在以下示例中,
"role1""role2""role3"{ "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }如果您使用此密钥加密 CloudWatch Logs,则需要
Service语句(显示为"Service": "logs.)。region.amazonaws.com" -
确保 Amazon KMS 密钥在使用前已设置为
ENABLED。
有关使用 Amazon KMS 密钥策略指定权限的更多信息,请参阅使用 Amazon KMS 中的密钥策略。
为 VPC 作业创建到 Amazon KMS 的路由
您可以通过 Virtual Private Cloud (VPC) 中的私有端点直接连接到 Amazon KMS,而不是通过互联网连接。当您使用 VPC 端点时,您的 VPC 和 Amazon KMS 之间的通信完全在 Amazon 网络内进行。
您可以在 VPC 中创建 Amazon KMS VPC 端点。如果不执行此步骤,您的 DataBrew 作业可能会失败,并显示为 kms timeout。有关详细说明,请参阅 Amazon Key Management Service 开发人员指南中的通过 VPC 端点连接到 Amazon KMS。
当您按照这些说明操作时,请务必在 VPC 控制台
选择启用私有 DNS 名称。
在安全组中,选择安全组(包括自引用规则),此安全组将用于访问 Java 数据库连接(JDBC)的 DataBrew 作业。
当您运行访问 JDBC 数据存储的 DataBrew 作业时,DataBrew 必须具有到 Amazon KMS 端点的路由。您可以使用网络地址转换 (NAT) 网关或 Amazon KMS VPC 端点提供路由。要创建 NAT 网关,请参阅 Amazon VPC 用户指南中的 NAT 网关。
使用 Amazon KMS 密钥设置加密
当您对作业进行加密时,它会同时应用于 Amazon S3 和 CloudWatch。传递的 IAM 角色必须具有以下 Amazon KMS 权限。
有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的以下主题:
-
有关
SSE-S3的更多信息,请参阅使用具有 Amazon S3 托管加密密钥 (SSE-S3) 的服务器端加密 (SSE-S3) 保护数据。 -
有关
SSE-KMS的更多信息,请参阅使用具有 Amazon KMS 托管密钥的服务器端加密(SSE-KMS)保护数据。