本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对写入的数据进行加密DataBrew工作
DataBrew任务可以写入加密的 Amazon S3 目标和加密的亚马逊CloudWatch日志。
设置DataBrew使用加密
请按照以下步骤设置您的DataBrew使用加密的环境。
要设置你的DataBrew使用加密的环境
-
创建或更新您的Amazon要提供的 KMS 密钥Amazon KMS的权限Amazon Identity and Access Management传递给的 (IAM) 角色DataBrew工作。这些 IAM 角色用于加密CloudWatch日志和亚马逊 S3 目标。有关更多信息,请参见加密日志数据CloudWatch使用日志Amazon KMS在里面亚马逊CloudWatch日志用户指南。
在以下示例中,
"role1""role2""role3"{ "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }这个
Service语句,显示为"Service": "logs.,如果您使用密钥进行加密,则为必填项CloudWatch日志。region.amazonaws.com" -
确保Amazon KMS密钥设置为
ENABLED在使用之前。
有关使用指定权限的更多信息Amazon KMS关键策略,请参见在中使用关键策略Amazon KMS。
创建通往的路线Amazon KMS用于 VPC 作业
您可以通过 Virtual Private Cloud (VPC) 中的私有终端节点直接连接到 Amazon KMS,而不是通过互联网连接。当您使用 VPC 终端节点时,您的 VPC 和 Amazon KMS 之间的通信完全在 Amazon 网络内进行。
您可以在 VPC 中创建 Amazon KMS VPC 终端节点。如果没有这个步骤,你的DataBrew作业可能会失败kms timeout。有关详细说明,请参阅 Amazon Key Management Service 开发人员指南中的通过 VPC 终端节点连接到 Amazon KMS。
当你按照这些说明进行操作时,在VPC 控制台
选择启用私有 DNS 名称。
对于安全组,选择您使用的安全组(包括自引用规则)DataBrew访问 Java 数据库连接 (JDBC) 的作业。
当你运行DataBrew访问 JDBC 数据存储的作业,DataBrew必须有一条通往的路线Amazon KMS端点。您可以使用网络地址转换 (NAT) 网关或 Amazon KMS VPC 终端节点提供路由。要创建 NAT 网关,请参阅 Amazon VPC 用户指南中的 NAT 网关。
使用设置加密AmazonKMS 密钥
当您在任务上启用加密时,它同时适用于 Amazon S3 和CloudWatch。传递的 IAM 角色必须具有以下内容Amazon KMS权限。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:GenerateDataKey*" ], "Resource": "arn:aws:kms:region:account-id:key/key-id" } }
有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的以下主题:
-
有关
SSE-S3的更多信息,请参阅使用具有 Amazon S3 托管加密密钥 (SSE-S3) 的服务器端加密 (SSE-S3) 保护数据。 -
有关以下方面的信息
SSE-KMS,参见使用服务器端加密保护数据AmazonKMS—托管密钥 (SSE-KMS)。