本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加密作业写入的数据 DataBrew
DataBrew 任务可以写入加密的 Amazon S3 目标和加密的 Amazon CloudWatch 日志。
设置 DataBrew 为使用加密
按照以下步骤将您的 DataBrew 环境设置为使用加密。
将您的 DataBrew 环境设置为使用加密
-
创建或更新您的 Amazon KMS 密钥以向传递给 DataBrew 任务的 Amazon Identity and Access Management (IAM) 角色 Amazon KMS 授予权限。这些 IAM 角色用于加密 CloudWatch 日志和 Amazon S3 目标。有关更多信息,请参阅 Amazon Lo CloudWatch gs 用户指南 Amazon KMS中的使用加密 CloudWatch 日志数据。
在以下示例中,
"role1""role2""role3"{ "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }如果您使用密钥对 CloudWatch 日志进行加密
"Service": "logs.,则必须使用该region.amazonaws.com"Service语句(如所示)。 -
确保在使用 Amazon KMS 密钥
ENABLED之前将其设置为。
有关使用 Amazon KMS 密钥策略指定权限的更多信息,请参阅中的使用密钥策略 Amazon KMS。
为 VPC 任务创建通往 Amazon KMS 的路由
您可以通过 Virtual Private Cloud (VPC) 中的私有终端节点直接连接到 Amazon KMS ,而不是通过互联网连接。当您使用 VPC 终端节点时,您 Amazon KMS 的 VPC 和 VPC 之间的通信完全在 Amazon 网络内进行。
您可以在 Amazon KMS VPC 内创建 VPC 终端节点。如果不执行此步骤,您的 DataBrew 作业可能会失败kms timeout。有关详细说明,请参阅《Amazon Key Management Service 开发人员指南》中的 “Amazon KMS 通过 VPC 终端节点连接”。
按照这些说明进行操作时,请务必在 VPC 控制台
选择启用私有 DNS 名称。
对于安全组,选择用于访问 Java 数据库连接 (JDBC) 的 DataBrew 作业的安全组(包括自引用规则)。
运行访问 JDBC 数据存储的 DataBrew 作业时, DataBrew 必须有通往终端节点的路由。 Amazon KMS 您可以为路由提供网络地址转换 (NAT) 网关或 Amazon KMS VPC 终端节点。要创建 NAT 网关,请参阅 Amazon VPC 用户指南中的 NAT 网关。
使用 Amazon KMS 密钥设置加密
当您对任务启用加密时,它会同时适用于 Amazon S3 和 CloudWatch。传递的 IAM 角色必须具有以下 Amazon KMS 权限。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:GenerateDataKey*" ], "Resource": "arn:aws:kms:region:account-id:key/key-id" } }
有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的以下主题:
-
有关
SSE-S3的更多信息,请参阅使用具有 Amazon S3 托管加密密钥 (SSE-S3) 的服务器端加密 (SSE-S3) 保护数据。 -
有关信息
SSE-KMS,请参阅使用 KMS Amazon 托管密钥的服务器端加密 (SSE-KMS) 保护数据。