ENCRYPT - Amazon Glue DataBrew
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

ENCRYPT

使用 Amazon Encryption SDK 对源列中的值进行加密。DECRYPT 转换可用于在内部进行解密。 DataBrew您也可以 DataBrew 使用Amazon加密 SDK 在外部解密数据。

ENCRYPT 转换每个单元格最多可以加密 128 MiB。它将在解密时尝试保留格式。要保留数据类型,数据类型元数据必须序列化为小于 1 KB。否则,您必须将 preserveDataType 参数设置为 false。数据类型元数据将以纯文本形式存储在加密环境中。有关加密上下文的更多信息,请参阅《Amazon Key Management Service开发人员指南》中的加密上下文

Parameters

  • sourceColumns:现有列的数组。

  • kmsKeyArn— 用于加密源列的Amazon密钥管理服务密钥的密钥 ARN。有关密钥 ARN 的更多信息,请参阅《Amazon Key Management Service开发人员指南》中的密钥 ARN

  • entityTypeFilter:可选的实体类型数组。可仅用于加密自由文本列中检测到的 PII。

  • preserveDataType – 可选布尔值。默认值为 true。如果为 false,则不会存储数据类型。

在以下示例中,entityTypeFilterpreserveDataType 是可选的。

示例

{
    "sourceColumns": ["phonenumber"],
    "kmsKeyArn": "arn:aws:kms:us-east-1:012345678901:key/kms-key-id",
    "entityTypeFilter": ["USA_ALL"],
    "preserveDataType": "true"
}

在交互式体验中工作时,除了项目的角色外,控制台用户还必须对提供的Amazon KMS密钥拥有 kms:GenerateDataKey 权限。

政策示例:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678901:key/kms-key-id"
        ]
    }
  ]
}