屏蔽敏感数据 - Amazon EMR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

屏蔽敏感数据

您可以使用注释 EMR.mask@ 将敏感数据配置为永远不会通过任何 Amazon EMR API 公开。此注释表示键值对包含敏感信息,并在通过外部 API 返回配置时将该值替换为占位符 ********。这种替换补充并扩展了 Amazon EMR 现有的敏感字段替换功能。当检测到已知敏感字段时,该替换会选择性地阻止信息泄露。此 EMR.mask@ 注释还为您提供了将任何字段标记为敏感字段的功能,而不是依靠 EMR 来检测自由格式配置中存在的每个可能的敏感字段。您可以使用此注释来掩盖任何应用程序的配置。

下面是将字段配置为敏感字段的示例:

{ "Classification": "core-site", "Properties": { "presto.s3.access-key": "<sensitive-access-key>", "EMR.mask@presto.s3.secret-key": "<my-secret-key>" } }

在创建集群时,提交注释的配置后,Amazon EMR 会验证配置属性。目前,EMR 只能将 EMR.mask@ 识别注释为有效。如果您的配置有效,Amazon EMR 将从配置中删除注释以创建实际配置,然后再将其应用于群集:

{ "Classification": "core-site", "Properties": { "presto.s3.access-key": "<sensitive-access-key>", "presto.s3.secret-key": "<my-secret-key>" } }

当您调用类似 DescribeCluster 的操作时,Amazon EMR 将返回群集上的当前应用程序配置。如果应用程序配置属性被敏感注释屏蔽,则 DepDescribeCluster 调用返回的应用程序配置将被编辑:

{ "Classification": "core-site", "Properties": { "presto.s3.access-key": "<sensitive-access-key>", "EMR.mask@presto.s3.secret-key": "********" } }