使用 S3A 的 Amazon S3 客户端加密 - Amazon EMR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 S3A 的 Amazon S3 客户端加密

从 Amazon Elastic Map Reduce (EMR) 发行版 7.6.0 开始,S3A 文件系统连接器现在支持 Amazon S3 客户端加密。这意味着 Amazon S3 数据的加密和解密直接在您的计算集群上的 S3A 客户端内进行。使用此功能时,文件在上传到 Amazon S3 之前会自动加密,并在下载时解密。有关加密方法及其实现的全面详细信息,用户可以参阅《Amazon Simple Storage Service 用户指南》中的使用客户端加密保护数据部分。

在 Amazon EMR 中使用具有 S3A 的客户端加密 (CSE) 时,您有两个密钥管理系统选项:

  • CSE-KMS – 此方法利用配置了专门为 Amazon EMR 设计的策略的 Amazon Key Management Service (KMS) 密钥。有关密钥要求的详细信息,请参阅使用 Amazon KMS 密钥进行加密文档。

  • CSE-CUSTOM – 此方法允许您集成一个自定义 Java 类,该类提供负责加密和解密数据的客户端根密钥。

注意

EMR 中的 S3A 客户端加密本质上与 EMRFS 客户端加密兼容,这意味着使用 EMRFS CSE 加密的对象可以通过 S3A CSE 读取。

主题