本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 S3A 进行亚马逊 S3 客户端加密
从 Amazon Elastic Map Reduce (EMR) 发行版 7.6.0 开始,S3A 文件系统连接器现在支持 Amazon S3 客户端加密。这意味着 Amazon S3 数据的加密和解密直接在您的计算集群上的 S3A 客户端中进行。使用此功能时,文件在上传到 Amazon S3 之前会自动加密,并在下载时解密。有关加密方法及其实施的全面详情,用户可以参阅《Amazon 简单存储服务用户指南》中的 “使用客户端加密保护数据”。
在 Amazon EMR 中使用 S3A 启用客户端加密 (CSE) 时,您有两个密钥管理系统选项:
CSE-KMS — 此方法使用的 Amazon Key Management Service (KMS) 密钥配置了专为 Amazon EMR 设计的策略。有关密钥要求的详细信息,请参阅使用 Amazon KMS 密钥进行加密文档。
CSE-C USTOM — 此方法允许您集成自定义 Java 类,该类提供负责加密和解密数据的客户端根密钥。
注意
EMR 中的 S3A 客户端加密本质上与 EMRFS 客户端加密兼容,这意味着可以通过 S3A CSE 读取使用 EMRFS CSE 加密的对象。