在 AWS Glue 控制台上处理安全配置 - AWS Glue
添加安全配置
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

在 AWS Glue 控制台上处理安全配置

AWS Glue 中的“安全配置”包含您编写加密数据时所需的属性。您在 AWS Glue 控制台上创建安全配置,以提供由爬网程序、作业和开发终端节点使用的加密属性。

要查看您创建的所有安全配置的列表,请在 https://console.amazonaws.cn/glue/ 中打开 AWS Glue 控制台,然后在导航窗格中选择 Security configurations (安全配置)

Security configurations (安全配置) 列表显示有关每个配置的以下属性:

名称

在创建配置时提供的唯一名称。

S3 加密模式

如果启用,则为 Amazon Simple Storage Service (Amazon S3) 加密模式,如 SSE-KMSSSE-S3

CloudWatch 日志加密模式

如果启用,则为 Amazon S3 加密模式,如 SSE-KMS

任务书签加密模式

如果启用,则为 Amazon S3 加密模式,如 CSE-KMS

创建日期

创建配置的日期和时间 (UTC)。

您可以在控制台上的 Security configurations (安全配置) 部分中添加或删除配置。要查看配置的详细信息,请在列表中选择配置名称。详细信息包括您在创建配置时定义的信息。

添加安全配置

要使用 AWS Glue 控制台添加安全配置,请在 Security configurations (安全配置) 页面上选择 Add security configuration (添加安全配置)。此向导将引导您设置所需的属性。

要在 AWS Glue 控制台上使用 AWS Key Management Service (AWS KMS) 密钥对数据和元数据加密,请向控制台用户添加一个策略。此策略必须将允许的资源指定为用于对 Amazon S3 数据存储进行加密的密钥 Amazon 资源名称 (ARN),如以下示例所示。 

{
"Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt",    
    "kms:Encrypt"],
  "Resource": "arn:aws:kms:region:account-id:key/key-id"}
}
重要

当安全配置附加到爬网程序或作业时,传递的 IAM 角色必须具有 AWS KMS 权限。有关更多信息,请参阅Encrypting Data Written by Crawlers, Jobs, and Development Endpoints

在定义配置时,您可以为以下属性提供值:

S3 加密

当您写入 Amazon S3 数据时,您可以将服务器端加密与 Amazon S3 托管密钥 (SSE-S3) 结合使用,也可以将服务器端加密与 AWS KMS 托管密钥 (SSE-KMS) 结合使用。此字段为可选项。要允许访问 Amazon S3,请选择 AWS KMS 密钥;或者选择输入一个密钥 ARN 并提供密钥的 ARN。输入 arn:aws:kms:region:account-id:key/key-id 格式的 ARN。您也可以提供密钥别名形式的 ARN,例如 arn:aws:kms:region:account-id:alias/alias-name

重要

AWS Glue 仅支持对称客户主密钥 (CMK)。AWS KMS 密钥列表仅显示对称密钥。但是,如果选择 Choose a KMS key ARN (选择 KMS 密钥 ARN),则控制台将允许您输入任何密钥类型的 ARN。确保仅输入对称密钥的 ARN。

CloudWatch Logs 加密

服务器端 (SSE-KMS) 加密用于加密 CloudWatch Logs。此字段为可选项。要启用它,请选择 AWS KMS 密钥;或者选择 Enter a key ARN (输入密钥 ARN) 并提供密钥的 ARN。输入 arn:aws:kms:region:account-id:key/key-id 格式的 ARN。您也可以提供密钥别名形式的 ARN,例如 arn:aws:kms:region:account-id:alias/alias-name

任务书签加密

客户端 (CSE-KMS) 加密用于加密作业书签。此字段为可选项。书签数据先进行加密,然后再发送到 Amazon S3 进行存储。要启用它,请选择 AWS KMS 密钥;或者选择 Enter a key ARN (输入密钥 ARN) 并提供密钥的 ARN。输入 arn:aws:kms:region:account-id:key/key-id 格式的 ARN。您也可以提供密钥别名形式的 ARN,例如 arn:aws:kms:region:account-id:alias/alias-name

有关更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的以下主题: