本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 AWS Glue 控制台上处理安全配置
A安全性配置包含编写加密数据时所需的属性。您在 AWS Glue 控制台上创建安全配置,以提供由爬网程序、作业和开发终端节点使用的加密属性。
要查看您创建的所有安全配置的列表,请在https://console.aws.amazon.com/glue/
Security configurations (安全配置) 列表显示有关每个配置的以下属性:
- 名称
-
在创建配置时提供的唯一名称。
- S3 加密模式
-
如果启用,Amazon Simple Storage Service (Amazon S3) 加密模式(例如
SSE-KMS或者SSE-S3。 - CloudWatch 日志加密模式
-
如果启用,Amazon S3 加密模式(例如
SSE-KMS。 - 任务书签加密模式
-
如果启用,Amazon S3 加密模式(例如
CSE-KMS。 - 创建日期
-
创建配置的日期和时间 (UTC)。
您可以在控制台上的 Security configurations (安全配置) 部分中添加或删除配置。要查看配置的详细信息,请在列表中选择配置名称。详细信息包括您在创建配置时定义的信息。
添加安全配置
要使用 AWS Glue 控制台添加安全配置,请在安全配置页面上,选择添加安全性配置。此向导将引导您设置所需的属性。
要在 AWS Glue 控制台上使用 AWS KMS 密钥管理服务 (AWS KMS) 密钥对数据和元数据加密,请向控制台用户添加一个策略。此策略必须将允许的资源指定为用于对 Amazon S3 数据存储进行加密的密钥 Amazon 资源名称 (ARN),如以下示例所示。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt"], "Resource": "arn:aws:kms:region:account-id:key/key-id"} }
当安全配置附加到爬网程序或任务时,传递的 IAM 角色必须具有 AWS KMS 权限。有关更多信息,请参阅加密爬网程序、作业和开发终端节点写入的数据。
在定义配置时,您可以为以下属性提供值:
- S3 加密
-
当您写入 Amazon S3 数据时,您可以将服务器端加密与 Amazon S3 托管密钥 (SSE-S3) 结合使用,也可以将服务器端加密与 AWS KMS 托管密钥 (SSE-KMS) 结合使用。此字段为可选项。要允许访问 Amazon S3,请选择 AWS KMS 密钥,或选择输入键 ARN,然后提供键的 ARN。输入
arn:aws:kms:格式的 ARN。您也可以提供密钥别名形式的 ARN,例如region:account-id:key/key-idarn:aws:kms:。region:account-id:alias/alias-name重要 AWS Glue 仅支持对称客户主密钥 (CMK)。这些区域有:AWS KMS 密钥列表仅显示对称密钥。但是,如果选择选择 AWS KMS 密钥 ARN,控制台允许您为任何密钥类型输入 ARN。确保仅为对称密钥输入 ARN。
- CloudWatch Logs 加密
-
服务器端 (SSE-KMS) 加密用于加密 CloudWatch Logs。此字段为可选项。要将其打开,请选择 AWS KMS 密钥,或选择输入键 ARN,然后提供键的 ARN。输入
arn:aws:kms:格式的 ARN。您也可以提供密钥别名形式的 ARN,例如region:account-id:key/key-idarn:aws:kms:。region:account-id:alias/alias-name - 任务书签加密
-
客户端 (CSE-KMS) 加密用于加密作业书签。此字段为可选项。书签数据先进行加密,然后再发送到 Amazon S3 进行存储。要将其打开,请选择 AWS KMS 密钥,或选择输入键 ARN,然后提供键的 ARN。输入
arn:aws:kms:格式的 ARN。您也可以提供密钥别名形式的 ARN,例如region:account-id:key/key-idarn:aws:kms:。region:account-id:alias/alias-name
有关详细信息,请参阅中的以下主题。Amazon Simple Storage Service 开发人员指南:
-
有关
SSE-S3的更多信息,请参阅使用具有 Amazon S3 托管加密密钥 (SSE-S3) 的服务器端加密 (SSE-S3) 保护数据。 -
有关
SSE-KMS的更多信息,请参阅使用具有 AWS KMS 托管密钥的服务器端加密 (SSE-KMS) 保护数据。 -
有关
CSE-KMS的更多信息,请参阅使用 AWS KMS 托管客户主密钥 (CMK)。