# 加密静态数据
<a name="encryption-at-rest"></a>

Amazon Glue 支持 [构建可视化 ETL 作业](author-job-glue.md) 和 [使用开发终端节点来开发脚本](dev-endpoint.md) 的静态数据加密。您可以配置提取、转换和加载（ETL）任务和开发终端节点，以使用 [Amazon Key Management Service（Amazon KMS）](https://www.amazonaws.cn/kms/)密钥写入加密的静态数据。您也可以使用您通过 Amazon KMS 管理的密钥加密存储在 [Amazon Glue Data Catalog](components-overview.md#data-catalog-intro) 中的元数据。此外，您可以使用 Amazon KMS 密钥来加密作业书签以及[爬网程序](https://docs.amazonaws.cn/glue/latest/dg/add-crawler.html)和 ETL 作业生成的日志。

您可以加密 Amazon Glue Data Catalog 中的元数据对象，以及由任务、爬网程序和开发终端节点写入 Amazon Simple Storage Service（Amazon S3）和 Amazon CloudWatch Logs 的数据。当您在 Amazon Glue 中创建任务、爬网程序和开发终端节点时，您可以通过附加安全配置来提供加密设置。安全配置包含 Amazon S3 托管的服务器端加密密钥（SSE-S3）或存储在 Amazon KMS 中的客户主密钥（CMK）（SSE-KMS）。您可以使用 Amazon Glue 控制台创建安全配置。

您也可以在账户中启用整个数据目录的加密。您可以通过指定存储在 Amazon KMS 中的 CMK 来执行此操作。

**重要**  
Amazon Glue 仅支持对称客户管理型密钥。有关更多信息，请参阅《Amazon Key Management Service 开发人员指南》中的 [Customer Managed Keys (CMKs)](https://docs.amazonaws.cn/kms/latest/developerguide/concepts.html#master_keys)**。  


启用加密后，当您添加数据目录对象时，运行爬网程序、运行任务或启动开发终端节点时，SSE-S3 或 SSE-KMS 密钥用于写入静态数据。此外，您可以将 Amazon Glue 配置为仅通过受信任的传输层安全性 (TLS) 协议访问 Java 数据库连接 (JDBC) 数据存储。

在 Amazon Glue 中，您可以在以下位置控制加密设置：
+ 数据目录的设置。
+ 您创建的安全配置。
+ 作为参数传递给 Amazon Glue ETL（提取、转换和加载）任务的服务器端加密设置（SSE-S3 或 SSE-KMS）。

有关如何设置加密的更多信息，请参阅 [在 Amazon Glue 中设置加密](set-up-encryption.md)。

**Topics**
+ [加密数据目录](encrypt-glue-data-catalog.md)
+ [加密连接密码](encrypt-connection-passwords.md)
+ [加密 Amazon Glue 写入的数据](encryption-security-configuration.md)