注册加密 Amazon S3 位置 - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

注册加密 Amazon S3 位置

Lake Formation 与集成 AWS Key Management Service (人AWS KMS),以便更容易地设置其他集成服务来加密和解密数据 Amazon Simple Storage Service (人Amazon S3)位置。

注意

客户管理的客户主密钥(CMK)和AWS管理 CMKs 受支持。不支持客户端加密/解密。

必须指定 AWS Identity and Access Management (人IAM)角色 Amazon S3 位置。对于加密 Amazon S3 位置,则必须在CMK中添加密钥策略,授予角色使用CMK加密和解密数据的权限。

注册地点的最简单方法是使用 Lake Formation 服务链接角色。此角色在位置授予所需权限。您也可以使用自定义角色来注册位置,前提是它符合 用于注册地点的角色要求.

无论你使用哪个角色 Lake Formation 假定此角色在访问 Amazon S3. 由于此假定角色在CMK上具有所需权限,因此您无需向使用提取、转换和加载(ETL)作业或集成服务(例如, Amazon Athena.

按照此过程注册 Amazon S3 位置,如果该位置中的数据是(或将)用在中创建的CMK加密的 AWS KMS.

要注册加密位置

重要

如果CMK或 Amazon S3 位置不同 AWS 帐户作为 Data Catalog,请遵照 注册加密 Amazon S3 AWS帐户之间的位置 而不是。

  1. 打开 AWS KMS consoleat https://console.amazonaws.cn/kms 并以 AWS Identity and Access Management (人IAM)管理用户或作为可以修改用于加密位置的CMK密钥策略的用户。

  2. 在导航窗格中,选择 客户管理密钥,然后选择所需CMK的名称。

  3. 在CMK详细信息页面上,选择 关键政策 选项卡,然后执行以下操作之一添加您的自定义角色或 Lake Formation 服务链接角色作为CMK用户:

    • 如果默认视图显示 (含 关键管理员, 按键删除, 关键用户,和 其他AWS帐户 部分) – 在 关键用户 部分,添加您的自定义角色或 Lake Formation 服务链接角色 AWSServiceRoleForLakeFormationDataAccess.

    • 如果关键政策(JSON)显示 – 编辑策略以添加您的自定义角色或 Lake Formation 服务链接角色 AWSServiceRoleForLakeFormationDataAccess 对象“允许使用密钥”,如以下示例所示。

      注意

      如果缺少该对象,请使用示例中所示的权限添加该对象。该示例使用服务链接的角色。

      ... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
  4. 访问 https://console.amazonaws.cn/lakeformation/,打开 AWS Lake Formation 控制台。以数据湖管理员或用户身份登录, lakeformation:RegisterResource IAM 权限。

  5. 在导航窗格中,位于 注册并拷贝,选择 数据湖位置.

  6. 选择 注册位置,然后选择 浏览 选择一个 Amazon Simple Storage Service (人Amazon S3)路径。

  7. (可选,但强烈建议使用)选择 查看位置权限 以查看所选 Amazon S3 位置及其权限。

    注册选定位置可能导致 Lake Formation 用户访问该位置已经访问的数据。查看此列表有助于确保现有数据保持安全。

  8. 对于 IAM角色,选择 AWSServiceRoleForLakeFormationDataAccess 服务链接角色(默认)或符合 用于注册地点的角色要求.

  9. 选择 注册位置.

有关服务相关角色的更多信息,请参阅适用于 Lake Formation 的服务相关角色权限