本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
注册加密 Amazon S3 位置
Lake Formation 与集成 AWS Key Management Service
客户管理的客户主密钥(CMK)和AWS管理 CMKs 受支持。不支持客户端加密/解密。
必须指定 AWS Identity and Access Management (人IAM)角色 Amazon S3 位置。对于加密 Amazon S3 位置,则必须在CMK中添加密钥策略,授予角色使用CMK加密和解密数据的权限。
注册地点的最简单方法是使用 Lake Formation 服务链接角色。此角色在位置授予所需权限。您也可以使用自定义角色来注册位置,前提是它符合 用于注册地点的角色要求.
无论你使用哪个角色 Lake Formation 假定此角色在访问 Amazon S3. 由于此假定角色在CMK上具有所需权限,因此您无需向使用提取、转换和加载(ETL)作业或集成服务(例如, Amazon Athena.
按照此过程注册 Amazon S3 位置,如果该位置中的数据是(或将)用在中创建的CMK加密的 AWS KMS.
要注册加密位置
如果CMK或 Amazon S3 位置不同 AWS 帐户作为 Data Catalog,请遵照 注册加密 Amazon S3 AWS帐户之间的位置 而不是。
-
打开 AWS KMS consoleat https://console.amazonaws.cn/kms
并以 AWS Identity and Access Management (人IAM)管理用户或作为可以修改用于加密位置的CMK密钥策略的用户。 -
在导航窗格中,选择 客户管理密钥,然后选择所需CMK的名称。
-
在CMK详细信息页面上,选择 关键政策 选项卡,然后执行以下操作之一添加您的自定义角色或 Lake Formation 服务链接角色作为CMK用户:
-
如果默认视图显示 (含 关键管理员, 按键删除, 关键用户,和 其他AWS帐户 部分) – 在 关键用户 部分,添加您的自定义角色或 Lake Formation 服务链接角色
AWSServiceRoleForLakeFormationDataAccess. -
如果关键政策(JSON)显示 – 编辑策略以添加您的自定义角色或 Lake Formation 服务链接角色
AWSServiceRoleForLakeFormationDataAccess对象“允许使用密钥”,如以下示例所示。注意 如果缺少该对象,请使用示例中所示的权限添加该对象。该示例使用服务链接的角色。
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
-
访问 https://console.amazonaws.cn/lakeformation/
,打开 AWS Lake Formation 控制台。以数据湖管理员或用户身份登录, lakeformation:RegisterResourceIAM 权限。 -
在导航窗格中,位于 注册并拷贝,选择 数据湖位置.
-
选择 注册位置,然后选择 浏览 选择一个 Amazon Simple Storage Service (人Amazon S3)路径。
-
(可选,但强烈建议使用)选择 查看位置权限 以查看所选 Amazon S3 位置及其权限。
注册选定位置可能导致 Lake Formation 用户访问该位置已经访问的数据。查看此列表有助于确保现有数据保持安全。
-
对于 IAM角色,选择
AWSServiceRoleForLakeFormationDataAccess服务链接角色(默认)或符合 用于注册地点的角色要求. -
选择 注册位置.
有关服务相关角色的更多信息,请参阅适用于 Lake Formation 的服务相关角色权限。