Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verschlüsselung von EMR Studio Workspace-Notizbüchern und -Dateien
<a name="emr-studio-workspace-storage-encryption"></a>

In EMR Studio können Sie verschiedene Arbeitsbereiche erstellen und konfigurieren, um Notizbücher zu organisieren und auszuführen. In diesen Arbeitsbereichen werden Notizbücher und zugehörige Dateien in Ihrem angegebenen Amazon S3 S3-Bucket gespeichert. Standardmäßig werden diese Dateien mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) mit serverseitiger Verschlüsselung als Basisverschlüsselungsebene verschlüsselt. Sie können sich auch dafür entscheiden, Ihre Dateien mit kundenverwalteten KMS-Schlüsseln (SSE-KMS) zu verschlüsseln. Sie können dies tun, indem Sie die Amazon EMR-Managementkonsole oder das AWS CLI AWS UND-SDK verwenden, wenn Sie ein EMR Studio erstellen.

Die EMR Studio-Workspace-Speicherverschlüsselung ist in allen [Regionen](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-considerations.html#emr-studio-considerations-general) verfügbar, in denen EMR Studio verfügbar ist.

## Voraussetzungen
<a name="emr-studio-workspace-storage-encryption-prereqs"></a>

Bevor Sie das EMR Studio-Workspace-Notizbuch und die Dateien verschlüsseln können, müssen Sie [einen symmetrischen Kundenmanager-Schlüssel (CMK) in derselben AWS-Konto Region wie Ihr EMR Studio erstellen](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk). AWS Key Management Service 

 Ihre Ressourcenrichtlinie AWS KMS muss über die erforderlichen Zugriffsberechtigungen für die Servicerolle Ihres EMR Studio verfügen. Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie, die Mindestzugriffsberechtigungen für die EMR Studio Workspace-Speicherverschlüsselung gewährt: 

```
{
    "Sid": "AllowEMRStudioServiceRoleAccess",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>"
    },
    "Action": [
        "kms:Decrypt", 
        "kms:GenerateDataKey", 
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "<ACCOUNT_ID>",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::<S3_BUCKET_NAME>",
            "kms:ViaService": "s3.<AWS_REGION>.amazonaws.com"
        }
    }
}
```

Ihre EMR Studio-Servicerolle muss auch über die Zugriffsberechtigungen verfügen, um Ihren AWS KMS Schlüssel verwenden zu können. Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie, die die Mindestzugriffsberechtigungen für die EMR Studio Workspace-Speicherverschlüsselung gewährt:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowEMRStudioWorkspaceStorageEncryptionAccess",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:DescribeKey"
      ],
      "Resource": [
        "arn:aws:kms:*:123456789012:key/12345678-1234-1234-1234-123456789012"
      ]
    }
  ]
}
```

------

## Neues EMR Studio erstellen
<a name="emr-studio-workspace-storage-encryption-setup"></a>

Gehen Sie wie folgt vor, um ein neues EMR Studio zu erstellen, das Workspace Storage Encryption verwendet.

1. Öffnen Sie die Amazon-EMR-Konsole unter [https://console.aws.amazon.com/elasticmapreduce/](https://console.aws.amazon.com/elasticmapreduce/).

1. Wählen Sie **Studios** und anschließend **Create Studio** aus.

1. Geben Sie für **S3-Speicherort einen Amazon S3 S3-Pfad** ein oder wählen Sie ihn aus. Dies ist der Amazon S3 S3-Speicherort, an dem Amazon EMR Workspace-Notizbücher und -Dateien speichert.

1. Geben Sie **unter Servicerolle eine IAM-Rolle** ein, oder wählen Sie sie aus. Dies ist die IAM-Rolle, die Amazon EMR übernimmt.

1. Wählen Sie **Workspace-Dateien mit Ihrem eigenen Schlüssel verschlüsseln**. AWS KMS 

1. Geben Sie einen AWS KMS Schlüssel ein, der zum Verschlüsseln von Workspace-Notizbüchern und -Dateien in Amazon S3 verwendet werden soll, oder wählen Sie einen aus.

1. Wählen Sie **Create Studio** oder **Create Studio and Launch Workspaces**.

1. Wählen Sie **Workspace-Dateien mit Ihrem eigenen AWS KMS Schlüssel verschlüsseln**.

1. Geben Sie eine ein AWS KMS , die zum Verschlüsseln von Workspace-Notizbüchern und -Dateien in Amazon S3 verwendet werden soll, oder wählen Sie eine aus.

1. Wählen Sie **Save Changes**.

Die folgenden Schritte zeigen, wie Sie ein EMR Studio aktualisieren und die Workspace-Speicherverschlüsselung einrichten.

1. Öffnen Sie die Amazon-EMR-Konsole unter [https://console.aws.amazon.com/elasticmapreduce/](https://console.aws.amazon.com/elasticmapreduce/).

1. Wählen Sie **ein vorhandenes EMR Studio aus der Liste** aus und klicken Sie dann auf **Bearbeiten**.

1. Wählen Sie **Workspace-Dateien mit Ihrem eigenen AWS KMS Schlüssel verschlüsseln**.

1. Geben Sie eine ein AWS KMS , die zum Verschlüsseln von Workspace-Notizbüchern und -Dateien in Amazon S3 verwendet werden soll, oder wählen Sie eine aus.

1. Wählen Sie **Save Changes**.