Consideraciones Permisos de IAM necesarios Supervisión de la interacción de Amazon EMR WAL con AWS KMS

Cifrado en reposo con una clave de KMS del cliente para el servicio EMR WAL

Los registros de escritura anticipada (WAL) de EMR proporcionan soporte clave de KMS al cliente. encryption-at-rest A continuación, se presenta una descripción general de cómo Amazon EMR WAL se integra con AWS KMS:

Los registros de escritura anticipada (WAL) de EMR interactúan AWS durante las siguientes operaciones:CreateWAL,,,,, AppendEdit ArchiveWALCheckPoint CompleteWALFlush DeleteWAL GetCurrentWALTimeReplayEdits, de forma EMR_EC2_DefaultRole predeterminada. Cuando se TrimWAL invoca alguna de las operaciones anteriores de la lista, la WAL de EMR realiza Decrypt y contra la clave KMS. GenerateDataKey

Consideraciones

Tenga en cuenta lo siguiente cuando utilice el cifrado AWS KMS basado para EMR WAL:

La configuración de cifrado no puede modificarse después de crear un EMR WAL.
Cuando utilice cifrado con KMS mediante su propia clave de KMS, esa clave debe existir en la misma región que su clúster de Amazon EMR.
Usted es responsable de mantener todos los permisos de IAM necesarios; se recomienda no revocar estos permisos mientras el WAL esté activo. De lo contrario, pueden producirse fallas inesperadas, como la imposibilidad de eliminar un EMR WAL cuando la clave de cifrado asociada ya no existe.
El uso de AWS KMS claves conlleva un coste. Para obtener más información, consulte Precios de AWS Key Management Service.

Permisos de IAM necesarios

Para usar su clave de KMS y cifrar EMR WAL en reposo, asegúrese de otorgar los permisos adecuados al rol del cliente de EMR WAL y al emrwal.amazonaws.com de la entidad principal de servicio de EMR WAL.

Permisos para el rol del cliente de EMR WAL

La siguiente es la política de IAM necesaria para el rol del cliente de EMR WAL:

El cliente de EMR WAL en el clúster EMR usa EMR_EC2_DefaultRole de manera predeterminada. Si utiliza un rol diferente para el perfil de instancia en el clúster EMR, asegúrese de que cada rol incluya los permisos adecuados.

Para obtener más información sobre la administración de políticas de roles, consulte Adición y eliminación de permisos de identidad de IAM.

Permisos para la política de claves de KMS

Debe otorgar al rol del cliente de EMR WAL y al servicio de EMR WAL los permisos de Decrypt y GenerateDataKey* en su política de KMS. Para obtener más información sobre la administración de políticas de claves, consulte Política de claves de KMS.

El rol especificado en el fragmento puede cambiar si usted modifica el rol predeterminado.

Supervisión de la interacción de Amazon EMR WAL con AWS KMS

Contexto de cifrado de Amazon EMR WAL

Un contexto de cifrado es un conjunto de pares de clave-valor que contiene datos no secretos arbitrarios. Cuando incluye un contexto de cifrado en una solicitud de cifrado de datos, vincula AWS KMS criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.

En sus solicitudes GenerateDataKeyy en las de Decrypt AWS KMS, Amazon EMR WAL utiliza un contexto de cifrado con un par nombre-valor que identifican el nombre WAL de EMR.


"encryptionContext": {
    "aws:emrwal:walname": "111222333444555-testworkspace-emrwalclustertest-emrwaltestwalname"
}

Puede usar el contexto de cifrado para identificar estas operaciones criptográficas en registros y registros de auditoría, como AWS CloudTrail Amazon CloudWatch Logs, y como condición para la autorización en políticas y concesiones.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Opciones de cifrado para Amazon EMR

Creación de claves y certificados para el cifrado de datos con Amazon EMR