如何使用 EBS 卷加密创建 EMR 集群?

2 分钟阅读
0

我想在 Amazon EMR 中开启 Amazon Elastic Block Store(Amazon EBS)加密。或者,我想使用 AWS Key Management Service(AWS KMS)密钥来加密挂载到 EMR 集群的 EBS 卷。

简短描述

Amazon EBS 加密与 AWS KMS 集成,提供可保护您数据的加密密钥。从 Amazon EMR 版本 5.24.0 开始,您可以选择启用 EBS 加密。使用 EBS 加密方法可对 EBS 根设备卷和挂载的存储卷进行加密。有关注意事项和限制,请参阅本地磁盘加密

有两种方法可以加密 EMR 集群上的 EBS 卷:

  • 默认情况下,为账户级别的 EBS 卷开启加密。
  • 创建 KMS 密钥和 Amazon EMR 安全配置,以加密特定 EMR 集群的 EBS 卷。

解决方法

默认情况下,为账户级别的 EBS 卷开启加密

有关更多信息,请参阅默认加密

创建 KMS 密钥和 Amazon EMR 安全配置,以加密特定 EMR 集群的 EBS 卷

要使用此选项,请执行以下操作:

  1. 创建 KMS 密钥。
  2. 创建和配置 Amazon EMR 安全配置。
  3. 使用安全配置预配 EMR 集群。

步骤 1:创建 KMS 密钥

如果您没有用于此目的的 KMS 密钥,请通过以下操作创建密钥:

  1. 打开 AWS KMS 控制台
  2. 要更改 AWS 区域,请使用页面右上角的 Region selector(区域选择器)。
  3. 在导航窗格中选择 Customer managed keys(客户管理的密钥)。
  4. 选择 Create key(创建密钥)。
  5. 要创建对称加密 KMS 密钥,请为 Key type(密钥类型)选择 Symmetric(对称)。
  6. 对于 Key usage(密钥用法),为您选择了 Encrypt and decrypt(加密和解密)选项。
  7. 选择 Next(下一步)。
  8. 输入密钥的别名。
  9. 选择 Next(下一步)。
  10. 选择 Key administrator(密钥管理员)。
  11. 选择 Next(下一步)。
  12. 选择 Amazon EMR service role(Amazon EMR 服务角色)。默认角色是 EMR_DefaultRole
  13. 选择 Amazon Elastic Compute Cloud(Amazon EC2)实例配置文件角色。实例配置文件的默认角色是 EMR_EC2_DefaultRole
  14. 选择 Next(下一步)。
  15. 选择 Finish(完成)。

如果您使用自定义 Amazon EMR 服务角色,请在配置 EMR 集群之前向该角色添加以下策略。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant",
            "kms:ListGrants"
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
        ]
    }]
}

步骤 2:创建和配置 Amazon EMR 安全配置

  1. 打开 Amazon EMR 控制台
  2. 选择 Security configurations(安全配置)。
  3. 选择 Create(创建)。
  4. Local disk encryption(本地磁盘加密)下,选择 Enable at-rest encryption for local disks(为本地磁盘启用静态加密)。
  5. 对于 Key provider type(密钥提供商类型),选择 AWS KMS
  6. 对于 AWS KMS customer master key(AWS KMS 客户主密钥),选择您的 KMS 密钥的密钥 ARN。
  7. 选择 Encrypt EBS volumes with EBS encryption(使用 EBS 加密来加密 EBS 卷)。
  8. 选择 Create(创建)。

步骤 3:使用安全配置预配 EMR 集群

如果您使用 EMR 控制台创建 EMR 集群,则在步骤 4:安全中,选择刚才创建的安全配置。

通过其他方法创建 EMR 集群时,请使用刚才创建的配置来指定安全配置。


AWS 官方
AWS 官方已更新 1 年前