¿Cómo creo un clúster de EMR con cifrado de volúmenes de EBS?

Descripción breve

El cifrado de Amazon EBS se integra con AWS KMS para proporcionar las claves de cifrado que protegen sus datos. A partir de la versión 5.24.0 de Amazon EMR, puede optar por activar el cifrado de EBS. La opción de cifrado de EBS cifra el volumen del dispositivo raíz de EBS y los volúmenes de almacenamiento adjuntos. Para conocer las consideraciones y limitaciones, consulte Local disk encryption (Cifrado de disco local).

Hay dos opciones para cifrar los volúmenes de EBS en su clúster de EMR:

• Active el cifrado de forma predeterminada para los volúmenes de EBS de nivel de cuenta.
• Cree una clave de KMS y una configuración de seguridad de Amazon EMR para cifrar los volúmenes de EBS en un clúster de EMR específico.

Resolución

Activar el cifrado de forma predeterminada para los volúmenes de EBS de nivel de cuenta

Para más información, consulte Cifrado de forma predeterminada.

Crear una clave de KMS y una configuración de seguridad de Amazon EMR para cifrar los volúmenes de EBS en un clúster de EMR específico

Para usar esta opción, haga lo siguiente:

1. Cree una clave de KMS.
2. Cree y defina la configuración de seguridad de Amazon EMR.
3. Aprovisione un clúster de EMR con la configuración de seguridad.

Paso 1: crear una clave de KMS

Si no tiene una clave de KMS lista para este propósito, haga lo siguiente para crear la clave:

1. Abra la consola de AWS KMS.
2. Para cambiar la región de AWS, utilice el selector de regiones situado en la esquina superior derecha de la página.
3. En el panel de navegación, elija Customer managed keys (Claves administradas por el cliente).
4. Elija Create key (Crear clave).
5. Para crear una clave de KMS de cifrado simétrica, en Key type (Tipo de clave), elija Symmetric (Simétrica).
6. En Key usage (Uso de claves), la opción Encrypt and decrypt (Cifrar y descifrar) está seleccionada por defecto.
7. Elija Next (Siguiente).
8. Ingrese un alias para la clave.
9. Elija Next (Siguiente).
10. Elija el administrador de claves.
11. Elija Next (Siguiente).
12. Seleccione el rol de servicio Amazon EMR. El rol predeterminado es EMR_DefaultRole.
13. Seleccione el rol de perfil de instancia de Amazon Elastic Compute Cloud (Amazon EC2). El rol predeterminado para el perfil de instancia es EMR_EC2_DefaultRole.
14. Elija Next (Siguiente).
15. Elija Finish (Finalizar).

Si utiliza un rol de servicio de Amazon EMR personalizado, agregue la siguiente política al rol antes de aprovisionar el clúster de EMR.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant",
            "kms:ListGrants"
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
        ]
    }]
}

Paso 2: crear y definir la configuración de seguridad de Amazon EMR

1. Abra la consola de Amazon EMR.
2. Elija Security configurations (Configuraciones de seguridad).
3. Elija Create (Crear).
4. En Local disk encryption (Cifrado de disco local), seleccione Enable at-rest encryption for local disks (Habilitar el cifrado en reposo para discos locales).
5. En Key provider type (Tipo de proveedor clave), elija AWS KMS.
6. En AWS KMS customer master key (Clave maestra de cliente de AWS KMS), elija el ARN de su clave de KMS.
7. Seleccione Encrypt EBS volumes with EBS encryption (Cifrar volúmenes de EBS con cifrado de EBS).
8. Elija Create (Crear).

Paso 3: aprovisionar un clúster de EMR con la configuración de seguridad

Si crea su clúster de EMR mediante la consola de EMR, en Step 4: Security (Paso 4: seguridad), elija la configuración de seguridad que acaba de crear.

Si crea clústeres de EMR con otros métodos, especifique la configuración de seguridad mediante la configuración que acaba de crear.