Como faço para criar um cluster do EMR com criptografia de volume do EBS?

4 minuto de leitura
0

Quero ativar a criptografia do Amazon Elastic Block Store (Amazon EBS) no Amazon EMR. Como alternativa, quero usar uma chave do AWS Key Management Service (AWS KMS) para criptografar um volume do EBS que está conectado ao meu cluster do EMR.

Breve descrição

A criptografia do Amazon EBS se integra ao AWS KMS para fornecer as chaves de criptografia que protegem seus dados. A partir da versão 5.24.0 do Amazon EMR, você pode optar por ativar a criptografia do EBS. A opção de criptografia do EBS criptografa o volume do dispositivo raiz do EBS e os volumes de armazenamento anexados. Para saber as considerações e limitações, consulte Local disk encryption (Criptografia de disco local).

Existem duas opções para criptografar volumes do EBS em um cluster do EMR:

  • Ative a criptografia por padrão para volumes do EBS no nível da conta.
  • Crie uma chave do KMS e uma configuração de segurança do Amazon EMR para criptografar volumes do EBS para um cluster específico do EMR.

Resolução

Ativar a criptografia por padrão para volumes do EBS no nível da conta

Para obter mais informações, consulte Encryption by default (Criptografia por padrão).

Criar uma chave do KMS e uma configuração de segurança do Amazon EMR para criptografar volumes do EBS para um cluster específico do EMR

Para usar essa opção, faça o seguinte:

  1. Crie uma chave do KMS.
  2. Crie e ajuste a configuração de segurança do Amazon EMR.
  3. Provisione um cluster do EMR com a configuração de segurança.

Etapa 1: criar uma chave do KMS

Se você não tiver uma chave do KMS pronta para essa finalidade, faça o seguinte para criar a chave:

  1. Abra o console do AWS KMS.
  2. Para alterar a região da AWS, use o seletor de região no canto superior direito da página.
  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
  4. Escolha Create key (Criar chave).
  5. Para criar uma chave do KMS de criptografia simétrica, em Key type (Tipo de chave), escolha Symmetric (Simétrica).
  6. Em Key usage (Uso da chave), a opção Encrypt and decrypt (Criptografar e descriptografar) está selecionada para você.
  7. Escolha Next (Avançar).
  8. Insira um alias para a chave.
  9. Escolha Next (Avançar).
  10. Escolha o administrador da chave.
  11. Escolha Next (Avançar).
  12. Selecione o perfil de serviço do Amazon EMR. A função padrão é EMR_DefaultRole.
  13. Selecione a função do perfil de instância do Amazon Elastic Compute Cloud (Amazon EC2). A função padrão para o perfil de instância é EMR_EC2_DefaultRole.
  14. Escolha Next (Avançar).
  15. Escolha Finish (Concluir).

Se você estiver usando um perfil de serviço personalizado do Amazon EMR, adicione a seguinte política ao perfil antes de provisionar o cluster do EMR.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant",
            "kms:ListGrants"
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
        ]
    }]
}

Etapa 2: criar e ajustar a configuração de segurança do Amazon EMR

  1. Abra o console do Amazon EMR.
  2. Escolha Security configurations (Configurações de segurança).
  3. Escolha Create (Criar).
  4. Em Local disk encryption (Criptografia de disco local), escolha Enable at-rest encryption for local disks (Habilitar criptografia em repouso para discos locais).
  5. Em Key provider type (Tipo de provedor de chave), escolha AWS KMS.
  6. Em AWS KMS customer master key (Chave mestra de cliente do AWS KMS), escolha o ARN da chave do KMS.
  7. Selecione Encrypt EBS volumes with EBS encryption (Criptografar volumes do EBS com criptografia do EBS).
  8. Escolha Create (Criar).

Etapa 3: provisionar um cluster do EMR com a configuração de segurança

Se você criar o cluster do EMR usando o console do EMR, na Etapa 4: segurança, escolha a configuração de segurança que você acabou de criar.

Ao criar clusters do EMR por outros métodos, especifique a configuração de segurança usando a configuração que você acabou de criar.


AWS OFICIAL
AWS OFICIALAtualizada há um ano