張貼日期: Jul 7, 2020
Amazon EMR 現在支援 AWS Key Management Service (KMS) 客戶受管 CMK 將儲存在 Amazon S3 中的日誌檔加密。在 EMR 叢集上啟用記錄和偵錯時,Amazon EMR 會自動將日誌檔上傳到 Amazon S3。現在 Amazon EMR 可在 EMR 叢集啟動時,讓您指定客戶受管 CMK。您即可使用該金鑰保護儲存在 Amazon S3 中的日誌檔,稽核 AWS CloudTrail 日誌中的金鑰使用,更加符合安全和管控的要求。
Amazon EMR 提供多重加密選項,以將靜態和傳輸中的資料加密。先前您只能以 Amazon S3-Managed Key (SSE-S3) 使用伺服器端加密,將寫入 S3 的日誌檔加密。
有此新功能,您可使用客戶受管 CMK 將您的日誌檔加密。客戶受管 CMK 是您在 AWS 帳戶中建立、擁有和管理的 CMK。您可全盤掌控客戶受管 CMK。建立對稱的客戶受管 CMK 時,您可以選擇使用 AWS KMS 產生的金鑰材料 (在自訂金鑰存放區 AWS CloudHSM 叢集中產生),或者匯入您自己的金鑰材料。如果是 AWS KMS 產生的金鑰,您可以為金鑰定義別名和描述,並選擇每年自動輪換一次。您還可以定義該金鑰的所有許可,以控制誰能使用或管理金鑰。
使用客戶受管 CMK 的日誌檔加密在 EMR 5.30 版於提供 EMR 的所有區域皆可使用,請參閱區域表。