

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verschlüsselung im Ruhezustand mithilfe eines Kunden-KMS-Schlüssels für den EMR WAL-Service
<a name="encryption-at-rest-kms"></a>

EMR Write-Ahead Logs (WAL) bietet Kunden Unterstützung für die Verschlüsselung von KMS-Schlüsseln im Ruhezustand. Im Folgenden wird detailliert beschrieben, wie Amazon EMR WAL integriert AWS KMS ist:

Die EMR-Write-Ahead-Logs (WAL) interagieren AWS bei den folgenden Vorgängen mit:`CreateWAL`,`AppendEdit`,`ArchiveWALCheckPoint`,,`CompleteWALFlush`, `DeleteWAL` `GetCurrentWALTime``ReplayEdits`, `EMR_EC2_DefaultRole` standardmäßig `TrimWAL` über das. Wenn eine der zuvor aufgelisteten Operationen aufgerufen wird, führt die EMR-WAL `Decrypt` und `GenerateDataKey` gegen den KMS-Schlüssel aus.

## Überlegungen
<a name="encryption-at-rest-considerations"></a>

Beachten Sie Folgendes, wenn Sie die AWS KMS basierte Verschlüsselung für EMR WAL verwenden:
+ Die Verschlüsselungskonfiguration kann nicht geändert werden, nachdem eine EMR-WAL erstellt wurde.
+ Wenn Sie die KMS-Verschlüsselung mit Ihrem eigenen KMS-Schlüssel verwenden, muss der Schlüssel in derselben Region wie Ihr Amazon EMR-Cluster existieren.
+ Sie sind dafür verantwortlich, alle erforderlichen IAM-Berechtigungen aufrechtzuerhalten, und es wird empfohlen, die erforderlichen Berechtigungen während der Laufzeit der WAL nicht zu widerrufen. Andernfalls kann es zu unerwarteten Fehlerszenarien kommen, z. B. wenn EMR WAL nicht gelöscht werden kann, da der zugehörige Verschlüsselungsschlüssel nicht existiert.
+ Die Verwendung von AWS KMS Schlüsseln ist mit Kosten verbunden. Weitere Informationen finden Sie unter [AWS Key Management Service Preise](https://aws.amazon.com/kms/pricing/).

## Erforderliche IAM-Berechtigungen
<a name="encryption-at-rest-required-iam-permissions"></a>

Um Ihren Kunden-KMS-Schlüssel zum Verschlüsseln von EMR WAL im Ruhezustand zu verwenden, müssen Sie sicherstellen, dass Sie die richtigen Berechtigungen für die EMR WAL-Clientrolle und den EMR WAL-Dienstprinzipal festlegen. `emrwal.amazonaws.com`

### Berechtigungen für die EMR WAL-Clientrolle
<a name="encryption-at-rest-permissions-client-role"></a>

Im Folgenden finden Sie die IAM-Richtlinie, die für die EMR-WAL-Clientrolle erforderlich ist:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
      ],
      "Resource": [
        "*"
      ],
      "Sid": "AllowKMSDecrypt"
    }
  ]
}
```

------

Der EMR-WAL-Client auf dem EMR-Cluster wird `EMR_EC2_DefaultRole` standardmäßig verwendet. Wenn Sie eine andere Rolle für das Instanzprofil im EMR-Cluster verwenden, stellen Sie sicher, dass jede Rolle über die entsprechenden Berechtigungen verfügt.

Weitere Informationen zur Verwaltung der Rollenrichtlinie finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).

### Berechtigungen für die KMS-Schlüsselrichtlinie
<a name="encryption-at-rest-permissions-kms-key-policy"></a>

In Ihrer KMS-Richtlinie müssen Sie der EMR-WAL-Clientrolle und dem EMR-WAL-Dienst `Decrypt` und die entsprechenden `GenerateDataKey*` Berechtigungen zuweisen. Weitere Informationen zur Verwaltung von Schlüsselrichtlinien finden Sie unter [KMS-Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
      ],
      "Resource": [
        "arn:aws:kms:*:123456789012:key/*"
      ],
      "Sid": "AllowKMSDecrypt"
    }
  ]
}
```

------

Die im Snippet angegebene Rolle kann sich ändern, wenn Sie die Standardrolle ändern.

## Überwachung der Amazon EMR WAL-Interaktion mit AWS KMS
<a name="encryption-at-rest-monitoring-emr-wal-kms"></a>

### Amazon EMR WAL-Verschlüsselungskontext
<a name="encryption-at-rest-encryption-context"></a>

Ein Verschlüsselungskontext ist ein Satz von Schlüssel-Wert-Paaren, der beliebige, nicht geheime Daten enthält. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS kryptografisch an die verschlüsselten Daten gebunden. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.

In seinen [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)und [Decrypt-Anfragen](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an AWS KMS verwendet Amazon EMR WAL einen Verschlüsselungskontext mit einem Name-Wert-Paar, das den EMR-WAL-Namen identifiziert.

```
"encryptionContext": {
    "aws:emrwal:walname": "111222333444555-testworkspace-emrwalclustertest-emrwaltestwalname"
}
```

Sie können den Verschlüsselungskontext verwenden, um diese kryptografischen Vorgänge in Prüfaufzeichnungen und Protokollen wie [Amazon CloudWatch Logs](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) zu identifizieren AWS CloudTrail und als Voraussetzung für die Autorisierung in Richtlinien und Zuschüssen zu verwenden.