Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrement des journaux
## Chiffrement des journaux EMR sans serveur avec stockage géré
Pour chiffrer les journaux du stockage géré à l'aide de votre propre clé KMS, utilisez la `managedPersistenceMonitoringConfiguration` configuration lorsque vous soumettez une exécution de tâche.
```
{
"monitoringConfiguration": {
"managedPersistenceMonitoringConfiguration" : {
"encryptionKeyArn": "key-arn"
}
}
}
```
## Chiffrement des journaux EMR sans serveur avec des compartiments Amazon S3
Pour chiffrer les journaux de votre compartiment Amazon S3 avec votre propre clé KMS, utilisez la `s3MonitoringConfiguration` configuration lorsque vous soumettez une exécution de tâche.
```
{
"monitoringConfiguration": {
"s3MonitoringConfiguration": {
"logUri": "s3://amzn-s3-demo-logging-bucket/logs/",
"encryptionKeyArn": "key-arn"
}
}
}
```
## Chiffrer les journaux EMR sans serveur avec Amazon CloudWatch
Pour chiffrer les journaux dans Amazon CloudWatch avec votre propre clé KMS, utilisez la `cloudWatchLoggingConfiguration` configuration lorsque vous soumettez une exécution de tâche.
```
{
"monitoringConfiguration": {
"cloudWatchLoggingConfiguration": {
"enabled": true,
"encryptionKeyArn": "key-arn"
}
}
}
```
## Autorisations requises pour le chiffrement des journaux
**Topics**
+ [Autorisations utilisateur requises](#jobs-log-encryption-permissions-user)
+ [Autorisations relatives aux clés de chiffrement pour Amazon S3 et le stockage géré](#jobs-log-encryption-permissions-s3)
+ [Autorisations relatives aux clés de chiffrement pour Amazon CloudWatch](#jobs-log-encryption-permissions-cw)
### Autorisations utilisateur requises
L'utilisateur qui soumet le travail ou consulte les journaux ou l'application UIs doit être autorisé à utiliser la clé. Vous pouvez spécifier les autorisations dans la politique clé KMS ou dans la stratégie IAM pour l'utilisateur, le groupe ou le rôle. Si l'utilisateur qui soumet la tâche ne dispose pas des autorisations clés KMS, EMR Serverless rejette la soumission de l'exécution de la tâche.
**Exemple de politique clé**
La politique clé suivante fournit les autorisations nécessaires pour `kms:GenerateDataKey` et `kms:Decrypt` :
```
{
"Effect": "Allow",
"Principal":{
"AWS": "arn:aws:iam::111122223333:user/user-name"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
```
**Exemple de politique IAM**
La politique IAM suivante fournit les autorisations nécessaires pour `kms:GenerateDataKey` et `kms:Decrypt` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:123456789012:key/12345678-1234-1234-1234-123456789012"
],
"Sid": "AllowKMSGeneratedatakey"
}
]
}
```
------
Pour lancer l'interface utilisateur Spark ou Tez, autorisez vos utilisateurs, groupes ou rôles à accéder à l'`emr-serverless:GetDashboardForJobRun`API comme suit :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"emr-serverless:GetDashboardForJobRun"
],
"Resource": [
"*"
],
"Sid": "AllowEMRSERVERLESSGetdashboardforjobrun"
}
]
}
```
------
### Autorisations relatives aux clés de chiffrement pour Amazon S3 et le stockage géré
Lorsque vous chiffrez des journaux avec votre propre clé de chiffrement dans le stockage géré ou dans vos compartiments S3, configurez les autorisations relatives aux clés KMS comme suit.
Le `emr-serverless.amazonaws.com` principal doit disposer des autorisations suivantes dans la politique relative à la clé KMS :
```
{
"Effect": "Allow",
"Principal":{
"Service": "emr-serverless.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
"Condition": {
"StringLike": {
"aws:SourceArn": "arn:aws:emr-serverless:region:aws-account-id:/applications/application-id"
}
}
}
```
Pour des raisons de sécurité, nous vous suggérons d'ajouter une clé de `aws:SourceArn` condition à la politique de clé KMS. La clé de condition globale IAM `aws:SourceArn` permet de garantir qu'EMR Serverless utilise la clé KMS uniquement pour l'ARN d'une application.
Le rôle d'exécution des tâches doit disposer des autorisations suivantes dans sa politique IAM :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:123456789012:key/12345678-1234-1234-1234-123456789012"
],
"Sid": "AllowKMSGeneratedatakey"
}
]
}
```
------
### Autorisations relatives aux clés de chiffrement pour Amazon CloudWatch
Pour associer l'ARN de la clé KMS à votre groupe de journaux, utilisez la politique IAM suivante pour le rôle d'exécution des tâches.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:AssociateKmsKey"
],
"Resource": [
"arn:aws:logs:*:123456789012:log-group:my-log-group-name:*"
],
"Sid": "AllowLOGSAssociatekmskey"
}
]
}
```
------
Configurez la politique relative aux clés KMS pour accorder des autorisations KMS à Amazon CloudWatch :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:*:123456789012:*"
}
},
"Sid": "AllowKMSDecrypt"
}
]
}
```
------