

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Chiffrement au repos à l'aide d'une clé KMS client pour le service EMR WAL
<a name="encryption-at-rest-kms"></a>

Les journaux d'écriture anticipée (WAL) EMR fournissent aux clients une assistance pour le chiffrement des clés KMS au repos. Voici des informations détaillées sur la manière dont Amazon EMR WAL est intégré à : AWS KMS

Les journaux d'écriture anticipée (WAL) EMR interagissent avec eux AWS lors des opérations suivantes :`CreateWAL`,,,`AppendEdit`,, `ArchiveWALCheckPoint` `CompleteWALFlush` `DeleteWAL` `GetCurrentWALTime``ReplayEdits`, `TrimWAL` `EMR_EC2_DefaultRole` par défaut. Lorsque l'une des opérations précédentes répertoriées est invoquée, le WAL EMR effectue `Decrypt` et contre la clé KMS. `GenerateDataKey`

## Considérations
<a name="encryption-at-rest-considerations"></a>

Tenez compte des points suivants lorsque vous utilisez le chiffrement AWS KMS basé pour EMR WAL :
+ La configuration de chiffrement ne peut pas être modifiée après la création d'un EMR WAL.
+ Lorsque vous utilisez le chiffrement KMS avec votre propre clé KMS, celle-ci doit se trouver dans la même région que votre cluster Amazon EMR.
+ Vous êtes responsable du maintien de toutes les autorisations IAM requises et il est recommandé de ne pas révoquer les autorisations nécessaires pendant la durée de vie du WAL. Sinon, cela provoquera des scénarios de défaillance inattendus, tels que l'impossibilité de supprimer le WAL EMR, car la clé de chiffrement associée n'existe pas.
+ L'utilisation des AWS KMS clés entraîne un coût. Pour en savoir plus, consultez [Pricing AWS Key Management Service](https://aws.amazon.com/kms/pricing/) (Tarification).

## Autorisations IAM requises
<a name="encryption-at-rest-required-iam-permissions"></a>

Pour utiliser la clé KMS de votre client pour chiffrer le WAL EMR au repos, vous devez vous assurer de définir les autorisations appropriées pour le rôle client EMR WAL et le principal de service EMR WAL. `emrwal.amazonaws.com`

### Autorisations pour le rôle client EMR WAL
<a name="encryption-at-rest-permissions-client-role"></a>

Vous trouverez ci-dessous la politique IAM requise pour le rôle de client EMR WAL :

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
      ],
      "Resource": [
        "*"
      ],
      "Sid": "AllowKMSDecrypt"
    }
  ]
}
```

------

Le client EMR WAL sur le cluster EMR sera utilisé par défaut. `EMR_EC2_DefaultRole` Si vous utilisez un rôle différent pour le profil d'instance dans le cluster EMR, assurez-vous que chaque rôle dispose des autorisations appropriées.

Pour plus d'informations sur la gestion de la politique de rôle, reportez-vous à la section [Ajout et suppression d'autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).

### Autorisations pour la politique des clés KMS
<a name="encryption-at-rest-permissions-kms-key-policy"></a>

Vous devez attribuer le rôle de client EMR WAL et le service EMR WAL `Decrypt` et l'`GenerateDataKey*`autorisation dans votre politique KMS. Pour en savoir plus sur la gestion des politiques clés, reportez-vous à la section [Politique des clés KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
      ],
      "Resource": [
        "arn:aws:kms:*:123456789012:key/*"
      ],
      "Sid": "AllowKMSDecrypt"
    }
  ]
}
```

------

Le rôle spécifié dans l'extrait peut changer si vous modifiez le rôle par défaut.

## Surveillance de l'interaction entre Amazon EMR WAL et AWS KMS
<a name="encryption-at-rest-monitoring-emr-wal-kms"></a>

### Contexte de chiffrement Amazon EMR WAL
<a name="encryption-at-rest-encryption-context"></a>

Un contexte de chiffrement est un ensemble de paires clé-valeur contenant des données arbitraires non secrètes. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, lie AWS KMS cryptographiquement le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez transmettre le même contexte de chiffrement.

Dans ses requêtes [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)et [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) à AWS KMS, Amazon EMR WAL utilise un contexte de chiffrement avec une paire nom-valeur identifiant le nom du WAL EMR.

```
"encryptionContext": {
    "aws:emrwal:walname": "111222333444555-testworkspace-emrwalclustertest-emrwaltestwalname"
}
```

Vous pouvez utiliser le contexte de chiffrement pour identifier ces opérations cryptographiques dans les enregistrements et journaux d'audit, tels que AWS CloudTrail [Amazon CloudWatch Logs](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), et comme condition d'autorisation dans les politiques et les autorisations.