Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengenkripsi data diam
AWS Glue mendukung enkripsi data saat istirahat untuk [Membangun pekerjaan visual ETL](author-job-glue.md) dan[Mengembangkan skrip menggunakan titik akhir pengembangan](dev-endpoint.md). Anda dapat mengkonfigurasi tugas extract, transform, and load (ETL) dan titik akhir pengembangan untuk menggunakan kunci [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) untuk menulis data at rest terenkripsi. Anda juga dapat mengenkripsi metadata yang disimpan dalam [AWS Glue Data Catalog](components-overview.md#data-catalog-intro) menggunakan kunci yang Anda kelola dengan. AWS KMS Selain itu, Anda dapat menggunakan AWS KMS kunci untuk mengenkripsi bookmark pekerjaan dan log yang dihasilkan oleh [crawler](https://docs.aws.amazon.com/glue/latest/dg/add-crawler.html) dan pekerjaan ETL.
Anda dapat mengenkripsi objek metadata AWS Glue Data Catalog di samping data yang ditulis ke Amazon Simple Storage Service (Amazon S3) dan CloudWatch Amazon Logs berdasarkan pekerjaan, crawler, dan titik akhir pengembangan. Saat Anda membuat tugas, crawler, dan titik akhir pengembangan di AWS Glue, Anda dapat memberikan pengaturan enkripsi dengan melampirkan sebuah konfigurasi keamanan. Konfigurasi keamanan berisi kunci enkripsi sisi server yang dikelola Amazon S3 (SSE-S3) atau kunci master pelanggan () yang disimpan di (SSE-KMS). CMKs AWS KMS Anda dapat membuat konfigurasi keamanan menggunakan konsol AWS Glue.
Anda juga dapat mengaktifkan enkripsi seluruh Katalog Data di akun Anda. Anda melakukannya dengan menentukan CMKs disimpan di AWS KMS.
**penting**
AWS Gluehanya mendukung kunci yang dikelola pelanggan simetris. Untuk informasi selengkapnya, lihat [Customer Managed Keys (CMKs)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) di *Panduan AWS Key Management Service Pengembang*.
Dengan enkripsi yang diaktifkan, ketika Anda menambahkan objek Katalog Data, menjalankan crawler, menjalankan tugas, atau memulai titik akhir pengembangan, kunci SSE-S3 atau SSE-KMS digunakan untuk menulis data at rest. Selain itu, Anda dapat mengonfigurasi AWS Glue untuk hanya mengakses penyimpanan data Java Database Connectivity (JDBC) melalui protokol Transport Layer Security (TLS) tepercaya.
Di AWS Glue, Anda mengendalikan pengaturan enkripsi di tempat-tempat berikut:
+ Pengaturan Katalog Data Anda.
+ Konfigurasi keamanan yang Anda buat.
+ Pengaturan enkripsi sisi server (SSE-S3 atau SSE-KMS) yang diberikan sebagai parameter untuk tugas ETL (extract, transform, and load) AWS Glue Anda.
Untuk informasi selengkapnya tentang cara menyiapkan enkripsi, lihat [Menyiapkan enkripsi di AWS Glue](set-up-encryption.md).
**Topics**
+ [Mengenkripsi Katalog Data Anda](encrypt-glue-data-catalog.md)
+ [Mengenkripsi kata sandi koneksi](encrypt-connection-passwords.md)
+ [Mengenkripsi data yang ditulis oleh AWS Glue](encryption-security-configuration.md)
# Mengenkripsi Katalog Data Anda
AWS Glue Data Catalog enkripsi memberikan keamanan yang ditingkatkan untuk data sensitif Anda. AWS Glue terintegrasi dengan AWS Key Management Service (AWS KMS) untuk mengenkripsi metadata yang disimpan dalam Katalog Data. Anda dapat mengaktifkan atau menonaktifkan pengaturan enkripsi untuk sumber daya di Katalog Data menggunakan AWS Glue konsol atau AWS CLI.
Saat Anda mengaktifkan enkripsi untuk Katalog Data Anda, semua objek baru yang Anda buat akan dienkripsi. Saat Anda menonaktifkan enkripsi, objek baru yang Anda buat tidak akan dienkripsi, tetapi objek terenkripsi yang ada akan tetap dienkripsi.
Anda dapat mengenkripsi seluruh Katalog Data menggunakan kunci enkripsi AWS terkelola atau kunci enkripsi yang dikelola pelanggan. Untuk informasi selengkapnya tentang tipe dan status utama, lihat [AWS Key Management Service konsep](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html#key-state-cmk-type) di Panduan AWS Key Management Service Pengembang.
**catatan**
Bila Anda menggunakan Katalog Data terenkripsi dengan crawler, Anda harus mempertahankan pengaturan enkripsi. Menghapus pengaturan enkripsi setelah crawler memproses katalog terenkripsi menghasilkan kesalahan. Jika Anda perlu menghapus pengaturan enkripsi, buat crawler baru alih-alih memodifikasi yang sudah ada.
## AWS kunci terkelola
AWS kunci terkelola adalah kunci KMS di akun Anda yang dibuat, dikelola, dan digunakan atas nama Anda oleh AWS layanan yang terintegrasi dengannya AWS KMS. Anda dapat melihat kunci AWS terkelola di akun Anda, melihat kebijakan utamanya, dan mengaudit penggunaannya di AWS CloudTrail log. Namun, Anda tidak dapat mengelola kunci ini atau mengubah izinnya.
Enkripsi saat istirahat secara otomatis terintegrasi dengan AWS KMS untuk mengelola kunci AWS terkelola AWS Glue yang digunakan untuk mengenkripsi metadata Anda. Jika kunci AWS terkelola tidak ada saat Anda mengaktifkan enkripsi metadata, AWS KMS secara otomatis membuat kunci baru untuk Anda.
Untuk informasi selengkapnya, lihat [kunci AWS terkelola](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk).
## Kunci yang dikelola pelanggan
Kunci yang dikelola pelanggan adalah kunci KMS Akun AWS yang Anda buat, miliki, dan kelola. Anda memiliki kontrol penuh atas kunci KMS ini. Anda dapat:
+ Menetapkan dan memelihara kebijakan utama mereka, kebijakan IAM, dan hibah
+ Aktifkan dan nonaktifkan
+ Putar materi kriptografi mereka
+ Menambahkan tag
+ Buat alias yang merujuknya
+ Jadwalkan mereka untuk dihapus
Untuk informasi selengkapnya tentang mengelola izin kunci terkelola pelanggan, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
**penting**
AWS Glue hanya mendukung kunci yang dikelola pelanggan simetris. Daftar kunci KMS hanya menampilkan tombol simetris. Namun, jika Anda **memilih Pilih ARN kunci KMS**, konsol memungkinkan Anda memasukkan ARN untuk semua jenis kunci. Pastikan Anda memasukkan hanya ARNs untuk tombol simetris.
Untuk membuat kunci terkelola pelanggan simetris, ikuti langkah-langkah untuk [membuat kunci terkelola pelanggan simetris](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) di Panduan AWS Key Management Service Pengembang.
Saat Anda mengaktifkan enkripsi Katalog Data saat istirahat, jenis sumber daya berikut dienkripsi menggunakan kunci KMS:
+ Basis Data
+ Tabel
+ Partisi
+ Versi tabel
+ Statistik kolom
+ Fungsi yang ditetapkan pengguna
+ Tampilan Katalog Data
## AWS Glue konteks enkripsi
[Konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data. AWS KMS menggunakan konteks enkripsi sebagai [data otentikasi tambahan](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad) untuk mendukung enkripsi yang [diautentikasi.](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#define-authenticated-encryption) Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan. AWS Glue menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi, di mana kuncinya `glue_catalog_id` dan nilainya adalah. `catalogId`
```
"encryptionContext": {
"glue_catalog_id": "111122223333"
}
```
Bila Anda menggunakan kunci AWS terkelola atau kunci terkelola pelanggan simetris untuk mengenkripsi Katalog Data Anda, Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci tersebut digunakan. Konteks enkripsi juga muncul di log yang dihasilkan oleh AWS CloudTrail atau Amazon CloudWatch log.
## Mengaktifkan enkripsi
Anda dapat mengaktifkan enkripsi untuk AWS Glue Data Catalog objek Anda di **pengaturan Katalog Data** di AWS Glue konsol atau dengan menggunakan AWS CLI.
------
#### [ Console ]
**Untuk mengaktifkan enkripsi menggunakan konsol**
1. Masuk ke Konsol Manajemen AWS dan buka AWS Glue konsol di [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).
1. Pilih **Katalog Data** di panel navigasi.
1. Pada halaman **pengaturan Katalog Data**, pilih kotak centang **Enkripsi metadata**, dan pilih kunci. AWS KMS
Bila Anda mengaktifkan enkripsi, jika Anda tidak menentukan kunci terkelola pelanggan, pengaturan enkripsi menggunakan kunci KMS AWS terkelola.
1. (Opsional) Saat Anda menggunakan kunci yang dikelola pelanggan untuk mengenkripsi Katalog Data Anda, Katalog Data menyediakan opsi untuk mendaftarkan peran IAM untuk mengenkripsi dan mendekripsi sumber daya. Anda harus memberikan izin peran IAM yang AWS Glue dapat diambil atas nama Anda. Ini termasuk AWS KMS izin untuk mengenkripsi dan mendekripsi data.
Saat Anda membuat sumber daya baru di Katalog Data, AWS Glue asumsikan peran IAM yang disediakan untuk mengenkripsi data. Demikian pula, ketika konsumen mengakses sumber daya, AWS Glue mengasumsikan peran IAM untuk mendekripsi data. Jika Anda mendaftarkan peran IAM dengan izin yang diperlukan, prinsipal panggilan tidak lagi memerlukan izin untuk mengakses kunci dan mendekripsi data.
**penting**
Anda dapat mendelegasikan operasi KMS ke peran IAM hanya jika Anda menggunakan kunci yang dikelola pelanggan untuk mengenkripsi sumber daya Katalog Data. Fitur delegasi peran KMS tidak mendukung penggunaan kunci AWS terkelola untuk mengenkripsi sumber daya Katalog Data saat ini.
**Awas**
Bila Anda mengaktifkan peran IAM untuk mendelegasikan operasi KMS, Anda tidak dapat lagi mengakses sumber daya Katalog Data yang sebelumnya dienkripsi dengan kunci terkelola. AWS
1. Untuk mengaktifkan peran IAM yang AWS Glue dapat diasumsikan untuk mengenkripsi dan mendekripsi data atas nama Anda, pilih opsi **Delegasikan operasi KMS** ke peran IAM.
1. Selanjutnya, pilih peran IAM.
Untuk membuat peran IAM, lihat [Membuat peran IAM](https://docs.aws.amazon.com/glue/latest/dg/create-an-iam-role.html) untuk. AWS Glue
Peran IAM yang AWS Glue mengasumsikan untuk mengakses Katalog Data harus memiliki izin untuk mengenkripsi dan mendekripsi metadata dalam Katalog Data. Anda dapat membuat peran IAM, dan melampirkan kebijakan inline berikut:
+ Tambahkan kebijakan berikut untuk menyertakan AWS KMS izin untuk mengenkripsi dan mendekripsi Katalog Data.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/"
}
]
}
```
------
+ Selanjutnya, tambahkan kebijakan kepercayaan berikut ke peran AWS Glue layanan untuk mengambil peran IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
+ Selanjutnya, tambahkan `iam:PassRole` izin ke peran IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/"
]
}
]
}
```
------
Saat Anda mengaktifkan enkripsi, jika Anda belum menentukan peran IAM AWS Glue untuk diasumsikan, prinsipal yang mengakses Katalog Data harus memiliki izin untuk melakukan operasi API berikut:
+ `kms:Decrypt`
+ `kms:Encrypt`
+ `kms:GenerateDataKey`
------
#### [ AWS CLI ]
**Untuk mengaktifkan enkripsi menggunakan SDK atau AWS CLI**
+ Gunakan Operasi API `PutDataCatalogEncryptionSettings`. Jika tidak ada kunci yang ditentukan, AWS Glue gunakan kunci enkripsi AWS terkelola untuk akun pelanggan untuk mengenkripsi Katalog Data.
```
aws glue put-data-catalog-encryption-settings \
--data-catalog-encryption-settings '{
"EncryptionAtRest": {
"CatalogEncryptionMode": "SSE-KMS-WITH-SERVICE-ROLE",
"SseAwsKmsKeyId": "arn:aws:kms:::key/",
"CatalogEncryptionServiceRole":"arn:aws:iam:::role/"
}
}'
```
------
Saat Anda mengaktifkan enkripsi, semua objek yang Anda buat di objek Katalog Data dienkripsi. Jika Anda menghapus pengaturan ini, objek yang Anda buat di Katalog Data tidak lagi dienkripsi. Anda dapat terus mengakses objek terenkripsi yang ada di Katalog Data dengan izin KMS yang diperlukan.
| |
| --- |
| AWS KMS Kunci harus tetap tersedia di penyimpanan AWS KMS kunci untuk objek apa pun yang dienkripsi dengannya di Katalog Data. Jika Anda menghapus kunci tersebut, maka objek tidak dapat lagi didekripsi. Anda mungkin ingin melakukan hal ini dalam beberapa skenario untuk mencegah akses ke metadata Katalog Data. |
## Memantau kunci KMS Anda untuk AWS Glue
Saat Anda menggunakan kunci KMS dengan sumber daya Katalog Data Anda, Anda dapat menggunakan AWS CloudTrail atau Amazon CloudWatch Log untuk melacak permintaan yang AWS Glue dikirim. AWS KMS AWS CloudTrail memantau dan merekam operasi KMS yang AWS Glue memanggil untuk mengakses data yang dienkripsi oleh kunci KMS Anda.
Contoh berikut adalah AWS CloudTrail peristiwa untuk `Decrypt` dan `GenerateDataKey` operasi.
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAXPHTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAXPHTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-01-10T14:33:56Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "glue.amazonaws.com"
},
"eventTime": "2024-01-10T15:18:11Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "eu-west-2",
"sourceIPAddress": "glue.amazonaws.com",
"userAgent": "glue.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"glue_catalog_id": "111122223333"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "43b019aa-34b8-4798-9b98-ee968b2d63df",
"eventID": "d7614763-d3fe-4f84-a1e1-3ca4d2a5bbd5",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms::111122223333:key/"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
#### [ GenerateDataKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAXPHTESTANDEXAMPLE:V_00_GLUE_KMS_GENERATE_DATA_KEY_111122223333",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/V_00_GLUE_KMS_GENERATE_DATA_KEY_111122223333",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAXPHTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-01-05T21:15:47Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "glue.amazonaws.com"
},
"eventTime": "2024-01-05T21:15:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "eu-west-2",
"sourceIPAddress": "glue.amazonaws.com",
"userAgent": "glue.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:eu-west-2:AKIAIOSFODNN7EXAMPLE:key/AKIAIOSFODNN7EXAMPLE",
"encryptionContext": {
"glue_catalog_id": "111122223333"
},
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "64d1783a-4b62-44ba-b0ab-388b50188070",
"eventID": "1c73689b-2ef2-443b-aed7-8c126585ca5e",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-2:111122223333:key/AKIAIOSFODNN7EXAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
```
```
# Mengenkripsi kata sandi koneksi
Anda dapat mengambil kata sandi koneksi di AWS Glue Data Catalog dengan menggunakan operasi `GetConnection` dan `GetConnections` API. Kata sandi ini disimpan dalam koneksi Katalog Data dan digunakan saat AWS Glue menghubungkan ke penyimpanan data Java Database Connectivity (JDBC). Ketika koneksi dibuat atau diperbarui, opsi dalam pengaturan Katalog Data menentukan apakah kata sandi dienkripsi, dan jika demikian, kunci apa AWS Key Management Service (AWS KMS) ditentukan.
Pada konsol AWS Glue, Anda dapat mengaktifkan opsi ini di halaman **Pengaturan katalog data**.
**Untuk mengenkripsi kata sandi koneksi**
1. Masuk ke Konsol Manajemen AWS dan buka AWS Glue konsol di [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).
1. Pilih **Pengaturan** di panel navigasi.
1. Pada halaman **Pengaturan katalog data**, pilih **Enkripsi kata sandi koneksi**, dan pilih kunci AWS KMS .
**penting**
AWS Gluehanya mendukung kunci master pelanggan simetris (CMKs). **Kunci AWS KMS ** hanya menampilkan kunci simetris saja. Namun, jika Anda **memilih Pilih ARN AWS KMS kunci**, konsol memungkinkan Anda memasukkan ARN untuk semua jenis kunci. Pastikan Anda memasukkan hanya ARNs untuk tombol simetris.
Lihat informasi yang lebih lengkap di [Pengaturan Katalog Data](console-data-catalog-settings.md).
# Mengenkripsi data yang ditulis oleh AWS Glue
Sebuah *konfigurasi keamanan* adalah seperangkat properti keamanan yang dapat digunakan olehAWS Glue. Anda dapat menggunakan sebuah konfigurasi keamanan untuk mengenkripsi data at rest. Skenario berikut menunjukkan beberapa cara yang dapat Anda pakai untuk menggunakan konfigurasi keamanan.
+ Lampirkan konfigurasi keamanan ke AWS Glue crawler untuk menulis Log Amazon CloudWatch terenkripsi. Untuk informasi selengkapnya tentang melampirkan konfigurasi keamanan ke crawler, lihat. [Langkah 3: Konfigurasikan pengaturan keamanan](define-crawler-configure-security-settings.md)
+ Lampirkan konfigurasi keamanan ke tugas ekstrak, transformasi, dan muat (ETL) untuk menulis target Amazon Simple Storage Service (Amazon S3) terenkripsi dan Log terenkripsi. CloudWatch
+ Melampirkan sebuah konfigurasi keamanan untuk tugas ETL untuk menulis bookmark tugas sebagai data Amazon S3 yang dienkripsi.
+ Melampirkan sebuah konfigurasi keamanan untuk titik akhir pengembangan untuk menulis target Amazon S3 yang terenkripsi.
**penting**
Saat ini, sebuah konfigurasi keamanan menimpa pengaturan enkripsi sisi server (SSE-S3) yang diberikan sebagai parameter tugas ETL. Jadi, jika sebuah konfigurasi keamanan dan parameter SSE-S3 dikaitkan dengan sebuah tugas, maka parameter SSE-S3 akan diabaikan.
Untuk informasi selengkapnya tentang konfigurasi keamanan, lihat [Mengelola konfigurasi keamanan di konsol AWS Glue](console-security-configurations.md).
**Topics**
+ [Menyiapkan AWS Glue untuk menggunakan konfigurasi keamanan](#encryption-setup-Glue)
+ [Membuat rute AWS KMS untuk pekerjaan dan crawler VPC](#encryption-kms-vpc-endpoint)
+ [Mengelola konfigurasi keamanan di konsol AWS Glue](console-security-configurations.md)
## Menyiapkan AWS Glue untuk menggunakan konfigurasi keamanan
Ikuti langkah-langkah berikut untuk menyiapkan lingkungan AWS Glue Anda untuk menggunakan konfigurasi keamanan.
1. Buat atau perbarui kunci AWS Key Management Service (AWS KMS) Anda untuk memberikan AWS KMS izin ke peran IAM yang diteruskan ke AWS Glue crawler dan pekerjaan untuk mengenkripsi Log. CloudWatch Untuk informasi selengkapnya, lihat [Mengenkripsi Data Log di CloudWatch Log Menggunakan AWS KMS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) di *Panduan Pengguna Amazon CloudWatch Logs*.
Dalam contoh berikut,, *"role1"**"role2"*, dan *"role3"* merupakan peran IAM yang diteruskan ke crawler dan pekerjaan.
```
{
"Effect": "Allow",
"Principal": { "Service": "logs.region.amazonaws.com",
"AWS": [
"role1",
"role2",
"role3"
] },
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*"
}
```
`Service`Pernyataan, ditampilkan sebagai`"Service": "logs.region.amazonaws.com"`, diperlukan jika Anda menggunakan kunci untuk mengenkripsi CloudWatch Log.
1. Pastikan AWS KMS kuncinya `ENABLED` sebelum digunakan.
**catatan**
Jika Anda menggunakan Iceberg sebagai kerangka data lake Anda, tabel Iceberg memiliki mekanisme sendiri untuk mengaktifkan enkripsi sisi server. Anda harus mengaktifkan konfigurasi ini selain AWS Glue konfigurasi keamanan. [Untuk mengaktifkan enkripsi sisi server pada tabel Iceberg, tinjau panduan dari dokumentasi Iceberg.](https://iceberg.apache.org/docs/latest/aws/#s3-server-side-encryption)
## Membuat rute AWS KMS untuk pekerjaan dan crawler VPC
Anda dapat connect langsung ke AWS KMS melalui titik akhir privat di virtual private cloud (VPC) Anda alih-alih terhubung melalui internet. Saat Anda menggunakan titik akhir VPC, komunikasi antara VPC Anda dan AWS KMS dilakukan sepenuhnya di dalam jaringan. AWS
Anda dapat membuat titik akhir AWS KMS VPC dalam VPC. Tanpa langkah ini, tugas atau crawler Anda mungkin gagal dengan `kms timeout` pada tugas atau `internal service exception` pada crawler. *Untuk petunjuk terperinci, lihat [Menghubungkan ke AWS KMS Melalui Titik Akhir VPC](https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html) di Panduan Pengembang.AWS Key Management Service *
Saat Anda mengikuti petunjuk ini, pada [Konsol VPC](https://console.aws.amazon.com//vpc), Anda harus melakukan hal berikut:
+ Pilih **Mengaktifkan Nama DNS Privat**.
+ Pilih **Grup keamanan** (dengan aturan self-referencing) yang Anda gunakan untuk tugas Anda atau crawler yang mengakses Java Database Connectivity (JDBC). Untuk informasi selengkapnya tentang koneksi AWS Glue, lihat [Menghubungkan ke data](glue-connections.md).
Saat Anda menambahkan konfigurasi keamanan ke crawler atau pekerjaan yang mengakses penyimpanan data JDBC, AWS Glue harus memiliki rute ke titik akhir. AWS KMS Anda dapat memberikan rute dengan gateway terjemahan alamat jaringan (NAT) atau dengan titik akhir AWS KMS VPC. Untuk membuat gateway NAT, lihat [Gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) di *Panduan Pengguna Amazon VPC*.
# Mengelola konfigurasi keamanan di konsol AWS Glue
**Awas**
AWS Glue konfigurasi keamanan saat ini tidak didukung dalam pekerjaan Ray.
Sebuha *Konfigurasi keamanan* di AWS Glue berisi properti yang diperlukan saat Anda menulis data terenkripsi. Anda membuat konfigurasi keamanan pada konsol AWS Glue untuk menyediakan properti enkripsi yang digunakan oleh crawler, tugas, dan pengembangan titik akhir.
Untuk melihat daftar semua konfigurasi keamanan yang telah Anda buat, buka AWS Glue konsol di [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/)dan pilih **Konfigurasi keamanan** di panel navigasi.
Daftar **Konfigurasi keamanan** menampilkan properti berikut tentang masing-masing konfigurasi:
**Nama**
Nama unik yang Anda berikan saat Anda membuat konfigurasi tersebut. Nama dapat berisi huruf (A-Z), angka (0-9), hypens (-), atau garis bawah (\$1), dan panjangnya hingga 255 karakter.
**Aktifkan enkripsi Amazon S3**
Jika diaktifkan, mode enkripsi Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) `SSE-KMS` seperti `SSE-S3` atau diaktifkan untuk penyimpanan metadata di katalog data.
**Aktifkan enkripsi CloudWatch log Amazon**
Jika dihidupkan, mode enkripsi Amazon S3 seperti `SSE-KMS` diaktifkan saat menulis log ke Amazon. CloudWatch
**Pengaturan lanjutan: Aktifkan enkripsi bookmark pekerjaan**
Jika diaktifkan, mode enkripsi Amazon S3 seperti `CSE-KMS` diaktifkan saat pekerjaan di-bookmark.
Anda dapat menambahkan atau menghapus konfigurasi di bagian **Konfigurasi keamanan** pada konsol tersebut. Untuk melihat detail lebih lanjut untuk sebuah konfigurasi, pilih nama konfigurasi dalam daftar tersebut. Detail itu mencakup informasi yang Anda tetapkan saat Anda membuat konfigurasi.
## Menambahkan konfigurasi keamanan
Untuk menambahkan sebuah konfigurasi keamanan dengan menggunakan konsol AWS Glue, pada halaman **Konfigurasi keamanan**, pilih **Tambahkan konfigurasi keamanan**.
![\[Tangkapan layar menunjukkan halaman Tambahkan konfigurasi keamanan.\]](http://docs.aws.amazon.com/id_id/glue/latest/dg/images/add_security_configuration.png)
**Properti konfigurasi keamanan**
Masukkan nama konfigurasi keamanan yang unik. Nama dapat berisi huruf (A-Z), angka (0-9), tanda hubung (-), atau garis bawah (\$1), dan dapat mencapai 255 karakter.
**Pengaturan enkripsi**
Anda dapat mengaktifkan enkripsi saat istirahat untuk metadata yang disimpan di Katalog Data di Amazon S3 dan log di Amazon. CloudWatch Untuk menyiapkan enkripsi data dan metadata dengan kunci AWS Key Management Service (AWS KMS) di AWS Glue konsol, tambahkan kebijakan ke pengguna konsol. Kebijakan ini harus menentukan sumber daya yang diizinkan sebagai Nama Sumber Daya Amazon (ARNs) kunci yang digunakan untuk mengenkripsi penyimpanan data Amazon S3, seperti pada contoh berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:Encrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id"
}
}
```
------
**penting**
Ketika konfigurasi keamanan dilampirkan ke crawler atau pekerjaan, peran IAM yang diteruskan harus memiliki AWS KMS izin. Untuk informasi selengkapnya, lihat [Mengenkripsi data yang ditulis oleh AWS Glue](encryption-security-configuration.md).
Ketika Anda menentukan sebuah konfigurasi, Anda dapat memberikan nilai untuk properti berikut:
**Aktifkan enkripsi S3**
Saat Anda menulis data Amazon S3, Anda menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) atau enkripsi sisi server dengan kunci terkelola (SSE-KMS). AWS KMS Bidang ini bersifat opsional. Untuk mengizinkan akses ke Amazon S3, pilih AWS KMS kunci, atau pilih **Masukkan ARN kunci dan berikan ARN** untuk kunci tersebut. Masukkan ARN dalam bentuk `arn:aws:kms:region:account-id:key/key-id`. Anda juga dapat memberikan ARN sebagai alias kunci, seperti `arn:aws:kms:region:account-id:alias/alias-name`.
Jika Anda mengaktifkan Spark UI untuk pekerjaan Anda, file log UI Spark yang diunggah ke Amazon S3 akan diterapkan dengan enkripsi yang sama.
AWS Gluehanya mendukung kunci master pelanggan simetris (CMKs). **Kunci AWS KMS ** hanya menampilkan kunci simetris saja. Namun, jika Anda **memilih Pilih ARN AWS KMS kunci**, konsol memungkinkan Anda memasukkan ARN untuk semua jenis kunci. Pastikan Anda memasukkan hanya ARNs untuk tombol simetris.
**Aktifkan enkripsi CloudWatch Log**
Enkripsi sisi server (SSE-KMS) digunakan untuk mengenkripsi Log. CloudWatch Bidang ini bersifat opsional. Untuk menyalakannya, pilih AWS KMS tombol, atau pilih **Masukkan tombol ARN dan berikan ARN** untuk kunci tersebut. Masukkan ARN dalam bentuk `arn:aws:kms:region:account-id:key/key-id`. Anda juga dapat memberikan ARN sebagai alias kunci, seperti `arn:aws:kms:region:account-id:alias/alias-name`.
**Pengaturan lanjutan: Enkripsi bookmark Job**
Enkripsi sisi klien (CSE-KMS) digunakan untuk mengenkripsi bookmark tugas. Bidang ini bersifat opsional. Data bookmark dienkripsi sebelum dikirim ke Amazon S3 untuk penyimpanan. Untuk menyalakannya, pilih AWS KMS tombol, atau pilih **Masukkan tombol ARN dan berikan ARN** untuk kunci tersebut. Masukkan ARN dalam bentuk `arn:aws:kms:region:account-id:key/key-id`. Anda juga dapat memberikan ARN sebagai alias kunci, seperti `arn:aws:kms:region:account-id:alias/alias-name`.
Untuk informasi selengkapnya, lihat topik berikut di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*:
+ Untuk informasi selengkapnya tentang `SSE-S3`, lihat [Melindungi Data Menggunakan Enkripsi Sisi Server dengan Kunci Enkripsi Terkelola Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
+ Untuk selengkapnya`SSE-KMS`, lihat [Melindungi Data Menggunakan Enkripsi Sisi Server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) dengan. AWS KMS keys
+ Untuk selengkapnya`CSE-KMS`, lihat [Menggunakan kunci KMS yang disimpan di AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-kms-managed-master-key-intro).