翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# データ保護
責任 AWS [共有モデルは](https://aws.amazon.com/compliance/shared-responsibility-model/)、Amazon EMR Serverless でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての AWS クラウドを実行するグローバルインフラストラクチャを保護する責任があります。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。このコンテンツには、使用する AWS サービスのセキュリティ設定および管理タスクが含まれます。データプライバシーの詳細については、「[データプライバシーよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)」を参照してください。欧州でのデータ保護の詳細については、 AWS セキュリティブログ[の 責任 AWS 共有モデルと GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) ブログ記事を参照してください。
データ保護の目的で、 AWS アカウントの認証情報を保護し、 AWS Identity and Access Management (IAM) を使用して個々のアカウントを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要なアクセス許可のみを各ユーザーに付与できます。また、次の方法でデータを保護することをお勧めします。
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 以降をお勧めします。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。
+ AWS 暗号化ソリューションと、 サービス内のすべての AWS デフォルトのセキュリティコントロールを使用します。
+ Amazon Macie などのアドバンストマネージドセキュリティサービスを使用します。これは、Amazon S3 に保存されている個人データの検出と保護を支援します。
+ Amazon EMR Serverless の暗号化オプションを使用して保管中および転送中のデータを暗号化します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/)」を参照してください。
顧客のアカウント番号などの機密の識別情報は、**[名前]** フィールドなどの自由形式のフィールドに配置しないことを強く提案します。これは、コンソール、API、または SDK を使用して Amazon EMR Serverless AWS CLIまたは他の AWS のサービスを使用する場合も同様です。 AWS SDKs Amazon EMR Serverless や他のサービスに入力したすべてのデータは、診断ログに取り込まれる可能性があります。外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。
## 保管中の暗号化
データの暗号化は、承認されていないユーザーがクラスターおよび関連するデータストレージシステムのデータを読み取れないようにするのに役立ちます。このデータには、保管中のデータと呼ばれる、永続的なメディアに保存されているデータや、転送中のデータと呼ばれる、ネットワークを介した転送の間に傍受される可能性のあるデータが含まれます。
データの暗号化には、キーと証明書が必要です。が管理するキー、Amazon S3 が管理するキー AWS Key Management Service、提供するカスタムプロバイダーのキーと証明書など、いくつかのオプションから選択できます。をキープロバイダー AWS KMS として使用する場合、暗号化キーのストレージと使用には料金が適用されます。詳細については、[AWS KMS の料金](https://aws.amazon.com/kms/pricing/)を参照してください。
暗号化オプションを指定する前に、使用するキーと証明書の管理システムを決定します。次に、暗号化設定の一部として指定するカスタムプロバイダーのキーと証明書を作成します。
### Amazon S3 内に保管中の EMRFS データの暗号化
各 EMR Serverless アプリケーションは、EMRFS (EMR ファイルシステム) を含む特定のリリースバージョンを使用します。Amazon S3 暗号化は、Amazon S3 への読み取りおよび書き込みが行われる EMR ファイルシステム (EMRFS) オブジェクトで使用できます。保管中のデータの暗号化を有効にすると、**デフォルトの暗号化モード**として、Amazon S3 サーバー側の暗号化 (SSE) またはクライアント側の暗号化 (CSE) を指定できます。オプションで、**[Per バケットの暗号化オーバーライド]** を使用して、バケットごとに異なる暗号化方法を指定できます。Amazon S3 の暗号化が有効かどうかにかかわらず、Transport Layer Security (TLS) は、EMR クラスターノードと Amazon S3 の間で転送される EMRFS オブジェクトを暗号化します。カスタマーマネージドキーで Amazon S3 CSE を使用する場合、EMR Serverless アプリケーションでジョブを実行するために使用される実行ロールは、キーにアクセスできる必要があります。Amazon S3 の暗号化の詳細については、「Amazon Simple Storage Service デベロッパーガイド」の「[暗号化によるデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)」を参照してください。
**注記**
を使用する場合 AWS KMS、暗号化キーのストレージと使用には料金が適用されます。詳細については、[AWS KMS の料金](https://aws.amazon.com/kms/pricing/)を参照してください。
### Amazon S3 のサーバー側の暗号化
すべての Amazon S3 バケットにはデフォルトで暗号化が設定されており、S3 バケットにアップロードされたすべての新しいオブジェクトは保管時に自動的に暗号化されます。Amazon S3 は、ディスクにデータを書き込むときにオブジェクトレベルでデータを暗号化し、アクセス時にデータを復号します。SSE の詳細については、「Amazon Simple Storage Service デベロッパーガイド」の「[サーバー側の暗号化によるデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)」を参照してください。
Amazon EMR Serverless で SSE を指定するときに、次の 2 つの異なるキー管理システムから選択できます。
+ **SSE-S3** — Amazon S3 がキーを管理します。EMR Serverless では、追加のセットアップは必要ありません。
+ **SSE-KMS** - を使用して AWS KMS key 、EMR Serverless に適したポリシーをセットアップします。EMR Serverless では、追加のセットアップは必要ありません。
Amazon S3 に書き込むデータの AWS KMS 暗号化を使用するには、 `StartJobRun` API を使用するときに 2 つのオプションがあります。 Amazon S3 Amazon S3 に書き込むすべてのデータの暗号化を有効にすることも、特定のバケットに書き込むデータの暗号化を有効にすることも可能です。`StartJobRun` API に関する詳細については、「[EMR Serverless API Reference](https://docs.aws.amazon.com/emr-serverless/latest/APIReference/API_StartJobRun.html)」を参照してください。
Amazon S3 に書き込むすべてのデータの AWS KMS 暗号化を有効にするには、 `StartJobRun` API を呼び出すときに次のコマンドを使用します。 Amazon S3
```
--conf spark.hadoop.fs.s3.enableServerSideEncryption=true
--conf spark.hadoop.fs.s3.serverSideEncryption.kms.keyId={{}}
```
特定のバケットに書き込むデータの AWS KMS 暗号化を有効にするには、 `StartJobRun` API を呼び出すときに次のコマンドを使用します。
```
--conf spark.hadoop.fs.s3.bucket.{{}}.enableServerSideEncryption=true
--conf spark.hadoop.fs.s3.bucket.{{}}.serverSideEncryption.kms.keyId={{}}
```
SSE とお客様が用意したキーとの組み合わせ (SSE-C) は、EMR Serverless では使用できません。
### Amazon S3 クライアント側の暗号化
Amazon S3 のクライアント側の暗号化を使用すると、Amazon S3 の暗号化と復号は、すべての Amazon EMR リリースで利用可能な EMRFS クライアントで行われます。オブジェクトは Amazon S3 にアップロードされる前に暗号化され、ダウンロード後に復号化されます。指定するプロバイダーが、クライアントが使用する暗号化キーを提供します。クライアントは、 AWS KMS によって提供されるキー (CSE-KMS) か、クライアント側のルートキーを提供するカスタム Java クラス (CSE-C) を使用できます。CSE-KMS と CSE-C では、指定するプロバイダーと、復号化または暗号化されるオブジェクトのメタデータに応じて、暗号化の仕様が少し異なります。カスタマーマネージドキーで Amazon S3 CSE を使用する場合、EMR Serverless アプリケーションでジョブを実行するために使用される実行ロールは、キーにアクセスできる必要があります。追加の KMS 料金が適用される場合があります。これらの差異に関する詳細は、「Amazon Simple Storage Service デベロッパーガイド」の「[Protecting data using client-side encryptio](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingClientSideEncryption.html)」を参照してください。
### ローカルディスク暗号化
エフェメラルストレージに保存されているデータは、業界標準の AES-256 暗号化アルゴリズムを使用して、サービス所有のキーで暗号化されます。
### キー管理
KMS キーを自動的にローテーションするように KMS を設定できます。これにより、古いキーを無期限に保存しながら、年に一度、キーをローテーションして、データを復号することができます。詳細については、「[Rotating customer-managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)」を参照してください。
## 転送中の暗号化
Amazon EMR Serverless では、以下のアプリケーション固有の暗号化機能を使用できます。
+ Spark
+ デフォルトでは、Spark ドライバーとエグゼキュター間の通信は認証された内部通信です。ドライバーとエグゼキュター間の RPC 通信は暗号化されます。
+ [Hive]
+ AWS Glue メタストアと EMR Serverless アプリケーション間の通信は TLS を介して行われます。
Amazon S3 バケット IAM ポリシーで [aws:SecureTransport 条件](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Boolean)を使用して、HTTPS (TLS) を介した暗号化接続のみを許可してください。