As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criptografia de logs
## Criptografia de logs do EMR Sem Servidor com armazenamento gerenciado
Para criptografar logs no armazenamento gerenciado com sua própria chave do KMS, use a configuração `managedPersistenceMonitoringConfiguration` ao enviar uma execução de trabalho.
```
{
"monitoringConfiguration": {
"managedPersistenceMonitoringConfiguration" : {
"encryptionKeyArn": "key-arn"
}
}
}
```
## Criptografia de logs do EMR Sem Servidor com buckets do Amazon S3
Para criptografar logs no bucket do Amazon S3 com sua própria chave do KMS, use a configuração `s3MonitoringConfiguration` ao enviar uma execução de trabalho.
```
{
"monitoringConfiguration": {
"s3MonitoringConfiguration": {
"logUri": "s3://amzn-s3-demo-logging-bucket/logs/",
"encryptionKeyArn": "key-arn"
}
}
}
```
## Criptografando registros sem servidor do EMR com a Amazon CloudWatch
Para criptografar registros na Amazon CloudWatch com sua própria chave KMS, use a `cloudWatchLoggingConfiguration` configuração ao enviar uma execução de trabalho.
```
{
"monitoringConfiguration": {
"cloudWatchLoggingConfiguration": {
"enabled": true,
"encryptionKeyArn": "key-arn"
}
}
}
```
## Permissões necessárias para criptografia de logs
**Topics**
+ [Permissões obrigatórias do usuário](#jobs-log-encryption-permissions-user)
+ [Permissões de chave de criptografia para Amazon S3 e armazenamento gerenciado](#jobs-log-encryption-permissions-s3)
+ [Permissões de chave de criptografia para a Amazon CloudWatch](#jobs-log-encryption-permissions-cw)
### Permissões obrigatórias do usuário
O usuário que envia o trabalho ou visualiza os registros ou o aplicativo UIs deve ter permissões para usar a chave. Você pode especificar as permissões na política de chave do KMS ou na política do IAM para o usuário, grupo ou perfil. Se o usuário que envia o trabalho não tiver as permissões da chave do KMS, o EMR Sem Servidor rejeitará o envio da execução do trabalho.
**Exemplo de política de chaves**
A seguinte política de chave fornece permissões para `kms:GenerateDataKey` e `kms:Decrypt`:
```
{
"Effect": "Allow",
"Principal":{
"AWS": "arn:aws:iam::111122223333:user/user-name"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
```
**Exemplo de política do IAM**
A seguinte política do IAM fornece as permissões para `kms:GenerateDataKey` e `kms:Decrypt`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:123456789012:key/12345678-1234-1234-1234-123456789012"
],
"Sid": "AllowKMSGeneratedatakey"
}
]
}
```
------
Para iniciar a interface de usuário do Spark ou Tez, conceda aos usuários, grupos ou perfis permissões para acessar a API `emr-serverless:GetDashboardForJobRun` da seguinte forma:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"emr-serverless:GetDashboardForJobRun"
],
"Resource": [
"*"
],
"Sid": "AllowEMRSERVERLESSGetdashboardforjobrun"
}
]
}
```
------
### Permissões de chave de criptografia para Amazon S3 e armazenamento gerenciado
Ao criptografar logs com sua própria chave de criptografia no armazenamento gerenciado ou nos buckets do S3, configure as permissões da chave do KMS da forma a seguir.
A entidade principal do `emr-serverless.amazonaws.com` deve ter as seguintes permissões na política da chave do KMS:
```
{
"Effect": "Allow",
"Principal":{
"Service": "emr-serverless.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
"Condition": {
"StringLike": {
"aws:SourceArn": "arn:aws:emr-serverless:region:aws-account-id:/applications/application-id"
}
}
}
```
Como uma prática recomendada de segurança, sugerimos adicionar uma chave de condição `aws:SourceArn` à política de chave do KMS. A chave de condição global do IAM `aws:SourceArn` ajuda a garantir que o EMR Sem Servidor use a chave do KMS somente para o ARN da aplicação.
O perfil de runtime do trabalho deve ter as seguintes permissões na política do IAM:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:123456789012:key/12345678-1234-1234-1234-123456789012"
],
"Sid": "AllowKMSGeneratedatakey"
}
]
}
```
------
### Permissões de chave de criptografia para a Amazon CloudWatch
Para associar o ARN da chave do KMS ao seu grupo de logs, use a política do IAM a seguir no perfil de runtime do trabalho.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:AssociateKmsKey"
],
"Resource": [
"arn:aws:logs:*:123456789012:log-group:my-log-group-name:*"
],
"Sid": "AllowLOGSAssociatekmskey"
}
]
}
```
------
Configure a política de chaves do KMS para conceder permissões de KMS à Amazon: CloudWatch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:*:123456789012:*"
}
},
"Sid": "AllowKMSDecrypt"
}
]
}
```
------