本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 中的基础设施安全 AWS Glue DataBrew
<a name="infrastructure-security"></a>

作为托管服务的一部分， AWS Glue DataBrew 受《[Amazon Web Services：安全流程概述》白皮书中描述的 AWS 全球网络安全](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)程序保护。

您可以使用 AWS 已发布的 API 调用 DataBrew 通过网络进行访问。客户端必须支持传输层安全性协议（TLS）1.0 或更高版本。建议使用 TLS 1.2 或更高版本。客户端还必须支持具有完全向前保密（PFS）的密码套件，例如 Ephemeral Diffie-Hellman（DHE）或 Elliptic Curve Ephemeral Diffie-Hellman（ECDHE）。大多数现代系统（如 Java 7 及更高版本）都支持这些模式。

此外，必须使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者，您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)（AWS STS）生成临时安全凭证来对请求进行签名。

**Topics**
+ [在您的 AWS Glue DataBrew VPC 中使用](databrew-with-vpc.md)
+ [AWS Glue DataBrew 与 VPC 终端节点一起使用](vpc-endpoint.md)

# 在您的 AWS Glue DataBrew VPC 中使用
<a name="databrew-with-vpc"></a>

如果您使用 Amazon VPC 托管 AWS 资源，则可以配置 AWS Glue DataBrew 为基于亚马逊 VPC 服务的虚拟私有云 (VPC) 路由流量。 DataBrew 为此，首先在您指定的子网中配置一个 elastic network 接口。 DataBrew 然后将您指定的安全组附加到该网络接口以控制访问权限。指定的安全组必须为所有流量制定自引用入站和出站规则。此外，您的 VPC 还必须启用 DNS 主机名和解析。有关更多信息，请参阅《AWS Glue 开发人员指南》**中的[设置 VPC 以连接到 JDBC 数据存储](https://docs.aws.amazon.com/glue/latest/dg/setup-vpc-for-glue-access.html)。

对于 AWS Glue Data Catalog 数据集，VPC 信息是在您在数据目录中创建 AWS Glue 连接时配置的。要为此连接创建数据目录表，请从 AWS Glue 控制台运行 Crawler。有关更多信息，请参阅《AWS Glue 开发人员指南》**中的[填充 AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/populate-data-catalog.html)。

对于数据库数据集，请在从 DataBrew 控制台创建连接时指定您的 VPC 信息。

要 AWS Glue DataBrew 与没有 [NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) 的 VPC 子网配合使用，您必须有一个连接到 Amazon S3 的网关 VPC 终端节点和用于 AWS Glue 接口的 VPC 终端节点。有关更多信息，请参阅 Amazon VPC 文档中的[创建网关端点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html#create-gateway-endpoint)和[接口 VPC 端点（AWS PrivateLink）](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)。由配置的弹性接口 DataBrew 没有公有 IPv4 地址，因此它不支持使用 VPC Internet Gateway。

目前不支持 Amazon S3 接口端点。如果您使用 AWS Secrets Manager 存储密钥，则需要一条通往 Secrets Manager 的路径。如果您使用的是加密，则需要一个到 AWS Key Management Service (AWS KMS) 的路由。

# AWS Glue DataBrew 与 VPC 终端节点一起使用
<a name="vpc-endpoint"></a>

如果您使用 Amazon VPC 托管 AWS 资源，则可以通过预置 VPC 终端节点在您 DataBrew 的 VPC 之间建立私有连接。使用此 VPC 终端节点，您可以进行 DataBrew API 调用。

 您的 DataBrew VPC 无需使用 DataBrew VPC 终端节点。有关更多信息，请参阅 [在您的 AWS Glue DataBrew VPC 中使用](databrew-with-vpc.md)。

您可以在所有 AWS 区域中同时支持两者的 VPC 终端节点 AWS Glue 和 VPC 终端节点 AWS Glue 一起使用。

有关更多信息，请参阅《Amazon VPC 用户指南》**中的以下主题：
+ [什么是 Amazon VPC？](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [创建接口端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)