# 在 AWS Glue 控制台上管理安全配置
**警告**
Ray 作业目前不支持 AWS Glue 安全配置。
AWS Glue 中的*安全配置*包含当您写入加密数据时所需的属性。您在 AWS Glue 控制台上创建安全配置,以提供由爬网程序、作业和开发终端节点使用的加密属性。
要查看您创建的所有安全配置的列表,请点击 [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/) 打开 AWS Glue 控制台,然后在导航窗格中选择 **Security configurations (安全配置)**。
**Security configurations (安全配置)** 列表显示有关每个配置的以下属性:
**名称**
在创建配置时提供的唯一名称。名称可以包含字母(A-Z)、数字(0-9)、连字符(-)、或下划线(\$1),且长度最多为 255 个字符。
**启用 Amazon S3 加密**
如果开启,对于数据目录中的元数据存储会启用 Amazon Simple Storage Service(Amazon S3)加密模式(如 `SSE-KMS` 或 `SSE-S3`)。
**启用 Amazon CloudWatch Logs 加密**
如果启用,在向 Amazon CloudWatch 写入日志时会使用 Amazon S3 加密模式(如 `SSE-KMS`)。
**高级设置:启用作业书签加密**
如果启用,在将作业添加到书签时会使用 Amazon S3 加密模式(如 `CSE-KMS`)。
您可以在控制台上的 **Security configurations (安全配置)** 部分中添加或删除配置。要查看配置的详细信息,请在列表中选择配置名称。详细信息包括您在创建配置时定义的信息。
## 添加安全配置
要使用 AWS Glue 控制台添加安全配置,请在 **Security configurations (安全配置)** 页面上选择 **Add security configuration (添加安全配置)**。
![\[屏幕截图显示添加安全配置页面。\]](http://docs.aws.amazon.com/zh_cn/glue/latest/dg/images/add_security_configuration.png)
**安全配置属性**
输入唯一的安全配置名称。名称可以包含字母(A-Z)、数字(0-9)、连字符(-)、或下划线(\$1),且长度最多为 255 个字符。
**加密设置**
您可以对存储在 Amazon S3 的 Data Catalog 和 Amazon CloudWatch 的日志中的元数据启用静态加密。要在 AWS Glue 控制台上使用 AWS Key Management Service (AWS KMS) 密钥对数据和元数据加密,请向控制台用户添加一个策略。此策略必须将允许的资源指定为用于对 Amazon S3 数据存储进行加密的密钥 Amazon Resource Names(ARN),如以下示例所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:Encrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id"
}
}
```
------
**重要**
当安全配置附加到爬网程序或任务时,传递的 IAM 角色必须具有 AWS KMS 权限。有关更多信息,请参阅 [加密 AWS Glue 写入的数据](encryption-security-configuration.md)。
在定义配置时,您可以为以下属性提供值:
**启用 S3 加密**
当您写入 Amazon S3 数据时,您可以将服务器端加密与 Amazon S3 托管密钥(SSE-S3)结合使用,也可以将服务器端加密(SSE-KMS)与 AWS KMS 托管密钥结合使用。该字段是可选的。要允许访问 Amazon S3,请选择 AWS KMS 密钥,或选择 **Enter a key ARN (输入密钥 ARN)** 并提供密钥的 ARN。输入 `arn:aws:kms:region:account-id:key/key-id` 格式的 ARN。您也可以提供密钥别名形式的 ARN,例如 `arn:aws:kms:region:account-id:alias/alias-name`。
如果您为作业启用 Spark 用户界面,则上传到 Amazon S3 的 Spark 用户界面日志文件将采用相同的加密方式。
AWS Glue 只支持对称客户主密钥(CMK)。**AWS KMS key (Amazon KMS 密钥)** 列表仅显示对称密钥。但是,如果选择 **Choose a AWS KMS key ARN (选择 Amazon KMS 密钥 ARN)**,控制台允许您为任何密钥类型输入 ARN。确保仅为对称密钥输入 ARN。
**启用 CloudWatch 日志加密**
服务器端加密(SSE-KMS)用于加密 CloudWatch Logs。该字段是可选的。要启用它,请选择 AWS KMS 密钥,或选择 **Enter a key ARN (输入密钥 ARN)** 并提供密钥的 ARN。输入 `arn:aws:kms:region:account-id:key/key-id` 格式的 ARN。您也可以提供密钥别名形式的 ARN,例如 `arn:aws:kms:region:account-id:alias/alias-name`。
**高级设置:作业书签加密**
客户端 (CSE-KMS) 加密用于加密作业书签。该字段是可选的。书签数据先进行加密,然后再发送到 Amazon S3 进行存储。要启用它,请选择 AWS KMS 密钥,或选择 **Enter a key ARN (输入密钥 ARN)** 并提供密钥的 ARN。输入 `arn:aws:kms:region:account-id:key/key-id` 格式的 ARN。您也可以提供密钥别名形式的 ARN,例如 `arn:aws:kms:region:account-id:alias/alias-name`。
有关更多信息,请参阅 *Amazon Simple Storage Service 用户指南*中的以下主题:
+ 有关 `SSE-S3` 的更多信息,请参阅[使用具有 Amazon S3 托管加密密钥 (SSE-S3) 的服务器端加密 (SSE-S3) 保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
+ 有关 `SSE-KMS` 的更多信息,请参阅 [Protecting Data Using Server-Side Encryption with AWS KMS keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。
+ 有关 `CSE-KMS` 的信息,请参阅 [Using a KMS key stored in AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-kms-managed-master-key-intro)。