本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 加密 EMR Studio 工作區筆記本和檔案
<a name="emr-studio-workspace-storage-encryption"></a>

在 EMR Studio 中，您可以建立和設定不同的工作區來組織和執行筆記本。這些工作區會將筆記本和相關檔案存放在您指定的 Amazon S3 儲存貯體中。根據預設，這些檔案會使用 Amazon S3-managed金鑰 (SSE-S3) 加密，並以伺服器端加密做為基本加密層級。您也可以選擇使用客戶受管 KMS 金鑰 (SSE-KMS) 來加密您的檔案。您可以在建立 EMR Studio 時使用 Amazon EMR 管理主控台或透過 AWS CLI 和 AWS SDK 來執行此操作。

EMR Studio 工作區儲存加密可在提供 EMR Studio 的所有[區域中](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-considerations.html#emr-studio-considerations-general)使用。

## 先決條件
<a name="emr-studio-workspace-storage-encryption-prereqs"></a>

您必須先使用 在與 EMR Studio 相同的 AWS 帳戶 和區域中 AWS Key Management Service [建立對稱客戶管理員金鑰 (CMK)](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)，才能加密 EMR Studio 工作區筆記本和檔案。

 您 的資源政策 AWS KMS 必須具有 EMR Studio 服務角色的必要存取許可。以下是授予 EMR Studio 工作區儲存加密最低存取許可的 IAM 政策範例：

```
{
    "Sid": "AllowEMRStudioServiceRoleAccess",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<{{ACCOUNT_ID}}>:role/<{{ROLE_NAME}}>"
    },
    "Action": [
        "kms:Decrypt", 
        "kms:GenerateDataKey", 
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "<{{ACCOUNT_ID}}>",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::<{{S3_BUCKET_NAME}}>",
            "kms:ViaService": "s3.<{{AWS_REGION}}>.amazonaws.com"
        }
    }
}
```

您的 EMR Studio 服務角色也必須具有使用 AWS KMS 金鑰的存取許可。以下是授予 EMR Studio 工作區儲存加密最低存取許可的 IAM 政策範例：

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowEMRStudioWorkspaceStorageEncryptionAccess",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:DescribeKey"
      ],
      "Resource": [
        "arn:aws:kms:*:123456789012:key/12345678-1234-1234-1234-123456789012"
      ]
    }
  ]
}
```

------

## 建立新的 EMR Studio
<a name="emr-studio-workspace-storage-encryption-setup"></a>

請依照下列步驟建立使用工作區儲存加密的新 EMR Studio。

1. 請在 [https://console.aws.amazon.com/elasticmapreduce/](https://console.aws.amazon.com/elasticmapreduce/) 開啟 Amazon EMR 主控台。

1. 選擇 **Studio，**然後選擇**建立 Studio**。

1. 針對**儲存體的 S3 位置**，輸入或選擇 Amazon S3 路徑。這是 Amazon EMR 存放工作區筆記本和檔案的 Amazon S3 位置。

1. 針對**服務角色**，輸入或選擇 IAM 角色。這是 Amazon EMR 擔任的 IAM 角色。

1. 選擇**使用您自己的 AWS KMS 金鑰加密工作區檔案**。

1. 輸入或選擇用於加密 Amazon S3 中工作區筆記本和檔案的 AWS KMS 金鑰。

1. 選擇**建立 Studio** 或**建立 Studio 並啟動工作區**。

1. 選擇**使用您自己的 AWS KMS 金鑰加密工作區檔案**。

1. 輸入或選擇要 AWS KMS 用來加密 Amazon S3 中工作區筆記本和檔案的 。

1. 選擇 **Save Changes** (儲存變更)。

下列步驟示範如何更新 EMR Studio 並設定工作區儲存加密。

1. 請在 [https://console.aws.amazon.com/elasticmapreduce/](https://console.aws.amazon.com/elasticmapreduce/) 開啟 Amazon EMR 主控台。

1. **從清單中選擇現有的 EMR Studio**，然後選擇**編輯**。

1. 選擇**使用您自己的 AWS KMS 金鑰加密工作區檔案**。

1. 輸入或選擇要 AWS KMS 用來加密 Amazon S3 中工作區筆記本和檔案的 。

1. 選擇 **Save Changes** (儲存變更)。