本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 加密 寫入的資料 AWS Glue
<a name="encryption-security-configuration"></a>

*安全組態*是一組安全屬性，AWS Glue 會使用這組屬性。您可以使用安全組態來加密靜態資料。以下案例說明您可以使用安全組態的一些方式。
+ 將安全組態附加至 Amazon CloudWatch Logs 爬蟲程式來寫入加密的 AWS Glue。如需將安全組態連接至編目程式的詳細資訊，請參閱[步驟 3：設定安全設定](define-crawler-configure-security-settings.md)。
+ 附加安全組態，以擷取、轉換和載入 (ETL) 任務來寫入加密的 Amazon Simple Storage Service (Amazon S3) 目標和加密的 CloudWatch Logs。
+ 將安全組態附加到 ETL 任務來將其任務書籤寫入做為加密的 Amazon S3 資料。
+ 將安全組態附加至開發端點來寫入加密的 Amazon S3 目標。

**重要**  
目前，安全組態會覆寫任何伺服器端加密 (SSE-S3) 設定，此設定會以 ETL 任務參數的形式進行傳遞。因此，此兩個安全組態和 SSE-S3 參數會與任務相關聯，且 SSE-S3 參數會遭到忽略。

如需有關安全組態的詳細資訊，請參閱[在 AWS Glue 主控台上使用安全組態](console-security-configurations.md)。

**Topics**
+ [設定 AWS Glue 來使用安全組態](#encryption-setup-Glue)
+ [AWS KMS 為 VPC 任務和爬蟲程式建立路由至](#encryption-kms-vpc-endpoint)
+ [在 AWS Glue 主控台上使用安全組態](console-security-configurations.md)

## 設定 AWS Glue 來使用安全組態
<a name="encryption-setup-Glue"></a>

遵循這些步驟來設定 AWS Glue 環境，即可使用安全組態。

1. 建立或更新您的 AWS Key Management Service (AWS KMS) 金鑰，將許可授予 AWS KMS 傳遞給AWS Glue爬蟲程式和任務的 IAM 角色，以加密 CloudWatch Logs。如需詳細資訊，請參閱 *Amazon CloudWatch Logs 使用者指南*中的[使用 AWS KMS加密 CloudWatch Logs 中的日誌資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)。

   在下列範例中， {{"role1"}}、{{"role2"}} 和 {{"role3"}} 為 IAM 角色，這些角色會傳送到爬蟲程式和任務。

   ```
   {
          "Effect": "Allow",
          "Principal": { "Service": "logs.{{region}}.amazonaws.com",
          "AWS": [
                   {{"role1"}},
                   {{"role2"}},
                   {{"role3"}}
                ] },
                       "Action": [
                              "kms:Encrypt*",
                              "kms:Decrypt*",
                              "kms:ReEncrypt*",
                              "kms:GenerateDataKey*",
                              "kms:Describe*"
                       ],
                       "Resource": "*"
   }
   ```

   `Service` 陳述式 (顯示為 `"Service": "logs.{{region}}.amazonaws.com"`) 在您使用金鑰加密 CloudWatch Logs 時為必要項目。

1. 在使用 AWS KMS 金鑰`ENABLED`之前，請確定金鑰為 。

**注意**  
若您使用 Iceberg 作為資料湖架構，Iceberg 資料表會透過其專屬機制啟用伺服器端加密。除了安全組態之外 AWS Glue，您還應該啟用這些組態。若要在 Iceberg 資料表上啟用伺服器端加密，請檢閱 [Iceberg 文件](https://iceberg.apache.org/docs/latest/aws/#s3-server-side-encryption)中的指引。

## AWS KMS 為 VPC 任務和爬蟲程式建立路由至
<a name="encryption-kms-vpc-endpoint"></a>

您可以透過在 Virtual Private Cloud (VPC) 內的私有端點直接連接至 AWS KMS ，而無需連接至網際網路。當您使用 VPC 端點時，VPC 與 之間的通訊 AWS KMS 會完全在 AWS 網路中執行。

您可以在 AWS KMS VPC 內建立 VPC 端點。少了這個步驟，任務和爬蟲程式可能會失敗，而在任務上出現 `kms timeout` 或在爬蟲程式上出現 `internal service exception`。如需詳細說明，請參閱《 *AWS Key Management Service 開發人員指南*》中的[AWS KMS 透過 VPC 端點連線至](https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html) 。

當您在 [VPC 主控台](https://console.aws.amazon.com//vpc)上遵循這些指示時，您必須執行以下：
+ 選取 **Enable Private DNS name (啟用私人 DNS 名稱)**。
+ 選擇用於存取 Java Database Connectivity (JDBC) 的任務或爬蟲程式的 **Security group (安全群組)** (含自我參考規則)。如需有關 AWS Glue 連線的詳細資訊，請參閱 [連線至資料](glue-connections.md)。

當您將安全組態新增至存取 JDBC 資料存放區的爬蟲程式或任務時， AWS Glue 必須具有端點的路由 AWS KMS 。您可以使用網路位址轉譯 (NAT) 閘道或 AWS KMS VPC 端點來提供路由。若要建立 NAT 閘道，請參閱 *Amazon VPC 使用者指南*中的 [NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)。