Wie erstelle ich einen EMR-Cluster mit EBS-Volume-Verschlüsselung?

Lesedauer: 3 Minute
0

Ich möchte die Verschlüsselung von Amazon Elastic Block Store (Amazon EBS) in Amazon EMR aktivieren. Oder ich möchte einen Schlüssel von AWS Key Management Service (AWS KMS) verwenden, um ein EBS-Volume zu verschlüsseln, das an meinen EMR-Cluster angehängt ist.

Kurzbeschreibung

Die Amazon-EBS-Verschlüsselung lässt sich in AWS KMS integrieren, um die Verschlüsselungsschlüssel bereitzustellen, die Ihre Daten schützen. Ab Amazon-EMR-Version 5.24.0 können Sie wählen, ob Sie die EBS-Verschlüsselung aktivieren möchten. Die EBS-Verschlüsselungsoption verschlüsselt das EBS-Root-Geräte-Volume und die angeschlossenen Speichervolumes. Überlegungen und Einschränkungen finden Sie unter Lokale Festplattenverschlüsselung.

Es gibt zwei Optionen, zur Verschlüsselung von EBS-Volumes in Ihrem EMR-Cluster:

  • Aktivieren Sie standardmäßig die Verschlüsselung für EBS-Volumes auf Kontoebene.
  • Erstellen Sie einen KMS-Schlüssel und eine Amazon-EMR-Sicherheitskonfiguration, um EBS-Volumes für einen bestimmten EMR-Cluster zu verschlüsseln.

Lösung

Standardmäßiges Aktivieren der Verschlüsselung für EBS-Volumes auf Kontoebene

Weitere Informationen finden Sie unter Standardverschlüsselung.

Erstellen eines KMS-Schlüssels und einer Amazon-EMR-Sicherheitskonfiguration, um EBS-Volumes für einen bestimmten EMR-Cluster zu verschlüsseln

Gehen Sie wie folgt vor, um diese Option zu verwenden:

  1. Generieren Sie einen KMS-Schlüssel.
  2. Erstellen und konfigurieren Sie die Amazon-EMR-Sicherheitskonfiguration.
  3. Stellen Sie einen EMR-Cluster mit der Sicherheitskonfiguration bereit.

Schritt 1: Einen KMS-Schlüssel generieren

Wenn Sie für diesen Zweck keinen KMS-Schlüssel bereit haben, gehen Sie wie folgt vor, um den Schlüssel zu erstellen:

  1. Öffnen Sie die AWS-KMS-Konsole.
  2. Um die AWS-Region zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
  3. Wählen Sie im Navigationsbereich Vom Kunden verwaltete Schlüssel aus.
  4. Wählen Sie Schlüssel erstellen aus.
  5. Um einen symmetrischen KMS-Schlüssel für die Verschlüsselung zu erstellen, wählen Sie für Schlüsseltyp die Option Symmetrisch aus.
  6. Unter Schlüsselverwendung ist die Option Verschlüsseln und Entschlüsseln für Sie ausgewählt.
  7. Wählen Sie Weiter aus.
  8. Geben Sie einen Alias für den Schlüssel ein.
  9. Wählen Sie Weiter aus.
  10. Wählen Sie den Schlüsseladministrator aus.
  11. Wählen Sie Weiter aus.
  12. Wählen Sie die Amazon-EMR-Servicerolle aus. Die Standardrolle ist EMR_DefaultRole.
  13. Wählen Sie die Instance-Profilrolle von Amazon Elastic Compute Cloud (Amazon EC2) aus. Die Standardrolle für das Instance-Profil ist EMR_EC2_DefaultRole.
  14. Wählen Sie Weiter aus.
  15. Wählen Sie Abschließen.

Wenn Sie eine benutzerdefinierte Amazon-EMR-Servicerolle verwenden, fügen Sie der Rolle die folgende Richtlinie hinzu, bevor Sie den EMR-Cluster bereitstellen.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant",
            "kms:ListGrants"
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
        ]
    }]
}

Schritt 2: Erstellen und konfigurieren Sie die Amazon-EMR-Sicherheitskonfiguration

  1. Öffnen Sie die Amazon-EMR-Konsole.
  2. Wählen Sie Sicherheitskonfigurationen.
  3. Wählen Sie Erstellen aus.
  4. Wählen Sie unter Lokale Festplattenverschlüsselung die Option Verschlüsselung im Ruhezustand für lokale Festplatten aktivieren aus.
  5. Wählen Sie als Schlüsselanbietertyp AWS KMS aus.
  6. Wählen Sie für den AWS-KMS-Kundenmasterschlüssel den Schlüssel-ARN Ihres KMS-Schlüssels aus.
  7. Wählen Sie EBS-Volumes mit EBS-Verschlüsselung verschlüsseln aus.
  8. Wählen Sie Erstellen aus.

Schritt 3: Bereitstellung eines EMR-Clusters mit der Sicherheitskonfiguration

Wenn Sie Ihren EMR-Cluster mit der EMR-Konsole erstellen, wählen Sie in Schritt 4: Sicherheit die Sicherheitskonfiguration aus, die Sie gerade erstellt haben.

Wenn Sie EMR-Cluster mit anderen Methoden erstellen, geben Sie die Sicherheitskonfiguration anhand der Konfiguration an, die Sie gerade erstellt haben.


AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr