Come posso creare un cluster EMR con crittografia dei volumi EBS?

Breve descrizione

La crittografia di Amazon EBS si integra con AWS KMS per fornire le chiavi di crittografia che proteggono i tuoi dati. A partire dalla versione 5.24.0 di Amazon EMR, puoi scegliere di attivare la crittografia EBS. L'opzione di crittografia EBS crittografa il volume del dispositivo root EBS e i volumi di archiviazione collegati. Per considerazioni e limitazioni, consulta Crittografia del disco locale.

Esistono due opzioni per crittografare i volumi EBS sul cluster EMR:

• Attivare la crittografia per impostazione predefinita per i volumi EBS a livello di account.
• Creare una chiave KMS e una configurazione di sicurezza Amazon EMR per crittografare i volumi EBS per un cluster EMR specifico.

Risoluzione

Attiva la crittografia per impostazione predefinita per i volumi EBS a livello di account

Per ulteriori informazioni, consulta Crittografia predefinita.

Crea una chiave KMS e una configurazione di sicurezza Amazon EMR per crittografare i volumi EBS per un cluster EMR specifico

Per utilizzare questa opzione, effettua le seguenti operazioni:

1. Crea una chiave KMS.
2. Crea e configura la configurazione di sicurezza di Amazon EMR.
3. Fornisci un cluster EMR con la configurazione di sicurezza.

Fase 1: Crea una chiave KMS

Se non disponi di una chiave KMS pronta per questo scopo, procedi come segue per creare la chiave:

1. Apri la console di AWS KMS.
2. Per modificare la Regione AWS, usa il selettore Regione nell'angolo in alto a destra della pagina.
3. Nel pannello di navigazione a sinistra, scegli Customer managed keys (Chiavi gestite dal cliente).
4. Scegli Crea chiave.
5. Per creare una chiave KMS con crittografia simmetrica, per Tipo di chiave scegli Simmetrica.
6. In Utilizzo della chiave, l'opzione Crittografa e decrittografa è selezionata automaticamente.
7. Scegli Avanti.
8. Inserisci un alias per la chiave.
9. Scegli Avanti.
10. Scegli l'amministratore della chiave.
11. Scegli Avanti.
12. Seleziona il ruolo del servizio Amazon EMR. Il ruolo predefinito è EMR_DefaultRole.
13. Seleziona il ruolo di profilo dell'istanza di Amazon Elastic Compute Cloud (Amazon EC2). Il ruolo predefinito per il profilo dell'istanza è EMR_EC2_defaultRole.
14. Scegli Avanti.
15. Scegli Fine.

Se utilizzi un ruolo di servizio Amazon EMR personalizzato, aggiungi il seguente criterio al ruolo prima di effettuare il provisioning del cluster EMR.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant",
            "kms:ListGrants"
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
        ]
    }]
}

Fase 2: Creare e configurare la configurazione di sicurezza di Amazon EMR

1. Apri la console Amazon EMR.
2. Scegli Configurazioni di sicurezza.
3. Scegli Crea.
4. In Crittografia del disco locale, scegli Abilita la crittografia a riposo per i dischi locali.
5. Per il tipo di provider chiave, scegli AWS KMS.
6. Per la chiave master del cliente di AWS KMS, scegli l'ARN chiave della tua chiave KMS.
7. Seleziona Crittografa i volumi EBS con crittografia EBS.
8. Scegli Crea.

Fase 3: Effettuare il provisioning di un cluster EMR con la configurazione di sicurezza

Se crei il tuo cluster EMR utilizzando la console EMR, nella Fase 4: Sicurezza, scegli la configurazione di sicurezza che hai appena creato.

Quando crei cluster EMR tramite altri metodi, specifica la configurazione di sicurezza utilizzando la configurazione appena creata.

---