AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

EBS ボリューム暗号化を使用して EMR クラスターを作成するにはどうすればよいですか?

所要時間2分
0

Amazon EMR で Amazon Elastic Block Store (Amazon EBS) 暗号化をオンにしたいと考えています。または、AWS Key Management Service (AWS KMS) キーを使用して EMR クラスターにアタッチされている EBS ボリュームを暗号化したいと考えています。

簡単な説明

Amazon EBS 暗号化は AWS KMS と統合され、データを保護する暗号化キーを提供します。Amazon EMR バージョン 5.24.0 以降では、EBS 暗号化をオンにすることを選択できます。EBS 暗号化オプションは、EBS ルートデバイスボリュームとアタッチされたストレージボリュームを暗号化します。考慮事項と制限については、「ローカルディスク暗号化」を参照してください。

EMR クラスターの EBS ボリュームを暗号化するには 2 つのオプションがあります。

  • アカウントレベルで EBS ボリュームの暗号化をデフォルトでオンにする。
  • KMS キーと Amazon EMR セキュリティ設定を作成して、特定の EMR クラスターのために EBS ボリュームを暗号化する。

解決方法

アカウントレベルで EBS ボリュームの暗号化をデフォルトでオンにする

詳細については、「デフォルトでの暗号化」を参照してください。

KMS キーと Amazon EMR セキュリティ設定を作成して、特定の EMR クラスターのために EBS ボリュームを暗号化する

このオプションを使用するには、次を実行します。

  1. KMS キーを作成します。
  2. Amazon EMR のセキュリティ設定を作成および構成します。
  3. セキュリティ設定を使用して EMR クラスターをプロビジョニングします。

ステップ 1: KMS キーを作成する

この目的のために使用できる KMS キーがない場合は、次を実行してキーを作成します。

  1. AWS KMS コンソールを開きます。
  2. AWS リージョンを変更するには、ページの右上にあるリージョンセレクターを使用します。
  3. ナビゲーションペインで、[Customer managed keys] (カスタマーマネージドキー) を選択します。
  4. [Create key] (キーの作成) を選択します。
  5. 対称暗号化 KMS キーを作成するには、[Key type] (キータイプ) で [Symmetric] (対称) を選択します。
  6. [Key usage] (キーの使用法) では、[Encrypt and decrypt] (暗号化と復号) オプションが選択されています。
  7. [Next] (次へ) を選択します。
  8. キーのエイリアスを入力します。
  9. [Next] (次へ) を選択します。
  10. キー管理者を選択します。
  11. [Next] (次へ) を選択します。
  12. Amazon EMR サービスロールを選択します。デフォルトのロールは EMR_DefaultRole です。
  13. Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのプロファイルロールを選択します。インスタンスプロファイルのデフォルトのロールは EMR_EC2_DefaultRole です。
  14. [Next] (次へ) を選択します。
  15. [Finish] (完了) を選択します。

カスタム Amazon EMR サービスロールを使用している場合は、EMR クラスターをプロビジョニングする前に、次のポリシーをロールに追加します。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant",
            "kms:ListGrants"
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
        ]
    }]
}

ステップ 2: Amazon EMR のセキュリティ設定を作成および構成する

  1. Amazon EMR コンソールを開きます。
  2. [Security configurations] (セキュリティ設定) を選択します。
  3. [Create] (作成) を選択します。
  4. [Local disk encryption] (ローカルディスクの暗号化) で、[Enable at-rest encryption for local disks] (ローカルディスクへのデータ保存時の暗号化を有効にする) を選択します。
  5. [Key provider type] (キープロバイダーのタイプ) で、[AWS KMS] を選択します。
  6. [AWS KMS customer master key] (AWS KMS カスタマーマスターキー) で、KMS キーのキー ARN を選択します。
  7. [Encrypt EBS volumes with EBS encryption] (EBS 暗号化を使用して EBS ボリュームを暗号化) を選択します。
  8. [Create] (作成) を選択します。

ステップ 3: セキュリティ設定を使用して EMR クラスターをプロビジョニングする

EMR コンソールを使用して EMR クラスターを作成する場合は、「ステップ 4: セキュリティ」で、作成したばかりのセキュリティ設定を選択します。

他の方法で EMR クラスターを作成する場合は、作成したばかりの設定を使用してセキュリティ設定を指定します。

トピック
分析
タグ
Amazon EMR
言語
日本語
AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ