如何建立具有 EBS 磁碟區加密的 EMR 叢集？

簡短描述

Amazon EBS 加密與 AWS KMS 整合，提供可保護資料的加密金鑰。從 Amazon EMR 5.24.0 版開始，您可以選擇開啟 EBS 加密。EBS 加密選項會加密 EBS 根裝置磁碟區和連接的儲存磁碟區。如需考量和限制，請參閱本機磁碟加密。

有兩個選項可以加密 EMR 叢集上的 EBS 磁碟區：

• 根據預設，會在帳戶層級為 EBS 磁碟區開啟加密。
• 建立 KMS 金鑰和 Amazon EMR 安全組態，以加密特定 EMR 叢集的 EBS 磁碟區。

解決方案

根據預設，會在帳戶層級為 EBS 磁碟區開啟加密

如需詳細資訊，請參閱預設加密。

建立 KMS 金鑰和 Amazon EMR 安全組態，以加密特定 EMR 叢集的 EBS 磁碟區

若要使用此選項，請執行下列動作：

1. 建立 KMS 金鑰。
2. 建立和設定 Amazon EMR 安全組態。
3. 使用安全組態佈建 EMR 叢集。

步驟 1：建立 KMS 金鑰

如果您沒有針對此目的準備好 KMS 金鑰，請執行下列動作來建立金鑰：

1. 開啟 AWS KMS 主控台。
2. 若要變更 AWS 區域，請使用頁面右上角的區域選取器。
3. 在導覽窗格中，選擇 Customer managed keys (客戶管理的金鑰)。
4. 選擇 Create key (建立金鑰)。
5. 若要建立對稱加密 KMS 金鑰，請針對 Key type (金鑰類型) 選擇 Symmetric (對稱)。
6. 在 Key usage (金鑰使用) 中，會為您選取 Encrypt and decrypt (加密和解密) 選項。
7. 選擇 Next (下一步)。
8. 輸入金鑰的別名。
9. 選擇 Next (下一步)。
10. 選擇金鑰管理員。
11. 選擇 Next (下一步)。
12. 選取 Amazon EMR 服務角色。預設角色為 EMR_DefaultRole。
13. 選取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體設定檔角色。執行個體設定檔的預設角色為 EMR_EC2_DefaultRole。
14. 選擇 Next (下一步)。
15. 選擇 Finish (完成)。

如果您使用的是自訂 Amazon EMR 服務角色，請在佈建 EMR 叢集之前將下列政策新增至該角色。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant",
            "kms:ListGrants"
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
        ]
    }]
}

步驟 2：建立和設定 Amazon EMR 安全組態。

1. 開啟 Amazon EMR 主控台。
2. 選擇 Security configurations (安全組態)。
3. 選擇 Create (建立)。
4. 在 Local disk encryption (本機磁碟加密) 底下，選擇 Enable at-rest encryption for local disks (針對本機磁碟啟用靜態加密)。
5. 針對 Key provider type (金鑰提供者類型)，選擇 AWS KMS。
6. 針對 AWS KMS customer master key (AWS KMS 客戶主金鑰)，選擇您的 KMS 金鑰的金鑰 ARN。
7. 選取 Encrypt EBS volumes with EBS encryption (使用 EBS 加密來加密 EBS 磁碟區)。
8. 選擇 Create (建立)。

步驟 3：使用安全組態佈建 EMR 叢集。

如果您使用 EMR 主控台建立 EMR 叢集，請在步驟 4：安全中選擇您剛建立的安全組態。

透過其他方法建立 EMR 叢集時，請使用您剛建立的組態指定安全組態。

---