Si la politique de sécurité de votre entreprise l'exige, vous devez configurer le service de chiffrement côté serveur d'Amazon (SSE-KMS) pour le cluster EMR à utiliser avant de le créer.
Pourquoi et quand exécuter cette tâche
Cette procédure décrit uniquement les opérations relatives à SSE-KMS pour prendre en main la configuration de sécurité pour EMR. Pour plus d'informations concernant les différentes configurations de sécurité pour EMR fournies par AWS, consultez la section Création d'une configuration de sécurité (uniquement en anglais) de la documentation Amazon.
Procédure
Si ce n'est pas encore fait, allez dans https://console.aws.amazon.com/kms (uniquement en anglais) pour créer une clé CMK gérée par le client que le service SSE KMS utilisera. Pour des instructions d'étaillées concernant cette procédure, consultez ce tutoriel (uniquement en anglais) dans la documentation AWS.
Parmi les autres utilisateurs et utilisatrices et rôles à ajouter en fonction de votre politique de sécurité, ajoutez le rôle EMR_EC2_DefaultRole.
Le rôle EMR_EC2_DefaultRole permet à vos Jobs Apache Spark de lire et d'écrire des fichiers chiffrés avec SSE-KMS sur S3.
Ce rôle est un rôle AWS par défaut, créé automatiquement lors de la création de votre premier cluster EMR. Si ce rôle et les politiques associées n'existent pas sur votre compte, consultez la section Use Default IAM Roles and Managed Policies (uniquement en anglais) de la documentation AWS (en anglais).
Sur la page Amazon EMR d'AWS, sélectionnez l'onglet Security configurations et cliquez sur Create pour ouvrir la vue Create security configuration.
Cochez la case At-rest encryption pour activer SSE-KMS.
Sous S3 data encryption, sélectionnez SSE-KMS dans Encryption mode et sélectionnez la clé CMK mentionnée au début de la procédure pour AWS KMS Key.
Sous Local disk encryption, sélectionnez AWS KMS dans Key provider type et sélectionnez la clé CMK mentionnée au début de la procédure pour AWS KMS Key.
Exemple
Cliquez sur Create pour valider votre configuration de sécurité.
En pratique, vous pouvez également configurer les autres options de sécurité comme Kerberos et les rôles IAM pour EMRFS avant de cliquer sur Create.
Cliquez sur Clusters puis, une fois la page Create Cluster ouverte, cliquez sur Go to advanced options pour commencer à créer le cluster EMR étape par étape.
Lors de la dernière étape Security, dans la section Authentication and encryption, sélectionnez la Security Configuration créée à l'étape précédente.
Cette page vous a-t-elle aidé ?
Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.