Accéder au contenu principal Passer au contenu complémentaire

Configurer SSE-KMS pour votre cluster EMR

Si la politique de sécurité de votre entreprise l'exige, vous devez configurer le service de chiffrement côté serveur d'Amazon (SSE-KMS) pour le cluster EMR à utiliser avant de le créer.

Pourquoi et quand exécuter cette tâche

Cette procédure décrit uniquement les opérations relatives à SSE-KMS pour prendre en main la configuration de sécurité pour EMR. Pour plus d'informations concernant les différentes configurations de sécurité pour EMR fournies par AWS, consultez la section Création d'une configuration de sécurité de la documentation Amazon.

Procédure

  1. Si ce n'est pas encore fait, allez dans https://console.aws.amazon.com/kms pour créer une clé CMK gérée par le client que le service SSE KMS utilisera. Pour des instructions d'étaillées concernant cette procédure, consultez ce tutoriel dans la documentation AWS.
    • Parmi les autres utilisateurs et utilisatrices et rôles à ajouter en fonction de votre politique de sécurité, ajoutez le rôle EMR_EC2_DefaultRole.

      Le rôle EMR_EC2_DefaultRole permet à vos Jobs Apache Spark de lire et d'écrire des fichiers chiffrés avec SSE-KMS sur S3.

      Ce rôle est un rôle AWS par défaut, créé automatiquement lors de la création de votre premier cluster EMR. Si ce rôle et les politiques associées n'existent pas sur votre compte, consultez la section Use Default IAM Roles and Managed Policies de la documentation AWS (en anglais).

  2. Sur la page Amazon EMR d'AWS, sélectionnez l'onglet Security configurations et cliquez sur Create pour ouvrir la vue Create security configuration.
  3. Cochez la case At-rest encryption pour activer SSE-KMS.
  4. Sous S3 data encryption, sélectionnez SSE-KMS dans Encryption mode et sélectionnez la clé CMK mentionnée au début de la procédure pour AWS KMS Key.
  5. Sous Local disk encryption, sélectionnez AWS KMS dans Key provider type et sélectionnez la clé CMK mentionnée au début de la procédure pour AWS KMS Key.
  6. Cliquez sur Create pour valider votre configuration de sécurité.
    En pratique, vous pouvez également configurer les autres options de sécurité comme Kerberos et les rôles IAM pour EMRFS avant de cliquer sur Create.
  7. Cliquez sur Clusters puis, une fois la page Create Cluster ouverte, cliquez sur Go to advanced options pour commencer à créer le cluster EMR étape par étape.
  8. Lors de la dernière étape Security, dans la section Authentication and encryption, sélectionnez la Security Configuration créée à l'étape précédente.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.