メイン コンテンツをスキップする 補完的コンテンツへスキップ

EMRクラスター用のSSE KMSを設定

組織のセキュリティポリシーで必要な場合は、このクラスターを作成する前に、使うEMRクラスターのために、Amazonのサーバー側の暗号化サービスであるSSE KMSを設定する必要があります。

このタスクについて

この手順では、EMRのセキュリティ設定を開始するためのSSE KMS関連の操作についてのみ説明します。AWSによって提供されるすべての利用可能なEMRセキュリティ設定に関する完全な情報が必要な場合は、Amazonのドキュメントからセキュリティ設定を作成する (英語のみ)をご覧ください。

手順

  1. まだ行っていない場合は、https://console.aws.amazon.com/kms (英語のみ)に移動して、SSE KMSサービスで使う顧客管理のCMKを作成します。これを行う方法の詳細な手順は、AWSドキュメントのこのチュートリアル (英語のみ)をご覧ください。
    • ロールを追加する時は、セキュリティポリシーに応じて追加される他のロールの中に、EMR_EC2_DefaultRoleロールを追加する必要があります。

      EMR_EC2_DefaultRoleロールにより、Apache SparkのジョブがSSE-KMSで暗号化されたファイルをS3上で読み書きできます。

      このロールは、最初のEMRクラスターの作成と共に自動的に作成されるデフォルトのAWSロールです。このロールとそれに関連付けられたポリシーがアカウントに存在しない場合は、AWSドキュメントのUse Default IAM Roles and Managed Policies (英語のみ)をご覧ください。

  2. AWSのAmazon EMRページで、[Security configurations] (セキュリティ設定)タブを選択し、[Create] (作成)をクリックして[Create security configuration] (セキュリティ設定を作成する)ビューを開きます。
  3. [At-rest encryption] (保管時の暗号化)チェックボックスをオンにして、SSE KMSを有効にします。
  4. [S3 data encryption] (S3データの暗号化)で、[Encryption mode] (暗号化モード)SSE-KMSを選択し、[AWS KMS Key] (AWS KMSキー)に、この手順の最初に言及したCMKキーを選択します。
  5. [Local disk encryption] (ローカルディスクの暗号化)で、[Key provider type] (キープロバイダーのタイプ)AWS KMSを選択し、[AWS KMS Key] (AWS KMSキー)に、この手順の最初に言及したCMKキーを選択します。

  6. [Create] (作成)をクリックしてセキュリティ設定を検証します。
    実際には、この[Create] (作成)ボタンをクリックする前に、EMRFSのKerberosやIAMのロールなどの他のセキュリティオプションを設定することもできます。
  7. [Clusters] (クラスター)をクリックし、[Create Cluster] (クラスターの作成)ページが開いたら、[Go to advanced options] (詳細オプションに進む)をクリックして、EMRクラスターの段階的な作成を開始します。
  8. [Authentication and encryption] (認証と暗号化)セクションの[Security] (セキュリティ)という最後のステップで、前のステップで作成した[Security Configuration] (セキュリティ設定)を選択します。

このページは役に立ちましたか?

このページまたはコンテンツにタイポ、ステップの省略、技術的エラーなどの問題が見つかった場合はお知らせください。