組織のセキュリティポリシーで必要な場合は、このクラスターを作成する前に、使うEMRクラスターのために、Amazonのサーバー側の暗号化サービスであるSSE KMSを設定する必要があります。
このタスクについて
この手順では、EMRのセキュリティ設定を開始するためのSSE KMS関連の操作についてのみ説明します。AWSによって提供されるすべての利用可能なEMRセキュリティ設定に関する完全な情報が必要な場合は、Amazonのドキュメントから
セキュリティ設定を作成するをご覧ください。
手順
-
まだ行っていない場合は、https://console.aws.amazon.com/kmsに移動して、SSE KMSサービスで使う顧客管理のCMKを作成します。これを行う方法の詳細な手順は、AWSドキュメントのこのチュートリアルをご覧ください。
-
ロールを追加する時は、セキュリティポリシーに応じて追加される他のロールの中に、EMR_EC2_DefaultRoleロールを追加する必要があります。
EMR_EC2_DefaultRoleロールにより、Apache SparkのジョブがSSE-KMSで暗号化されたファイルをS3上で読み書きできます。
このロールは、最初のEMRクラスターの作成と共に自動的に作成されるデフォルトのAWSロールです。このロールとそれに関連付けられたポリシーがアカウントに存在しない場合は、AWSドキュメントのUse Default IAM Roles and Managed Policiesをご覧ください。
-
AWSのAmazon EMRページで、[Security configurations] (セキュリティ設定)タブを選択し、[Create] (作成)をクリックして[Create security configuration] (セキュリティ設定を作成する)ビューを開きます。
-
[At-rest encryption] (保管時の暗号化)チェックボックスをオンにして、SSE KMSを有効にします。
-
[S3 data encryption] (S3データの暗号化)で、[Encryption mode] (暗号化モード)にSSE-KMSを選択し、[AWS KMS Key] (AWS KMSキー)に、この手順の最初に言及したCMKキーを選択します。
-
[Local disk encryption] (ローカルディスクの暗号化)で、[Key provider type] (キープロバイダーのタイプ)にAWS KMSを選択し、[AWS KMS Key] (AWS KMSキー)に、この手順の最初に言及したCMKキーを選択します。
例
-
[Create] (作成)をクリックしてセキュリティ設定を検証します。
実際には、この[Create] (作成)ボタンをクリックする前に、EMRFSのKerberosやIAMのロールなどの他のセキュリティオプションを設定することもできます。
-
[Clusters] (クラスター)をクリックし、[Create Cluster] (クラスターの作成)ページが開いたら、[Go to advanced options] (詳細オプションに進む)をクリックして、EMRクラスターの段階的な作成を開始します。
-
[Authentication and encryption] (認証と暗号化)セクションの[Security] (セキュリティ)という最後のステップで、前のステップで作成した[Security Configuration] (セキュリティ設定)を選択します。
