S3 暗号化の構成

Atlas Data Federationは、追加構成なしで、 Amazon Web Services S3バケット内の暗号化されていないデータをクエリおよび分析できます。ただし、を使用して暗号化されたデータを読み取ったり、 S3 バケットにデータを書き込んだりするには、$out S3 暗号化設定によっては、Data Federation に追加の権限が必要になる場合があります。

次の表は、フェデレーティッドデータベースインスタンスが暗号化データを読み取り、 $outを使用してS3にデータを書込むために必要な構成をAmazon Web Services S3暗号化の各タイプごとに説明したものです。

Amazon Web Services S 3暗号化のタイプ

必要な Data Federation の構成

AES-256

Atlas Data Federationは、デフォルトで AES-256Amazon Web Services マネージドキーを使用して S3 バケットで暗号化されたデータの読み取りと書込みの両方をサポートしています。追加設定は必要ありません。

Amazon S3 が管理する SSE

Atlas Data Federation は、 Amazon S3 マネージドキーによる SSE を使用して S3 バケットで暗号化されたデータの読み取りと書込みの両方をデフォルトでサポートしています。追加設定は必要ありません。

カスタマーが管理するシンボリックカスタマーマスターキー

Atlas Data Federation は、デフォルトで SSE カスタマーマネージド対称カスタマーマスターキーを使用してS3バケットで暗号化されたデータにアクセスできません。読み取りと書込みの場合、 IAM ロールに割り当てられたポリシーに次のような権限を追加する必要があります。

{
   "Effect": "Allow",
   "Action": [
      "kms:GenerateDataKey",
      "kms:decrypt"
   ],
   "Resource": [
      "arn:aws:kms:<aws-region>:<role-ID>:key/<master-key>"
   ]
 }

Amazon Web Services IAM ロールの信頼ポリシーを変更するには

Amazon Web Servicesマネジメントコンソールにログインし、{2Identity and Access Management (IAM) サービスページに移動します。
左側のナビゲーションからRolesを選択し、変更する IAM ロールの [] をクリックします。
Trust Relationships タブを選択します。
[ Edit trust relationshipボタンをクリックし、 Policy Documentを編集します。

戻る

クエリの最適化

Data Formats