Configurar el cifrado S3

Atlas Data Federation puede consultar y analizar datos no cifrados en su AWS BucketsS sin configuración adicional. Sin embargo, para leer3 datos cifrados o escribir datos en sus buckets S3 usando $out, la federación de datos podría requerir permisos adicionales según su configuración de cifrado S.3

La siguiente tabla describe la configuración requerida para que su instancia de base de datos federada lea datos cifrados y utilice $out para escribir datos en S3 para cada tipo de cifrado de AWS S.3

AWS Tipos de cifradoS3

Configuración de federación de datos requerida

AES-256

Atlas Data Federation admite la lectura y escritura de datos cifrados en buckets S mediante claves administradas por3 256 AWS AES- de forma predeterminada. No se requiere configuración adicional.

SSE con Amazon S3-Managed

Atlas Data Federation admite la lectura y escritura de datos cifrados en los buckets S mediante SSE con3 claves administradas de Amazon S3 de forma predeterminada. No se requiere configuración adicional.

Claves maestras simétricas de cliente administradas por el cliente

De forma predeterminada, Atlas Data Federation no puede acceder a los datos cifrados en los buckets S mediante claves maestras simétricas administradas por el cliente de SSE. Para lecturas y escrituras, debe agregar permisos similares a los siguientes a la política asignada a su rol de IAM:3

{
   "Effect": "Allow",
   "Action": [
      "kms:GenerateDataKey",
      "kms:decrypt"
   ],
   "Resource": [
      "arn:aws:kms:<aws-region>:<role-ID>:key/<master-key>"
   ]
 }

Para modificar la política de confianza de su rol de AWS IAM:

Inicie sesión en su consola de administración de AWS y navegue hasta Identity and Access Management (IAM) Página de servicio.
Seleccione Roles desde la navegación lateral izquierda y haga clic en el rol de IAM para modificar.
Seleccione la pestaña Trust Relationships.
Haga clic en el botón Edit trust relationship y edite el Policy Document.

Volver

Sintaxis de ruta de archivo

Limitaciones de AWS S3