Configurar el cifrado de S3

Atlas Data Federation puede consultar y analizar datos no cifrados en su AWS S3 buckets sin configuración adicional. Sin embargo, para leer datos encriptados o escribir datos en tus S3 buckets usando $out, Data Federation podría requerir permisos adicionales dependiendo de la configuración de cifrado de tu S3.

La siguiente tabla describe la configuración necesaria para que tu instancia de base de datos federada lea datos cifrados y utilice $out para escribir datos en S3 para cada tipo de cifrado AWS S3.

AWS S3 Tipos de cifrado

Configuración de federación de datos requerida

AES-256

Atlas Data Federation admite tanto la lectura como la escritura de datos cifrados en S3 mediante claves gestionadas por AWS AES-256 por defecto. No es necesaria configuración adicional.

SSE con Amazon S3-Managed

Atlas Data Federation admite la lectura y escritura de datos cifrados en los buckets de S3 mediante SSE con claves administradas de Amazon S3 de forma predeterminada. No se requiere configuración adicional.

Claves maestras simétricas gestionadas por el cliente

De forma predeterminada, Atlas Data Federation no puede acceder a los datos cifrados en los buckets de S3 mediante claves maestras simétricas administradas por el cliente de SSE. Para lecturas y escrituras, debe agregar permisos similares a los siguientes a la política asignada a su rol de IAM:

{
   "Effect": "Allow",
   "Action": [
      "kms:GenerateDataKey",
      "kms:decrypt"
   ],
   "Resource": [
      "arn:aws:kms:<aws-region>:<role-ID>:key/<master-key>"
   ]
 }

Para modificar la política de confianza de su rol de AWS IAM:

Inicie sesión en su consola de administración de AWS y navegue hasta Identity and Access Management (IAM) página de servicio.
Seleccione Roles desde la navegación lateral izquierda y haga clic en el rol de IAM para modificar.
Selecciona la pestaña Trust Relationships.
Haz clic en el botón Edit trust relationship y edita el Policy Document.

Volver

Sintaxis de ruta de archivo

Limitaciones de AWS S3