View a markdown version of this page

Crittografia dei dati in transito - AWS Aderenza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati in transito

AWS fornisce la crittografia Transport Layer Security (TLS) per i dati in movimento. È possibile configurare le impostazioni di crittografia per crawler, processi ETL ed endpoint di sviluppo utilizzando le configurazioni di sicurezza in AWS Glue. È possibile attivare la AWS Glue Data Catalog crittografia tramite le impostazioni del Data Catalog.

A partire dal 4 settembre 2018, AWS KMS (porta la tua chiave e la crittografia lato server) per AWS Glue ETL è supportata AWS Glue Data Catalog .

Crittografia Spark Connect in transito

Quando usi Spark Connect con sessioni AWS Glue interattive, tutte le comunicazioni tra l'applicazione client e l'endpoint Spark Connect vengono crittografate utilizzando TLS 1.3. Il percorso dati Spark Connect utilizza gRPC HTTP/2 over e tutto il traffico è crittografato end-to-end nei seguenti hop:

  • Da client a endpoint: il tuo client Spark Connect (pyspark o spark-connect-go) si connette all'endpoint della sessione tramite gRPC (). TLS-encrypted HTTP/2 L'endpoint termina TLS utilizzando un Application Load Balancer con una politica di sicurezza TLS 1.3.

  • Da proxy a calcolo: il traffico interno tra il reverse proxy e il server Spark Connect in esecuzione sul session worker viene crittografato tramite TLS tramite una connessione gateway di transito.

Le sessioni Spark Connect utilizzano token bearer di breve durata per l'autenticazione delle richieste. Questi token sono crittografati utilizzando chiavi di AWS KMS dati e hanno AES-256-GCM un tempo di validità di 5 minuti. I token vengono restituiti dall'GetSessionEndpointAPI e devono essere inclusi in ogni richiesta gRPC all'endpoint Spark Connect.

I dati dei clienti (domande Spark e risultati) fluiscono in transito solo attraverso la catena di proxy e non vengono mantenuti persistenti dall'infrastruttura proxy. DataFrames At-restl'archiviazione dei dati di sessione su volumi di lavoro utilizza la crittografia Amazon EBS predefinita.