

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Especificar a criptografia do Amazon S3 usando propriedades do EMRFS
<a name="emr-emrfs-encryption"></a>

**Importante**  
A partir do Amazon EMR versão 4.8.0, você pode usar configurações de segurança para aplicar configurações de criptografia mais facilmente e com mais opções. Recomendamos usar configuração de segurança. Para obter informações, consulte [Configure data encryption](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption). As instruções do console descritas nesta seção estão disponíveis para versões anteriores à 4.8.0. Se você usar o AWS CLI para configurar a criptografia do Amazon S3 na configuração do cluster e em uma configuração de segurança nas versões subsequentes, a configuração de segurança substituirá a configuração do cluster.

Ao criar um cluster, você pode especificar criptografia do lado do servidor (SSE) ou criptografia do lado do cliente (CSE) para dados do EMRFS no Amazon S3 usando o console ou usando propriedades de classificação por meio do SDK do EMR ou do EMR. `emrfs-site` AWS CLI A SSE e a CSE do Amazon S3 são mutuamente exclusivas. Você pode escolher uma delas, mas não ambas.

Para AWS CLI obter instruções, consulte a seção apropriada para seu tipo de criptografia abaixo.

**Para especificar as opções de criptografia do EMRFS usando o Console de gerenciamento da AWS**

1. Navegue até o novo console do Amazon EMR e selecione **Alternar para o console antigo** na navegação lateral. Para obter mais informações sobre o que esperar ao alternar para o console antigo, consulte [Usar o console antigo](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).

1. Escolha **Create cluster (Criar cluster)**, **Go to advanced options (Ir para opções avançadas)**.

1. Escolha uma **Release** de 4.7.2 ou anterior.

1. Escolha outras opções para **Software and Steps (Software e etapas)**, conforme apropriado para seu aplicativo e, em seguida, escolha **Next (Próximo)**.

1. Escolha as configurações nos painéis **Hardware** e **General Cluster Settings (Configurações gerais do cluster)**, conforme apropriado para seu aplicativo.

1. No painel **Security (Segurança)**, em **Authentication and encryption (Autenticação e criptografia)**, selecione a opção **S3 Encryption (with EMRFS) (Criptografia do S3 (com EMRFS))** a ser usada.
**nota**  
A **criptografia do lado do servidor do S3 com gerenciamento de chaves do KMS** (SSE-KMS) não está disponível ao usar o Amazon EMR 4.4 ou versões anteriores.
   + Se você escolher uma opção que use **Gerenciamento de chaves da AWS **, escolha um **ID da chave do AWS KMS**. Para obter mais informações, consulte [Usando AWS KMS keys para criptografia EMRFS](#emr-emrfs-awskms).
   + Se você escolher **S3 client-side encryption with custom materials provider (Criptografia do lado do cliente do S3 com fornecedor de materiais personalizados)**, forneça o **Class name (Nome da classe)** e o **JAR location (Local de JAR)**. Para obter mais informações, consulte [Criptografia do lado do cliente do Amazon S3](emr-emrfs-encryption-cse.md).

1. Escolha outras opções conforme apropriado para seu aplicativo e, em seguida, escolha **Create Cluster (Criar cluster)**.

## Usando AWS KMS keys para criptografia EMRFS
<a name="emr-emrfs-awskms"></a>

A chave de AWS KMS criptografia deve ser criada na mesma região da sua instância de cluster do Amazon EMR e dos buckets do Amazon S3 usados com o EMRFS. Se a chave especificada estiver em uma conta diferente da que foi usada para configurar um cluster, será necessário especificar a chave usando o respectivo ARN.

O perfil do perfil de instância do Amazon EC2 deverá ter permissões para usar a chave do KMS que você especificar. O perfil padrão para o perfil de instância no Amazon EMR é `EMR_EC2_DefaultRole`. Se você usar um perfil diferente para o perfil de instância ou usar perfis do IAM para solicitações do EMRFS para o Amazon S3, certifique-se de que cada perfil seja adicionado como um usuário de chave, conforme o caso. Isso concede ao perfil permissões para usar a chave do KMS. Para obter mais informações, consulte [Using Key Policies](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) no *Guia do desenvolvedor do AWS Key Management Service * e [Configure IAM roles for EMRFS requests to Amazon S3](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-emrfs-iam-roles.html).

Você pode usar o Console de gerenciamento da AWS para adicionar seu perfil de instância ou perfil de instância do EC2 à lista de usuários principais da chave KMS especificada, ou você pode usar o AWS CLI ou um AWS SDK para anexar uma política de chaves apropriada.

O Amazon EMR oferece suporte somente a [chaves do KMS simétricas](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#symmetric-cmks). Não é possível usar uma [chave do KMS assimétrica](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html#asymmetric-cmks) para criptografar dados em repouso em um cluster do Amazon EMR. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte [Identifying symmetric and asymmetric KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html).

O procedimento abaixo descreve como adicionar o perfil de instância do Amazon EMR padrão, `EMR_EC2_DefaultRole`, como um *usuário de chave* usando o Console de gerenciamento da AWS. Ele pressupõe que você já tenha criado uma chave do KMS. Para criar uma nova chave do KMS, consulte [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *.

**Adicionar o perfil de instância do EC2 para Amazon EMR à lista de usuários de chaves de criptografia**

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. Selecione o alias da chave do KMS a ser modificada.

1. Na página de detalhes da chave, em **Key Users (Usuários de chaves)**, escolha **Add (Adicionar)**.

1. Na caixa de diálogo **Add key users (Adicionar usuários da chave)** selecione a função apropriada. O nome da função padrão é `EMR_EC2_DefaultRole`.

1. Escolha **Adicionar**.

## Criptografia do lado do servidor do Amazon S3
<a name="emr-emrfs-encryption-sse"></a>

Todos os buckets do Amazon S3 têm criptografia configurada por padrão, e todos os novos objetos que são carregados em um bucket do S3 são automaticamente criptografados em repouso. O Amazon S3 criptografa os dados no nível do objeto à medida que os grava no disco e os descriptografa quando eles são acessados. Para ter mais informações sobre o SSE, consulte [Proteger os dados usando criptografia do lado do servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) no *Guia do usuário do Amazon Simple Storage Service*.

Você pode escolher entre dois sistemas de gerenciamento de chaves diferentes ao especificar a SSE no Amazon EMR: 
+ **SSE-S3**: o Amazon S3 gerencia as chaves para você.
+ **SSE-KMS** — Você usa um AWS KMS key para configurar políticas adequadas para o Amazon EMR. Para obter mais informações sobre os principais requisitos do Amazon EMR, consulte [Uso AWS KMS keys para criptografia](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-encryption-enable.html#emr-awskms-keys).

A SSE com chaves fornecidas pelo cliente (SSE-C) não está disponível para o uso com o Amazon EMR.

**Para criar um cluster com o SSE-S3 habilitado usando o AWS CLI**
+ Digite o seguinte comando:

  ```
  aws emr create-cluster --release-label {{emr-4.7.2 or earlier}} \
  --instance-count 3 --instance-type m5.xlarge --emrfs Encryption=ServerSide
  ```

Você também pode ativar o SSE-S3 configurando o fs.s3. enableServerSidePropriedade de criptografia para verdadeira nas `emrfs-site` propriedades. Consulte o exemplo para SSE-KMS a seguir e omita a propriedade para Key ID.

**Para criar um cluster com o SSE-KMS ativado usando o AWS CLI**
**nota**  
O SSE-KMS está disponível apenas no Amazon EMR versão 4.5.0 e posteriores.
+ Digite o AWS CLI comando a seguir para criar um cluster com SSE-KMS, onde {{keyID}} está, por exemplo AWS KMS key, um: {{a4567b8-9900-12ab-1234-123a45678901}}

  ```
  aws emr create-cluster --release-label {{emr-4.7.2 or earlier}} --instance-count {{3}} \
  --instance-type {{m5.xlarge}} --use-default-roles \
  --emrfs Encryption=ServerSide,Args=[fs.s3.serverSideEncryption.kms.keyId={{keyId}}]
  ```

  **--OU--**

  Digite o AWS CLI comando a seguir usando a `emrfs-site` classificação e forneça um arquivo JSON de configuração com conteúdo semelhante ao mostrado `myConfig.json` no exemplo abaixo:

  ```
  aws emr create-cluster --release-label {{emr-4.7.2 or earlier}} --instance-count 3 --instance-type {{m5.xlarge}} {{--applications Name=Hadoop }}--configurations {{file://myConfig.json}} --use-default-roles
  ```

  Exemplo de conteúdo de **myConfig.json**:

  ```
  [
    {
      "Classification":"emrfs-site",
      "Properties": {
         "fs.s3.enableServerSideEncryption": "true",
         "fs.s3.serverSideEncryption.kms.keyId":"{{a4567b8-9900-12ab-1234-123a45678901}}"
      }
    }
  ]
  ```

### Propriedades de configuração para SSE-S3 e SSE-KMS
<a name="emr-emrfs-encryption-site-sse-properties"></a>

Essas propriedades podem ser configuradas usando a classificação de configuração `emrfs-site`. O SSE-KMS está disponível apenas no Amazon EMR versão 4.5.0 e posteriores.


| Propriedade  | Valor padrão  | Description  | 
| --- | --- | --- | 
| fs.s3.enableServerSideEncryption | false | Quando definida como **true**, objetos armazenados no Amazon S3 são criptografados usando criptografia do lado do servidor. Se nenhuma chave for especificada, SSE-S3 será usada. | 
| fs.s3.serverSideEncryption.kms.keyId | n/a | Especifica um ID de AWS KMS chave ou ARN. Se uma chave for especificada, SSE-KMS será usada. | 