多くのAWSのお客様が膨大な量のデータを処理するためにAmazon EMRを利用しています。 Hadoopを中心に、EMRはこうしたお客様に迅速にそして効果的に生データを処理し、それらを実行可能なビジネスインテリジェンスに変換することのできる非常に拡張性の高い処理システムを提供します。
EMR File System(EMRFS)はAmazon EMRのクラスターがAmazon Simple Storage Service (S3)上にあるデータを直接操作することを可能にし、これはS3上の入出力ファイルをお客様が取り扱うことを容易にしています。 これまでは、EMRFSはS3上の非暗号化及びサーバー側で暗号化されたオブジェクトをサポートしていました。
EMRFSのAmazon S3のクライアント側の暗号化(Client-Side Encryption)のサポート
本日、私達はお客様が自分自身の暗号鍵を使うことができる、クライアント側で暗号化されたS3上のオブジェクトのサポートを追加しました。 EMRFSのS3のクライアント側の暗号化は通常のS3 Encryption Clientで使われるものと同じエンベロープ暗号化(envelope encryption)を利用し、このClientを利用してS3にアップロードされたデータを容易に処理することを可能とします。 ただし、この機能はあなたのAmazon EMRのローカルディスクのHDFS上に保管されているデータやクラスター間を転送されるデータは暗号化しません。
暗号化はEMRクラスター上で実行されているアプリケーションからは透過的に行われます。
あなたは暗号鍵をAWS Key Management Service (KMS)に保管することや、オンプレミスのHSM上や他の鍵管理システム上にある暗号鍵にアクセスする自身の仕組みを提供することができます。 Amazon EMRはあなたが提供するEncryption Material Providerを利用することができます。 そのためあなたはAmazon EMRが利用できるのであればどのような場所にでも暗号鍵を保管することができます。
コンソールからの暗号機能有効化
あなたはこの新しい機能をEMRのコンソールからこのように有効化することができます。
あなたが選択したオプションに基づき、コンソールは更なる情報を提示します。 例えば、もしあなたがKey Management Serviceを利用することを選択したとすると、あなたはメニューから好きな鍵を選ぶことができます。(もし鍵が他のAWSアカウントのものであった場合、あなたはAWS KMS keyのARNを入れることもできます。)
EMRFSでのカスタムKey Management
あなたはユーザーが定義したロジックを用いて暗号鍵をEMRFSに提供するカスタムのEncryption Materials Providerクラスを作成することができます。 EMRFSは復号のためにどの鍵を取得すべきか通知するため、S3上のオブジェクトのメタデータからプロバイダーに情報を渡します。 あなたのコードはどのように暗号鍵を取得するかについての情報を含まなければならず、EMRFSはプロバイダーが渡した暗号鍵を使用します。 あなたがカスタムのEncryption Materials Providerオプションを指定したときには、あなたのプロバイダーのAmazon S3の場所さえ提示すればよく、Amazon EMRは自動的にそのプロバイダーをクラスターに追加し、EMRFSと共に使用します。
今から利用可能です
この機能は今利用可能になり、あなたは今日からこれを使うことができます。 利用の際には最新のEMR AMI(バージョン3.6.0以降)を使用する必要があります。
- Jeff (日本語訳は高田智己が担当しました)