Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können in Amazon Athena Abfragen zu verschlüsselten Daten in Amazon S3 in derselben Region und in einer begrenzten Anzahl von Regionen ausführen. Sie können auch die Abfrageergebnisse in Amazon S3 und die Daten in der AWS Glue Datenkatalog.
Sie können die folgenden Ressourcen in Athena verschlüsseln:
-
Die Ergebnisse aller Abfragen in Amazon S3, die von Athena in einem als Amazon-S3-Ergebnisort bezeichneten Ort gespeichert werden. Die in Amazon S3 gespeicherten Abfrageergebnisse lassen sich verschlüsseln, und zwar unabhängig davon, ob der zugrunde liegende Datensatz in Amazon S3 verschlüsselt oder unverschlüsselt ist. Weitere Informationen finden Sie unter Verschlüsseln Sie die in Amazon S3 gespeicherten Athena-Abfrageergebnisse.
-
Die Daten in der AWS Glue Datenkatalog. Weitere Informationen finden Sie unter Berechtigungen für verschlüsselte Metadaten im AWS Glue Data Catalog.
Anmerkung
Wenn Sie Athena verwenden, um eine verschlüsselte Tabelle zu lesen, verwendet Athena die für die Tabellendaten angegebenen Verschlüsselungsoptionen, nicht die Verschlüsselungsoption für die Abfrageergebnisse. Wenn separate Verschlüsselungsmethoden oder Schlüssel für Abfrageergebnisse und Tabellendaten konfiguriert sind, liest Athena die Tabellendaten, ohne die Verschlüsselungsoption und den Schlüssel zu verwenden, die zum Verschlüsseln oder Entschlüsseln der Abfrageergebnisse verwendet werden.
Wenn Sie jedoch Athena verwenden, um Daten in eine Tabelle einzufügen, die verschlüsselte Daten enthält, verwendet Athena die Verschlüsselungskonfiguration, die für die Abfrageergebnisse angegeben wurde, um die eingefügten Daten zu verschlüsseln. Wenn Sie beispielsweise CSE_KMS Verschlüsselung für Abfrageergebnisse angeben, verwendet Athena dieselbe AWS KMS Schlüssel-ID, mit der Sie für die Verschlüsselung der Abfrageergebnisse die eingefügten Tabellendaten verschlüsselt haben. CSE_KMS
Themen
Unterstützte Verschlüsselungsoptionen der Amazon S3
Athena unterstützt die folgenden Verschlüsselungsoptionen für Datasets und Abfrageergebnisse in Amazon S3.
| Verschlüsselungstyp | Beschreibung | Regionsübergreifende Unterstützung |
|---|---|---|
| SSE-S3 | Serverseitige Verschlüsselung (SSE) mit einem von Amazon S3 verwalteten Schlüssel. | Ja |
| SSE-KMS | Serverseitige Verschlüsselung () SSE mit einem AWS Key Management Service vom Kunden verwalteter Schlüssel. AnmerkungBei diesem Verschlüsselungstyp müssen Sie beim Erstellen einer Tabelle in Athena nicht angeben, dass Daten verschlüsselt sind. |
Ja |
| CSE-KMS |
Clientseitige Verschlüsselung (CSE) mit einem AWS KMS vom Kunden verwalteter Schlüssel. In Athena erfordert diese Option, dass Sie eine |
Nein |
Weitere Informationen zur AWS KMS Verschlüsselung mit Amazon S3, siehe Was ist AWS Key Management Serviceund wie Amazon Simple Storage Service (Amazon S3) verwendet AWS KMS in der AWS Key Management Service Leitfaden für Entwickler. Weitere Informationen zur Verwendung von SSE — KMS oder CSE — KMS mit Athena finden Sie unter Launch: Amazon Athena bietet Unterstützung für die Abfrage verschlüsselter Daten
Nicht unterstützte Optionen
Die folgenden Verschlüsselungsoptionen werden nicht unterstützt:
-
SSEmit vom Kunden bereitgestellten Schlüsseln (SSE-C).
-
Clientseitige Verschlüsselung mit einem clientseitigen verwalteten Schlüssel.
-
Asymmetrische Schlüssel.
Einen Vergleich der Verschlüsselungsoptionen von Amazon S3 finden Sie unter Daten durch Verschlüsselung schützen im Benutzerhandbuch für Amazon Simple Storage Service.
Tools für die clientseitige Verschlüsselung
Beachten Sie für die clientseitige Verschlüsselung, dass zwei Tools verfügbar sind:
-
Amazon-S3-Verschlüsselungs-Client – Dies verschlüsselt Daten nur für Amazon S3 und wird von Athena unterstützt.
-
AWS Encryption SDK— SDK Sie können verwendet werden, um Daten überall zu verschlüsseln AWS wird aber nicht direkt von Athena unterstützt.
Diese Tools sind nicht kompatibel und Daten, die mit einem Tool verschlüsselt wurden, können nicht vom anderen entschlüsselt werden. Athena unterstützt den Amazon-S3-Verschlüsselungs-Client nur direkt. Wenn Sie die verwenden, SDK um Ihre Daten zu verschlüsseln, können Sie Abfragen von Athena ausführen, aber die Daten werden als verschlüsselter Text zurückgegeben.
Wenn Sie Athena verwenden möchten, um Daten abzufragen, die mit dem verschlüsselt wurden AWS VerschlüsselungSDK: Sie müssen Ihre Daten herunterladen und entschlüsseln und sie dann erneut mit dem Amazon S3 Encryption Client verschlüsseln.
Berechtigungen für verschlüsselte Daten in Amazon S3
Abhängig von der Art der in Amazon S3 verwendeten Verschlüsselung müssen Sie möglicherweise Berechtigungen, auch „Allow“-Aktionen (Zulassen) genannt, zu Ihren in Athena verwendeten Richtlinien hinzufügen:
-
SSE-S3 — Wenn Sie SSE -S3 für die Verschlüsselung verwenden, benötigen Athena-Benutzer keine zusätzlichen Berechtigungen in ihren Richtlinien. Es reicht, wenn die entsprechenden Amazon-S3-Berechtigungen für den jeweiligen Amazon-S3-Speicherort und für Athena-Aktionen vorhanden sind. Weitere Informationen zu Richtlinien, die entsprechende Athena- und Amazon-S3-Berechtigungen erlauben, finden Sie unter AWS verwaltete Richtlinien für Amazon Athena und Steuern Sie den Zugriff auf Amazon S3 von Athena aus.
-
AWS KMS— Wenn Sie verwenden AWS KMS Für die Verschlüsselung müssen Athena-Benutzer bestimmte Funktionen ausführen dürfen AWS KMS Aktionen zusätzlich zu den Athena- und Amazon S3 S3-Berechtigungen. Sie erlauben diese Aktionen, indem Sie die Schlüsselrichtlinie für die bearbeiten AWS KMS vom Kunden verwaltetCMKs, die zur Verschlüsselung von Daten in Amazon S3 verwendet werden. Um Schlüsselbenutzer zu den entsprechenden hinzuzufügen AWS KMS Wichtige Richtlinien können Sie verwenden AWS KMS Konsole unter https://console.aws.amazon.com/kms
. Für Informationen darüber, wie Sie einen Benutzer zu einem hinzufügen AWS KMS Eine wichtige Richtlinie finden Sie unter Erlaubt Hauptbenutzern die Verwendung von CMK in AWS Key Management Service Leitfaden für Entwickler. Anmerkung
Erfahrene Schlüsselrichtlinien-Administratoren können die Schlüsselrichtlinien anpassen.
kms:Decryptist die minimal erlaubte Aktion für einen Athena-Benutzer, um mit einem verschlüsselten Datensatz arbeiten zu können. Zur Nutzung von verschlüsselten Abfrageergebnissen sind Berechtigungen für die Aktionenkms:GenerateDataKeyundkms:Decryptnotwendig.Wenn Sie Athena verwenden, um Datensätze in Amazon S3 mit einer großen Anzahl von Objekten abzufragen, die verschlüsselt sind mit AWS KMS, AWS KMS kann Abfrageergebnisse drosseln. Bei einer hohen Zahl kleiner Objekte ist dies noch wahrscheinlicher. Wiederholte Anforderungen werden von Athena unterbunden, dennoch kann ein Drosselungsfehler auftreten. Wenn Sie mit einer großen Anzahl verschlüsselter Objekte arbeiten und dieses Problem auftritt, besteht eine Möglichkeit darin, Amazon S3 S3-Bucket-Keys zu aktivieren, um die Anzahl der Aufrufe zu reduzierenKMS. Weitere Informationen finden Sie unter Senkung der Kosten von SSE — KMS mit Amazon S3 S3-Bucket-Schlüsseln im Amazon Simple Storage Service-Benutzerhandbuch. Eine weitere Option ist die Erhöhung Ihrer Servicekontingenten für AWS KMS. Weitere Informationen finden Sie unter Kontingente in der AWS Key Management Service Leitfaden für Entwickler.
Informationen zur Fehlerbehebung bei Berechtigungen bei der Verwendung von Amazon S3 mit Athena finden Sie im Abschnitt Berechtigungen des Themas Probleme in Athena beheben.
Berechtigungen für verschlüsselte Metadaten im AWS Glue
Data Catalog
Wenn Sie Metadaten verschlüsseln in der AWS Glue Data Catalog, müssen Sie den Richtlinien "kms:GenerateDataKey""kms:Decrypt", die Sie für den Zugriff auf Athena verwenden, "kms:Encrypt" Aktionen und hinzufügen. Weitere Informationen finden Sie unter Konfigurieren Sie den Zugriff von Athena auf verschlüsselte Metadaten in AWS Glue Data Catalog.
