Configuración del cifrado mínimo para un grupo de trabajo - Amazon Athena
Consideraciones y limitacionesHabilitación del cifrado mínimo para un grupo de trabajo

Configuración del cifrado mínimo para un grupo de trabajo

Como administrador de un grupo de trabajo de Athena SQL, puede aplicar un nivel mínimo de cifrado en Amazon S3 para todos los resultados de las consultas del grupo de trabajo. Puede utilizar esta característica para asegurarse de que los resultados de las consultas nunca se almacenen en un bucket de Amazon S3 sin cifrar.

Cuando los usuarios de un grupo de trabajo con el cifrado mínimo habilitado envían una consulta, solo pueden establecer el cifrado en el nivel mínimo que configure o en un nivel superior si hay alguno disponible. Athena cifra los resultados de la consulta en el nivel especificado cuando el usuario ejecuta la consulta o en el nivel establecido en el grupo de trabajo.

Se encuentran disponibles los siguientes niveles:

  • Básico: cifrado del servidor de Amazon S3 con claves administradas por Amazon S3 (SSE_S3).

  • Intermedio: cifrado del servidor con claves administradas por KMS (SSE_KMS).

  • Avanzado: cifrado del cliente con claves administradas por KMS (CSE_KMS).

Consideraciones y limitaciones

  • La característica de cifrado mínimo no se encuentra disponible para los grupos de trabajo habilitados para Apache Spark.

  • La característica de cifrado mínimo solo funciona cuando el grupo de trabajo no habilita la opción Invalidar la configuración del cliente.

  • Si el grupo de trabajo tiene habilitada la opción Invalidar la configuración del cliente, prevalece la configuración de cifrado del grupo de trabajo y la configuración de cifrado mínimo no tiene efecto.

  • La habilitación de esta característica no tiene ningún costo.

Habilitación del cifrado mínimo para un grupo de trabajo

Puede habilitar un nivel de cifrado mínimo para los resultados de las consultas de su grupo de trabajo de Athena SQL al crear o actualizar el grupo de trabajo. Para ello, puede utilizar la consola, la API o la AWS CLI de Athena.

Para comenzar a crear o editar un grupo de trabajo mediante la consola de Athena, consulte Crear un grupo de trabajo o Editar un grupo de trabajo. Al configurar el grupo de trabajo, proceda con los siguientes pasos para habilitar el cifrado mínimo.

A fin de configurar el nivel de cifrado mínimo para los resultados de las consultas del grupo de trabajo

  1. Desactive la opción Invalidar la configuración del cliente o compruebe que no se encuentre seleccionada.

  2. Seleccione la opción Cifrado de los resultados de la consulta.

  3. En Tipo de cifrado, seleccione el método de cifrado que desee que Athena utilice para los resultados de las consultas de su grupo de trabajo (SSE_S3, SSE_KMS o CSE_KMS). Estos tipos de cifrado corresponden a los niveles de seguridad básico, intermedio y avanzado.

  4. A fin de aplicar el método de cifrado que eligió como nivel mínimo de cifrado para todos los usuarios, seleccione Establecer encryption_method como cifrado mínimo.

    Al seleccionar esta opción, en una tabla se muestra la jerarquía de cifrado y los niveles de cifrado que se permitirán a los usuarios cuando el tipo de cifrado que elija pase a ser el mínimo.

  5. Después de crear el grupo de trabajo o actualizar la configuración del grupo de trabajo, elija Crear grupo de trabajo o Guardar cambios.

Cuando utilice la API CreateWorkGroup o UpdateWorkGroup para crear o actualizar un grupo de trabajo de Athena SQL, establezca EnforceWorkGroupConfiguration en false, EnableMinimumEncryptionConfiguration en true, y utilice EncryptionOption a fin de especificar el tipo de cifrado.

En la AWS CLI, utilice el comando create-work-group o update-work-group con los parámetros --configuration o --configuration-updates y especifique las opciones correspondientes a las de la API.