Opsi enkripsi Amazon S3 yang didukung Izin untuk data terenkripsi di Amazon S3 Izin untuk metadata terenkripsi di AWS Glue Katalog Data

Enkripsi diam

Anda dapat menjalankan kueri di Amazon Athena pada data terenkripsi di Amazon S3 di Wilayah yang sama dan di sejumlah Wilayah. Anda juga dapat mengenkripsi hasil kueri di Amazon S3 dan data di AWS Glue Katalog Data.

Anda dapat mengenkripsi aset berikut di Athena:

Hasil dari semua kueri di Amazon S3, yang Athena toko di lokasi yang dikenal sebagai Amazon S3 hasil lokasi. Anda dapat mengenkripsi hasil kueri disimpan di Amazon S3 apakah set data yang mendasari dienkripsi di Amazon S3 atau tidak. Untuk informasi, lihat Enkripsi hasil kueri Athena yang disimpan di Amazon S3.
Data di AWS Glue Katalog Data. Untuk informasi, lihat Izin untuk metadata terenkripsi di AWS Glue Katalog Data.

catatan

Saat Anda menggunakan Athena untuk membaca tabel terenkripsi, Athena menggunakan opsi enkripsi yang ditentukan untuk data tabel, bukan opsi enkripsi untuk hasil kueri. Jika metode atau kunci enkripsi terpisah dikonfigurasi untuk hasil kueri dan data tabel, Athena membaca data tabel tanpa menggunakan opsi enkripsi dan kunci yang digunakan untuk mengenkripsi atau mendekripsi hasil kueri.

Namun, jika Anda menggunakan Athena untuk menyisipkan data ke dalam tabel yang memiliki data terenkripsi, Athena menggunakan konfigurasi enkripsi yang ditentukan untuk hasil kueri untuk mengenkripsi data yang dimasukkan. Misalnya, jika Anda menentukan CSE_KMS enkripsi untuk hasil kueri, Athena menggunakan yang sama AWS KMS ID kunci yang Anda gunakan untuk enkripsi hasil kueri untuk mengenkripsi data tabel yang disisipkan. CSE_KMS

Topik

Opsi enkripsi Amazon S3 yang didukung

Athena mendukung opsi enkripsi berikut untuk set data dan hasil kueri di Amazon S3.

Jenis enkripsi	Deskripsi	Dukungan Lintas Wilayah
SSE-S3	Enkripsi sisi server (SSE) dengan kunci yang dikelola Amazon S3.	Ya
SSE-KMS	Enkripsi sisi server () SSE dengan AWS Key Management Service kunci yang dikelola pelanggan. catatan Dengan jenis enkripsi ini, Athena tidak mengharuskan Anda untuk menunjukkan bahwa data dienkripsi saat Anda membuat tabel.	Ya
CSE-KMS	Enkripsi sisi klien (CSE) dengan AWS KMS kunci yang dikelola pelanggan. Di Athena, opsi ini mengharuskan Anda menggunakan`CREATE TABLE`dengan`TBLPROPERTIES`Klausul yang menentukan`'has_encrypted_data'='true'`. Untuk informasi selengkapnya, lihat Buat tabel berdasarkan kumpulan data terenkripsi di Amazon S3.	Tidak

Untuk informasi lebih lanjut tentang AWS KMS enkripsi dengan Amazon S3, lihat Apa itu AWS Key Management Servicedan Bagaimana Amazon Simple Storage Service (Amazon S3) menggunakan AWS KMSdi AWS Key Management Service Panduan Pengembang. Untuk informasi selengkapnya tentang menggunakan SSE - KMS atau CSE - KMS dengan Athena, lihat Peluncuran: Amazon Athena menambahkan dukungan untuk menanyakan data terenkripsi dari AWS Blog Data Besar.

Opsi yang tidak didukung

Opsi enkripsi berikut tidak didukung:

SSEdengan kunci yang disediakan pelanggan (SSE-C).
Enkripsi sisi klien menggunakan kunci terkelola sisi klien.
Kunci asimetris.

Untuk membandingkan opsi enkripsi Amazon S3, lihat Melindungi data menggunakan enkripsi di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Alat untuk enkripsi sisi klien

Untuk enkripsi sisi klien, perhatikan bahwa dua alat yang tersedia:

Klien enkripsi Amazon S3 — Ini mengenkripsi data hanya untuk Amazon S3 dan didukung oleh Athena.
AWS Encryption SDK— SDK Dapat digunakan untuk mengenkripsi data di mana saja AWS tetapi tidak didukung langsung oleh Athena.

Alat-alat ini tidak kompatibel, dan data yang dienkripsi menggunakan satu alat tidak dapat didekripsi oleh yang lain. Athena hanya mendukung Amazon S3 Encryption Client secara langsung. Jika Anda menggunakan SDK untuk mengenkripsi data Anda, Anda dapat menjalankan kueri dari Athena, tetapi data dikembalikan sebagai teks terenkripsi.

Jika Anda ingin menggunakan Athena untuk menanyakan data yang telah dienkripsi dengan AWS EnkripsiSDK, Anda harus mengunduh dan mendekripsi data Anda, dan kemudian mengenkripsi lagi menggunakan Klien Enkripsi Amazon S3.

Izin untuk data terenkripsi di Amazon S3

Tergantung pada jenis enkripsi yang Anda gunakan di Amazon S3, Anda mungkin perlu menambahkan izin, juga dikenal sebagai tindakan “Izinkan”, ke kebijakan Anda yang digunakan di Athena:

SSE-S3 — Jika Anda menggunakan SSE -S3 untuk enkripsi, pengguna Athena tidak memerlukan izin tambahan dalam kebijakan mereka. Ini cukup untuk memiliki izin Amazon S3 yang sesuai untuk lokasi Amazon S3 yang sesuai dan untuk tindakan Athena. Untuk informasi selengkapnya tentang kebijakan yang mengizinkan izin Athena dan Amazon S3 yang sesuai, lihat dan. AWS kebijakan terkelola untuk Amazon Athena Kontrol akses ke Amazon S3 dari Athena
AWS KMS— Jika Anda menggunakan AWS KMS untuk enkripsi, pengguna Athena harus diizinkan untuk melakukan tertentu AWS KMS tindakan selain izin Athena dan Amazon S3. Anda mengizinkan tindakan ini dengan mengedit kebijakan kunci untuk AWS KMS dikelola pelanggan CMKs yang digunakan untuk mengenkripsi data di Amazon S3. Untuk menambahkan pengguna kunci ke yang sesuai AWS KMS kebijakan utama, Anda dapat menggunakan AWS KMS konsol di https://console.aws.amazon.com/kms. Untuk informasi tentang cara menambahkan pengguna ke AWS KMS kebijakan kunci, lihat Mengizinkan pengguna kunci untuk menggunakan CMK di AWS Key Management Service Panduan Pengembang.

catatan
Advanced key policy administrator dapat menyesuaikan kebijakan kunci. kms:Decrypt adalah tindakan minimum yang diizinkan bagi pengguna Athena untuk bekerja dengan set data terenkripsi. Untuk bekerja dengan hasil kueri terenkripsi, tindakan minimum yang diizinkan kms:GenerateDataKey dan kms:Decrypt.

Saat menggunakan Athena untuk menanyakan kumpulan data di Amazon S3 dengan sejumlah besar objek yang dienkripsi AWS KMS, AWS KMS dapat membatasi hasil kueri. Ini lebih mungkin terjadi jika ada sejumlah besar objek kecil. Athena mendukung permintaan coba lagi, tetapi kesalahan throttling mungkin masih terjadi. Jika Anda bekerja dengan sejumlah besar objek terenkripsi dan mengalami masalah ini, salah satu opsi adalah mengaktifkan kunci bucket Amazon S3 untuk mengurangi jumlah panggilan ke. KMS Untuk informasi selengkapnya, lihat Mengurangi biaya SSE - KMS dengan kunci Bucket Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Pilihan lain adalah meningkatkan kuota layanan Anda untuk AWS KMS. Untuk informasi selengkapnya, lihat Kuota di AWS Key Management Service Panduan Pengembang.

Untuk informasi pemecahan masalah tentang izin saat menggunakan Amazon S3 dengan Athena, lihatIzinBagian dariMemecahkan masalah di Athenatopik.

Izin untuk metadata terenkripsi di AWS Glue Katalog Data

Jika Anda mengenkripsi metadata di AWS Glue Data Catalog, Anda harus menambahkan"kms:GenerateDataKey","kms:Decrypt", dan "kms:Encrypt" tindakan ke kebijakan yang Anda gunakan untuk mengakses Athena. Untuk informasi, lihat Konfigurasikan akses dari Athena ke metadata terenkripsi di AWS Glue Data Catalog.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Perlindungan data

Enkripsi hasil kueri Athena yang disimpan di Amazon S3