Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi diam
Anda dapat menjalankan kueri di Amazon Athena pada data terenkripsi di Amazon S3 di Wilayah yang sama dan di sejumlah Wilayah. Anda juga dapat mengenkripsi hasil kueri di Amazon S3 dan data di AWS Glue Katalog Data.
Anda dapat mengenkripsi aset berikut di Athena:
-
Hasil dari semua kueri di Amazon S3, yang Athena toko di lokasi yang dikenal sebagai Amazon S3 hasil lokasi. Anda dapat mengenkripsi hasil kueri disimpan di Amazon S3 apakah set data yang mendasari dienkripsi di Amazon S3 atau tidak. Untuk informasi, lihat Enkripsi hasil kueri Athena yang disimpan di Amazon S3.
-
Data di AWS Glue Katalog Data. Untuk informasi, lihat Izin untuk metadata terenkripsi di AWS Glue Katalog Data.
catatan
Saat Anda menggunakan Athena untuk membaca tabel terenkripsi, Athena menggunakan opsi enkripsi yang ditentukan untuk data tabel, bukan opsi enkripsi untuk hasil kueri. Jika metode atau kunci enkripsi terpisah dikonfigurasi untuk hasil kueri dan data tabel, Athena membaca data tabel tanpa menggunakan opsi enkripsi dan kunci yang digunakan untuk mengenkripsi atau mendekripsi hasil kueri.
Namun, jika Anda menggunakan Athena untuk menyisipkan data ke dalam tabel yang memiliki data terenkripsi, Athena menggunakan konfigurasi enkripsi yang ditentukan untuk hasil kueri untuk mengenkripsi data yang dimasukkan. Misalnya, jika Anda menentukan CSE_KMS
enkripsi untuk hasil kueri, Athena menggunakan yang sama AWS KMS ID kunci yang Anda gunakan untuk enkripsi hasil kueri untuk mengenkripsi data tabel yang disisipkan. CSE_KMS
Topik
Opsi enkripsi Amazon S3 yang didukung
Athena mendukung opsi enkripsi berikut untuk set data dan hasil kueri di Amazon S3.
Jenis enkripsi | Deskripsi | Dukungan Lintas Wilayah |
---|---|---|
SSE-S3 | Enkripsi sisi server (SSE) dengan kunci yang dikelola Amazon S3. | Ya |
SSE-KMS | Enkripsi sisi server () SSE dengan AWS Key Management Service kunci yang dikelola pelanggan. catatanDengan jenis enkripsi ini, Athena tidak mengharuskan Anda untuk menunjukkan bahwa data dienkripsi saat Anda membuat tabel. |
Ya |
CSE-KMS |
Enkripsi sisi klien (CSE) dengan AWS KMS kunci yang dikelola pelanggan. Di Athena, opsi ini mengharuskan Anda menggunakan |
Tidak |
Untuk informasi lebih lanjut tentang AWS KMS enkripsi dengan Amazon S3, lihat Apa itu AWS Key Management Servicedan Bagaimana Amazon Simple Storage Service (Amazon S3) menggunakan AWS KMSdi AWS Key Management Service Panduan Pengembang. Untuk informasi selengkapnya tentang menggunakan SSE - KMS atau CSE - KMS dengan Athena, lihat Peluncuran: Amazon Athena menambahkan dukungan untuk menanyakan
Opsi yang tidak didukung
Opsi enkripsi berikut tidak didukung:
-
SSEdengan kunci yang disediakan pelanggan (SSE-C).
-
Enkripsi sisi klien menggunakan kunci terkelola sisi klien.
-
Kunci asimetris.
Untuk membandingkan opsi enkripsi Amazon S3, lihat Melindungi data menggunakan enkripsi di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
Alat untuk enkripsi sisi klien
Untuk enkripsi sisi klien, perhatikan bahwa dua alat yang tersedia:
-
Klien enkripsi Amazon S3 — Ini mengenkripsi data hanya untuk Amazon S3 dan didukung oleh Athena.
-
AWS Encryption SDK— SDK Dapat digunakan untuk mengenkripsi data di mana saja AWS tetapi tidak didukung langsung oleh Athena.
Alat-alat ini tidak kompatibel, dan data yang dienkripsi menggunakan satu alat tidak dapat didekripsi oleh yang lain. Athena hanya mendukung Amazon S3 Encryption Client secara langsung. Jika Anda menggunakan SDK untuk mengenkripsi data Anda, Anda dapat menjalankan kueri dari Athena, tetapi data dikembalikan sebagai teks terenkripsi.
Jika Anda ingin menggunakan Athena untuk menanyakan data yang telah dienkripsi dengan AWS EnkripsiSDK, Anda harus mengunduh dan mendekripsi data Anda, dan kemudian mengenkripsi lagi menggunakan Klien Enkripsi Amazon S3.
Izin untuk data terenkripsi di Amazon S3
Tergantung pada jenis enkripsi yang Anda gunakan di Amazon S3, Anda mungkin perlu menambahkan izin, juga dikenal sebagai tindakan “Izinkan”, ke kebijakan Anda yang digunakan di Athena:
-
SSE-S3 — Jika Anda menggunakan SSE -S3 untuk enkripsi, pengguna Athena tidak memerlukan izin tambahan dalam kebijakan mereka. Ini cukup untuk memiliki izin Amazon S3 yang sesuai untuk lokasi Amazon S3 yang sesuai dan untuk tindakan Athena. Untuk informasi selengkapnya tentang kebijakan yang mengizinkan izin Athena dan Amazon S3 yang sesuai, lihat dan. AWS kebijakan terkelola untuk Amazon Athena Kontrol akses ke Amazon S3 dari Athena
-
AWS KMS— Jika Anda menggunakan AWS KMS untuk enkripsi, pengguna Athena harus diizinkan untuk melakukan tertentu AWS KMS tindakan selain izin Athena dan Amazon S3. Anda mengizinkan tindakan ini dengan mengedit kebijakan kunci untuk AWS KMS dikelola pelanggan CMKs yang digunakan untuk mengenkripsi data di Amazon S3. Untuk menambahkan pengguna kunci ke yang sesuai AWS KMS kebijakan utama, Anda dapat menggunakan AWS KMS konsol di https://console.aws.amazon.com/kms
. Untuk informasi tentang cara menambahkan pengguna ke AWS KMS kebijakan kunci, lihat Mengizinkan pengguna kunci untuk menggunakan CMK di AWS Key Management Service Panduan Pengembang. catatan
Advanced key policy administrator dapat menyesuaikan kebijakan kunci.
kms:Decrypt
adalah tindakan minimum yang diizinkan bagi pengguna Athena untuk bekerja dengan set data terenkripsi. Untuk bekerja dengan hasil kueri terenkripsi, tindakan minimum yang diizinkankms:GenerateDataKey
dankms:Decrypt
.Saat menggunakan Athena untuk menanyakan kumpulan data di Amazon S3 dengan sejumlah besar objek yang dienkripsi AWS KMS, AWS KMS dapat membatasi hasil kueri. Ini lebih mungkin terjadi jika ada sejumlah besar objek kecil. Athena mendukung permintaan coba lagi, tetapi kesalahan throttling mungkin masih terjadi. Jika Anda bekerja dengan sejumlah besar objek terenkripsi dan mengalami masalah ini, salah satu opsi adalah mengaktifkan kunci bucket Amazon S3 untuk mengurangi jumlah panggilan ke. KMS Untuk informasi selengkapnya, lihat Mengurangi biaya SSE - KMS dengan kunci Bucket Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Pilihan lain adalah meningkatkan kuota layanan Anda untuk AWS KMS. Untuk informasi selengkapnya, lihat Kuota di AWS Key Management Service Panduan Pengembang.
Untuk informasi pemecahan masalah tentang izin saat menggunakan Amazon S3 dengan Athena, lihatIzinBagian dariMemecahkan masalah di Athenatopik.
Izin untuk metadata terenkripsi di AWS Glue Katalog Data
Jika Anda mengenkripsi metadata di AWS Glue Data Catalog, Anda harus menambahkan"kms:GenerateDataKey"
,"kms:Decrypt"
, dan "kms:Encrypt"
tindakan ke kebijakan yang Anda gunakan untuk mengakses Athena. Untuk informasi, lihat Konfigurasikan akses dari Athena ke metadata terenkripsi di AWS Glue Data Catalog.