Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perlindungan data di Athena
Bagian AWS model tanggung jawab bersama model
Untuk tujuan perlindungan data, kami menyarankan Anda untuk melindungi Akun AWS kredensi dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
-
Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.
-
GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.
-
Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang menggunakan CloudTrail jalur untuk menangkap AWS kegiatan, lihat Bekerja dengan CloudTrail jalan setapak di AWS CloudTrail Panduan Pengguna.
-
Gunakan AWS solusi enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
-
Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
-
Jika Anda memerlukan FIPS 140-3 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atauAPI, gunakan FIPS titik akhir. Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat Federal Information Processing Standard (FIPS) 140-3
.
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk ketika Anda bekerja dengan Athena atau lainnya Layanan AWS menggunakan konsol,API, AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Jika Anda memberikan URL ke server eksternal, kami sangat menyarankan agar Anda tidak menyertakan informasi kredensil dalam URL untuk memvalidasi permintaan Anda ke server tersebut.
Sebagai langkah keamanan tambahan, Anda dapat menggunakan aws:CalledViakunci konteks kondisi global untuk membatasi permintaan hanya yang dibuat dari Athena. Untuk informasi selengkapnya, lihat Gunakan tombol CalledVia konteks untuk Athena.
Lindungi berbagai jenis data
Beberapa jenis data yang terlibat saat Anda menggunakan Athena untuk membuat basis data dan tabel. Tipe data ini mencakup data sumber yang disimpan di Amazon S3, metadata untuk database, dan tabel yang Anda buat saat menjalankan kueri atau AWS Glue Crawler untuk menemukan data, data hasil kueri, dan riwayat kueri. Bagian ini membahas setiap jenis data dan memberikan panduan tentang melindunginya.
-
Sumber data— Anda menyimpan data untuk basis data dan tabel di Amazon S3, dan Athena tidak memodifikasinya. Untuk informasi selengkapnya, lihat Perlindungan data di Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Anda mengontrol akses ke sumber data Anda dan dapat mengenkripsi di Amazon S3. Anda dapat menggunakan Athena untukmembuat tabel berdasarkan set data terenkripsi di Amazon S3.
-
Database dan metadata tabel (skema) — Athena menggunakan schema-on-read teknologi, yang berarti bahwa definisi tabel Anda diterapkan ke data Anda di Amazon S3 saat Athena menjalankan kueri. Skema apa pun yang Anda tentukan akan disimpan secara otomatis kecuali Anda menghapusnya secara eksplisit. Di Athena, Anda dapat memodifikasi metadata Katalog Data menggunakan pernyataan. DDL Anda juga dapat menghapus definisi tabel dan skema tanpa mempengaruhi data yang mendasari disimpan di Amazon S3. Metadata untuk database dan tabel yang Anda gunakan di Athena disimpan di AWS Glue Data Catalog.
Anda dapat menentukan kebijakan akses berbutir halus ke database dan tabel yang terdaftar di AWS Glue Data Catalog memakai AWS Identity and Access Management (IAM). Anda juga dapat mengenkripsi metadata di AWS Glue Data Catalog. Jika Anda mengenkripsi metadata, gunakan izin untuk metadata terenkripsi untuk akses.
-
Hasil kueri dan riwayat kueri, termasuk kueri tersimpan— Hasil kueri disimpan di lokasi di Amazon S3 yang dapat Anda pilih untuk menentukan secara global, atau untuk setiap grup kerja. Jika tidak ditentukan, Athena menggunakan lokasi default dalam setiap kasus. Anda mengontrol akses ke bucket Amazon S3 tempat Anda menyimpan hasil kueri dan kueri disimpan. Selain itu, Anda dapat memilih untuk mengenkripsi hasil kueri yang Anda simpan di Amazon S3. Pengguna Anda harus memiliki izin yang sesuai untuk mengakses lokasi Amazon S3 dan mendekripsi file. Untuk informasi lebih lanjut, lihat Enkripsi hasil kueri Athena yang disimpan di Amazon S3 di dokumen ini.
Athena mengekalkan riwayat pertanyaan selama 45 hari. Anda dapat melihat riwayat kueri menggunakan AthenaAPIs, di konsol, dan dengan AWS CLI. Untuk menyimpan kueri selama lebih dari 45 hari, simpan. Untuk melindungi akses ke kueri yang disimpan,Gunakan grup kerjadi Athena, membatasi akses ke kueri yang disimpan hanya untuk pengguna yang berwenang untuk melihatnya.