Crittografia a riposo - Amazon Athena

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia a riposo

Puoi eseguire query su Amazon Athena su dati crittografati in Amazon S3 nella stessa Regione e in un numero limitato di Regioni. Puoi anche crittografare i risultati delle query in Amazon S3 e i dati in AWS Glue Catalogo dati.

È possibile crittografare le seguenti risorse in Athena:

Nota

Quando si utilizza Athena per leggere una tabella crittografata, Athena utilizza le opzioni di crittografia specificate per i dati della tabella, non l'opzione di crittografia per i risultati della query. Se sono configurati metodi o chiavi di crittografia separati per i risultati delle query e i dati della tabella, Athena legge i dati della tabella senza utilizzare l'opzione di crittografia e la chiave utilizzate per crittografare o decrittografare i risultati della query.

Tuttavia, se si utilizza Athena per inserire dati in una tabella con dati crittografati, Athena utilizza la configurazione di crittografia specificata per i risultati della query per crittografare i dati inseriti. Ad esempio, se si specifica la CSE_KMS crittografia per i risultati delle query, Athena utilizza la stessa AWS KMS l'ID della chiave utilizzato per la crittografia dei risultati delle query con cui crittografare i dati della tabella inseriti. CSE_KMS

Opzioni di crittografia supportate da Amazon S3

Athena supporta le seguenti opzioni di crittografia per set di dati e risultati di query in Amazon S3.

Tipo di crittografia Descrizione Supporto tra regioni
SSE-S3 Crittografia lato server (SSE) con una chiave gestita da Amazon S3.
SSE-KMS Crittografia lato server () con un SSE AWS Key Management Service chiave gestita dal cliente.
Nota

Con questo tipo di crittografia, Athena non richiede di indicare che i dati vengono crittografati durante la creazione di una tabella.

CSE-KMS

Crittografia lato client (CSE) con un AWS KMS chiave gestita dal cliente. In Athena, questa opzione richiede l'utilizzo di un'istruzione CREATE TABLE con una clausola TBLPROPERTIES che specifica 'has_encrypted_data'='true'. Per ulteriori informazioni, consulta Crea tabelle basate su set di dati crittografati in Amazon S3.

No

Per ulteriori informazioni sull' AWS KMS crittografia con Amazon S3, vedi Cos'è AWS Key Management Servicee come viene utilizzato Amazon Simple Storage Service (Amazon S3) AWS KMS nella AWS Key Management Service Guida per gli sviluppatori. Per ulteriori informazioni sull'utilizzo di SSE - KMS o CSE - KMS con Athena, consulta Launch: Amazon Athena aggiunge il supporto per l'interrogazione di dati crittografati da AWS Blog sui Big Data.

Opzioni non supportate

Le seguenti opzioni di crittografia non sono supportate:

  • SSEcon chiavi fornite dal cliente (SSE-C).

  • File crittografato lato client con una chiave gestita lato client

  • Chiavi asimmetriche.

Per confrontare le opzioni di crittografia Amazon S3, consulta Protezione dei dati con la crittografia nella Guida per l'utente di Amazon Simple Storage Service.

Strumenti per la crittografia lato client

Per il file crittografato lato client, sono disponibili due strumenti:

Questi strumenti non sono compatibili e i dati crittografati con uno strumento non possono essere decrittati dall'altro. Athena supporta solo il client di crittografia Amazon S3. Se si utilizza il SDK per crittografare i dati, è possibile eseguire query da Athena, ma i dati vengono restituiti come testo crittografato.

Se desideri utilizzare Athena per interrogare i dati che sono stati crittografati con AWS CrittografiaSDK: devi scaricare e decrittografare i dati, quindi crittografarli nuovamente utilizzando il client di crittografia Amazon S3.

Autorizzazioni di accesso a dati crittografati in Amazon S3

A seconda del tipo di crittografia utilizzato in Amazon S3, potrebbe essere necessario aggiungere delle autorizzazioni, note anche come operazioni "Consenti", per le tue policy utilizzate in Athena:

  • SSE-S3 — Se utilizzi SSE -S3 per la crittografia, gli utenti Athena non richiedono autorizzazioni aggiuntive nelle loro politiche. È sufficiente disporre delle autorizzazioni Amazon S3 adeguate per il percorso Amazon S3 corretto e per le operazioni Athena. Per ulteriori informazioni sulle policy che consentono di disporre delle autorizzazioni Athena e Amazon S3 adeguate, consulta le sezioni AWS politiche gestite per Amazon Athena e Controlla l'accesso ad Amazon S3 da Athena.

  • AWS KMS— Se si utilizza AWS KMS per la crittografia, gli utenti di Athena devono essere autorizzati a eseguire operazioni particolari AWS KMS azioni oltre alle autorizzazioni Athena e Amazon S3. È possibile consentire queste azioni modificando la politica chiave per AWS KMS gestite dai clienti CMKs che vengono utilizzate per crittografare i dati in Amazon S3. Per aggiungere utenti chiave a quelli appropriati AWS KMS politiche chiave, è possibile utilizzare AWS KMS console in https://console.aws.amazon.com/kms. Per informazioni su come aggiungere un utente a AWS KMS politica chiave, vedi Consente agli utenti chiave di utilizzare la CMK in AWS Key Management Service Guida per gli sviluppatori.

    Nota

    Gli amministratori di livello avanzato delle policy di chiavi possono modificare le policy stesse. kms:Decrypt è il livello minimo di operazioni consentite per un utente Athena affinché possa lavorare con un set di dati crittografato. Per utilizzare i risultati di query crittografati, i livelli minimi di operazioni consentite sono kms:GenerateDataKey e kms:Decrypt.

    Quando si utilizza Athena per interrogare set di dati in Amazon S3 con un gran numero di oggetti crittografati con AWS KMS, AWS KMS può limitare i risultati delle query. Questo è più probabile che ciò accada quando è presente un numero elevato di piccoli oggetti. Athena esegue il backoff delle richieste di nuovi tentativi, tuttavia potrebbe comunque verificarsi un errore di limitazione. Se lavori con un gran numero di oggetti crittografati e riscontri questo problema, un'opzione è abilitare le chiavi bucket di Amazon S3 per ridurre il numero di chiamate a. KMS Per ulteriori informazioni, consulta Ridurre il costo di SSE - KMS with Amazon S3 Bucket keys nella Guida per l'utente di Amazon Simple Storage Service. Un'altra opzione è aumentare le quote di servizio per AWS KMS. Per ulteriori informazioni, vedere Quote nel AWS Key Management Service Guida per gli sviluppatori.

Per informazioni sulla risoluzione dei problemi relativi alle autorizzazioni quando si utilizza Amazon S3 con Athena, consulta la sezione Autorizzazioni dell'argomento Risolvi i problemi in Athena.

Autorizzazioni per l'utilizzo di metadati crittografati in AWS Glue Catalogo dati

Se si crittografano i metadati in AWS Glue Data Catalog, è necessario aggiungere "kms:GenerateDataKey" e "kms:Encrypt" azioni alle politiche utilizzate per accedere ad Athena. "kms:Decrypt" Per informazioni, consultare Configurare l'accesso da Athena ai metadati crittografati in AWS Glue Data Catalog.