Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Crittografia a riposo

RSS
Modalità Focus
Crittografia a riposo - Amazon Athena
Opzioni di crittografia supportate da Amazon S3Autorizzazioni di accesso a dati crittografati in Amazon S3Autorizzazioni di accesso ai metadati crittografati nel catalogo dati di AWS Glue

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Puoi eseguire query su Amazon Athena su dati crittografati in Amazon S3 nella stessa Regione e in un numero limitato di Regioni. Puoi anche crittografare i risultati delle query in Amazon S3 e i dati nel Data Catalog AWS Glue .

È possibile crittografare le seguenti risorse in Athena:

Nota

Quando si utilizza Athena per leggere una tabella crittografata, Athena utilizza le opzioni di crittografia specificate per i dati della tabella, non l'opzione di crittografia per i risultati della query. Se sono configurati metodi o chiavi di crittografia separati per i risultati delle query e i dati della tabella, Athena legge i dati della tabella senza utilizzare l'opzione di crittografia e la chiave utilizzate per crittografare o decrittografare i risultati della query.

Tuttavia, se si utilizza Athena per inserire dati in una tabella con dati crittografati, Athena utilizza la configurazione di crittografia specificata per i risultati della query per crittografare i dati inseriti. Ad esempio, se si specifica la CSE_KMS crittografia per i risultati delle query, Athena utilizza lo stesso ID AWS KMS chiave utilizzato per la crittografia dei risultati delle query per crittografare i dati della tabella inseriti. CSE_KMS

Argomenti

Opzioni di crittografia supportate da Amazon S3

Athena supporta le seguenti opzioni di crittografia per set di dati e risultati di query in Amazon S3.

Tipo di crittografia Descrizione Supporto tra regioni
SSE-S3 Crittografia lato server (SSE) con una chiave gestita da Amazon S3.
SSE-KMS (consigliato) Crittografia lato server (SSE) con una chiave gestita dal cliente. AWS Key Management Service
CSE-KMS

Crittografia lato client (CSE) con chiave gestita dal cliente. AWS KMS In Athena, questa opzione richiede l'utilizzo di un'istruzione CREATE TABLE con una clausola TBLPROPERTIES che specifica 'has_encrypted_data'='true'. Per ulteriori informazioni, consulta Crea tabelle basate su set di dati crittografati in Amazon S3.

 No

Per ulteriori informazioni sulla AWS KMS crittografia con Amazon S3, consulta What is AWS Key Management Service and How Amazon Simple Storage Service (Amazon S3) nella Developer Guide AWS KMS.AWS Key Management Service Per ulteriori informazioni sull'utilizzo di SSE-KMS o CSE-KMS con Athena, consulta Lancio: Amazon Athena aggiunge il supporto per le query dei dati crittografati nel blog AWS Big Data.

Consigli sulla crittografia

Quando crittografi e decrittografi i dati delle tabelle e i risultati delle query con chiavi KMS gestite dal cliente, ti consigliamo di utilizzare la crittografia SSE-KMS rispetto ai metodi di crittografia SSE-S3 o CSE-KMS. SSE-KMS offre un equilibrio tra controllo, semplicità e prestazioni che lo rende un metodo consigliato quando si utilizzano chiavi KMS gestite per la crittografia dei dati.

Vantaggi di SSE-KMS rispetto a SSE-S3

  • SSE-KMS consente di specificare e gestire le proprie chiavi, offrendo un maggiore controllo. È possibile definire le politiche chiave, supervisionare i cicli di vita delle chiavi e monitorare l'utilizzo delle chiavi.

Vantaggi di SSE-KMS rispetto a CSE-KMS

  • SSE-KMS elimina la necessità di un'infrastruttura aggiuntiva per crittografare e decrittografare i dati, a differenza di CSE-KMS che richiede la manutenzione continua di un client di crittografia S3.

  • CSE-KMS potrebbe riscontrare problemi di compatibilità tra client di crittografia S3 più recenti e meno recenti a causa dell'evoluzione degli algoritmi di crittografia, un problema che SSE-KMS evita.

  • SSE-KMS effettua meno chiamate API al servizio KMS per il recupero delle chiavi durante i processi di crittografia e decrittografia, con conseguente miglioramento delle prestazioni rispetto a CSE-KMS.

Opzioni non supportate

Le seguenti opzioni di crittografia non sono supportate:

  • SSE con chiavi fornite dal cliente (SSE-C)

  • File crittografato lato client con una chiave gestita lato client

  • Chiavi asimmetriche.

Per confrontare le opzioni di crittografia Amazon S3, consulta Protezione dei dati con la crittografia nella Guida per l'utente di Amazon Simple Storage Service.

Strumenti per la crittografia lato client

Per il file crittografato lato client, sono disponibili due strumenti:

Questi strumenti non sono compatibili e i dati crittografati con uno strumento non possono essere decrittografati dall'altro. Athena supporta solo il client di crittografia Amazon S3. Se si utilizza l'SDK per crittografare i dati, è possibile eseguire query da Athena, ma i dati vengono restituiti come testo crittografato.

Se si desidera utilizzare Athena per interrogare i dati che sono stati crittografati con l'SDK di crittografia AWS , è necessario scaricare e decrittare i dati e quindi crittografarli nuovamente utilizzando il client di crittografia Amazon S3.

Autorizzazioni di accesso a dati crittografati in Amazon S3

A seconda del tipo di crittografia utilizzato in Amazon S3, potrebbe essere necessario aggiungere autorizzazioni, note anche come azioni «Consenti», alle policy utilizzate in Athena:

  • SSE-S3: se utilizzi SSE-S3 per la crittografia, gli utenti Athena non devono disporre di ulteriori autorizzazioni nelle loro policy. È sufficiente disporre delle autorizzazioni Amazon S3 adeguate per il percorso Amazon S3 corretto e per le operazioni Athena. Per ulteriori informazioni sulle policy che consentono di disporre delle autorizzazioni Athena e Amazon S3 adeguate, consulta le sezioni AWS politiche gestite per Amazon Athena e Controlla l'accesso ad Amazon S3 da Athena.

  • AWS KMS— Se si utilizza AWS KMS per la crittografia, gli utenti di Athena devono essere autorizzati a eseguire AWS KMS azioni particolari oltre alle autorizzazioni Athena e Amazon S3. Consenti queste azioni modificando la policy chiave per i AWS KMS clienti gestiti CMKs che vengono utilizzati per crittografare i dati in Amazon S3. Per aggiungere utenti chiave alle politiche AWS KMS chiave appropriate, puoi utilizzare la AWS KMS console in https://console.aws.amazon.com /kms. Per informazioni su come aggiungere un utente a una policy AWS KMS chiave, consulta Permette agli utenti chiave di usare la CMK nella Developer Guide.AWS Key Management Service

    Nota

    Gli amministratori di livello avanzato delle policy di chiavi possono modificare le policy stesse. kms:Decrypt è il livello minimo di operazioni consentite per un utente Athena affinché possa lavorare con un set di dati crittografato. Per utilizzare i risultati di query crittografati, i livelli minimi di operazioni consentite sono kms:GenerateDataKey e kms:Decrypt.

    Quando si utilizza Athena per interrogare set di dati in Amazon S3 con un gran numero di oggetti crittografati con AWS KMS, AWS KMS potrebbe limitare i risultati delle query. Questo è più probabile che ciò accada quando è presente un numero elevato di piccoli oggetti. Athena esegue il backoff delle richieste di nuovi tentativi, tuttavia potrebbe comunque verificarsi un errore di limitazione. Se stai lavorando con un numero elevato di oggetti crittografati e riscontri questo problema, un'opzione è quella di abilitare le chiavi bucket Amazon S3 per ridurre il numero di chiamate a KMS. Per ulteriori informazioni, consulta Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service. Un'altra opzione è aumentare le quote di servizio per AWS KMS. Per ulteriori informazioni, consulta Quote nella Guida per gli sviluppatori di AWS Key Management Service .

Per informazioni sulla risoluzione dei problemi relativi alle autorizzazioni quando si utilizza Amazon S3 con Athena, consulta la sezione Autorizzazioni dell'argomento Risolvi i problemi in Athena.

Autorizzazioni di accesso ai metadati crittografati nel catalogo dati di AWS Glue

Se si crittografano i metadati in AWS Glue Data Catalog, è necessario aggiungere "kms:GenerateDataKey" e "kms:Encrypt" azioni alle politiche utilizzate per accedere ad Athena. "kms:Decrypt" Per informazioni, consultare Configurare l'accesso da Athena ai metadati crittografati in AWS Glue Data Catalog.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.