Amazon S3 に保存された Athena クエリ結果を暗号化する - Amazon Athena
JDBC または ODBC を使用する場合の Athena のクエリ結果の暗号化

Amazon S3 に保存された Athena クエリ結果を暗号化する

Athena コンソールまたは JDBC や ODBC を使用して、クエリ結果の暗号化をセットアップします。ワークグループを使用すると、クエリ結果の暗号化を強制できます。

注記

クエリ結果を暗号化すると、Athena はクエリによって書き込まれたすべてのオブジェクトを暗号化します。これには、Iceberg やその他の形式のデータの INSERT INTOUPDATE、および クエリなどのステートメントの結果が含まれます。

コンソールでは、クエリ結果の暗号化は次の 2 つの方法で設定できます。

  • クライアント側の設定 – クエリ結果を暗号化することを指定するためのコンソールの [Settings] (設定)、または API オペレーションの使用は、クライアント側の設定の使用として知られています。クライアント側設定には、クエリ結果の場所と暗号化が含まれます。指定した場合は、ワークグループの設定によって上書きされない限り、それらの設定が使用されます。

  • ワークグループ設定ワークグループを作成または編集して [Override client-side settings] (クライアント側の設定を上書きする) フィールドを選択すると、このワークグループで実行されるすべてのクエリでワークグループの暗号化およびクエリ結果の場所の設定が使用されます。詳細については、「[Override client-side settings (クライアント側設定の上書き)]」を参照してください。

コンソールを使用して Amazon S3 に保存されているクエリ結果を暗号化する
重要

ワークグループで [Override client-side settings] (クライアント側の設定を上書きする) フィールドを選択している場合、ワークグループのすべてのクエリではこのワークグループ設定が使用されます。API オペレーション、JDBC および ODBCドライバーにより Athena コンソールの [Settings] (設定) タブで指定されている暗号化設定およびクエリ結果の場所は使用されません。詳細については、「[Override client-side settings (クライアント側設定の上書き)]」を参照してください。

  1. Athena コンソールで [Settings] (設定) を選択します。

    Athena クエリエディタの [設定] タブ。

  2. [Manage] (管理) を選択します。

  3. [Location of query result] (クエリ結果の場所) で、Amazon S3 パスを入力または選択します。これは、クエリ結果が保存される Amazon S3 内の場所です。

  4. [Encrypt query results] を選択します。

    Athena コンソールの [設定の管理] ページの [クエリ結果の暗号化] オプション。

  5. [Encryption type] で、[CSE-KMS]、[SSE-KMS]、[SSE-S3] のいずれかを選択します。これら 3 つのうち、[CSE-KMS] は最高レベルの暗号化を提供し、[SSE-S3] は最低レベルの暗号化を提供します。

  6. [SSE-KMS] または [CSE-KMS] を選択した場合は、AWS KMS キーを指定します。

    • [AWS KMS キーを選択] で、アカウントに既存の AWS KMS カスタマーマネージドキー (CMK) へのアクセス権がある場合は、そのエイリアスを選択するか、AWS KMS キーの ARN を入力します。

    • アカウントに既存のカスタマーマネージドキー (CMK) へのアクセス権がない場合は、[Create an AWS KMS key] (AWS KMS キーを作成する) を選択し、 コンソールを開きます。詳細については、「デベロッパーガイド」の「AWS Key Management Serviceキーの作成」を参照してください。

      注記

      Athena は、データの読み書きに対称キーのみをサポートします。

  7. Athena コンソールに戻り、エイリアスまたは ARN で作成したキーを選択します。

  8. [Save] を選択します。

JDBC または ODBC を使用する場合の Athena のクエリ結果の暗号化

JDBC または ODBC ドライバーを使用して接続する場合は、ドライバーオプションを設定して、使用する暗号化のタイプと、Amazon S3 のステージングディレクトリの場所を指定します。Athena がサポートする暗号化プロトコルのいずれかを使用してクエリ結果を暗号化するように JDBC または ODBC ドライバーを設定する場合は、「ODBC および JDBC ドライバーを使用して Amazon Athena に接続する」を参照してください。