ワークグループの最低限の暗号化を設定する - Amazon Athena
考慮事項と制限事項ワークグループの最小暗号化を有効にする

ワークグループの最低限の暗号化を設定する

Athena SQL ワークグループの管理者として、ワークグループからのすべてのクエリ結果に Amazon S3 で最小限の暗号化を強制できます。この機能を使用すると、クエリ結果が暗号化されていない状態で Amazon S3 バケットに保存されないようにすることができます。

最小暗号化が有効になっているワークグループのユーザーがクエリを送信する場合、設定した最小レベル、または使用可能な場合はそれ以上のレベルの暗号化しか設定できません。Athena は、ユーザーがクエリを実行したときに指定されたレベル、またはワークグループに設定されたレベルのいずれかでクエリ結果を暗号化します。

以下のレベルが使用可能です。

  • Basic – Amazon S3 マネージドキー(SSE-S3)を用いたサーバー側の暗号化。

  • Intermediate – KMS マネージドキー(SSE-KMS)を用いたサーバー側の暗号化。

  • Advanced – KMS マネージドキー(CSE-KMS)を用いたクライアント側の暗号化。

考慮事項と制限事項

  • Apache Spark 対応のワークグループでは、暗号化の下限設定機能は使用できません。

  • 最小限の暗号化機能は、ワークグループが「クライアント側の設定を上書き」オプションを有効にしていない場合にのみ機能します。

  • ワークグループで [クライアント側の設定を上書き] オプションが有効になっている場合は、ワークグループの暗号化設定が優先され、最小暗号化設定は影響を受けません。

  • この機能を有効にするためのコストはかかりません。

ワークグループの最小暗号化を有効にする

ワークグループを作成または更新するときに、Athena SQL ワークグループからのクエリ結果の最小暗号化レベルを有効にできます。これを行うには、Athena コンソール、Athena API、または AWS CLI を使用できます。

Athena コンソールを使用してワークグループの作成または編集を開始するには、「ワークグループの作成」または「ワークグループの編集」を参照してください。ワークグループを設定する際は、以下の手順で最小限の暗号化を有効にしてください。

ワークグループのクエリ結果において最小暗号化レベルを設定するには

  1. [クライアント側の設定を上書き]オプションを解除するか、選択されていないことを確認します。

  2. [クエリ結果を暗号化] オプションを選択します。

  3. [暗号化タイプ] では、ワークグループのクエリ結果に Athena が使用する暗号化方法 (SSE_S3SSE_KMS、または CSE_KMS) を選択します。これらの暗号化タイプは、基本、中級、および上級のセキュリティレベルに対応しています。

  4. 暗号化の最小レベルとして選択した暗号化方法をすべてのユーザーに強制するには、「暗号化方法 を最小暗号化として設定」を選択します。

    このオプションを選択すると、選択した暗号化タイプが最小になったときにユーザーに許可される暗号化階層と暗号化レベルが表に表示されます。

  5. ワークグループを作成するか、ワークグループ設定を更新したら、[ワークグループを作成] または [変更を保存] を選択します。

CreateWorkGroup API または UpdateWorkgroup API を使用して Athena SQL ワークグループを作成または更新する場合は、EnforceWorkgroupConfigurationfalse に、EnableMinumEncryptionConfigurationtrue に設定し、EncryptionOption を使用して暗号化の種類を指定します。

AWS CLI では、create-work-group または update-work-group コマンドを --configuration または --configuration-updates パラメータとともに使用して API のパラメータに対応するオプションを指定します。