Criptografar os resultados de consultas do Athena armazenados no Amazon S3
Você pode configurar a criptografia de resultados de consultas usando o console do Athena ou o JDBC ou ODBC. Grupos de trabalhos permitem que você reforce a criptografia dos resultados de consultas.
nota
Quando você criptografa os resultados de uma consulta, o Athena criptografa todos os objetos gravados pela consulta. Isso inclui os resultados de instruções como INSERT INTO, UPDATE e as consultas de dados no formato do Iceberg ou em outros formatos.
No console, você pode definir a configuração para criptografia dos resultados das consultas de duas formas:
-
Configurações do lado do cliente: quando você usa Settings (Configurações) no console ou as operações de API para indicar que deseja criptografar os resultados das consultas, esse procedimento é conhecido como “usar as configurações do lado do cliente”. As configurações no lado do cliente incluem o local dos resultados da consulta e a criptografia. Se você especificá-los, elas serão usadas, a menos que sejam substituídas por configurações do grupo de trabalho.
-
Configurações do grupo de trabalho: quando você cria ou edita um grupo de trabalho e seleciona o campo Override client-side settings (Substituir configurações do lado do cliente), todas as consultas executadas nesse grupo de trabalho usam as configurações de local de resultados da consulta do grupo. Para ter mais informações, consulte Override client-side settings (Substituir configurações no lado do cliente).
Para criptografar os resultados das consultas armazenados no Amazon S3 usando o console
Importante
Se o seu grupo de trabalho estiver com o campo Override client-side settings (Sobrepor configurações no lado do cliente), todas as consultas no grupo de trabalho usarão as configurações do grupo de trabalho. A configuração de criptografia e o local dos resultados da consulta especificados na guia Settings (Configurações) no console do Athena pelas operações de API e pelos drivers JDBC e ODBC não são usados. Para ter mais informações, consulte Override client-side settings (Substituir configurações no lado do cliente).
-
No console do Athena, escolha Settings (Configurações).
-
Escolha Gerenciar.
-
Em Location of query result (Local do resultado da consulta), insira ou escolha um caminho do Amazon S3. Esse é o local do Amazon S3 em que os resultados da consulta são armazenados.
-
Escolha Encrypt query results.
-
Para Encryption type, escolha CSE-KMS, SSE-KMS ou SSE-S3. Desses três, o CSE-KMS oferece o nível mais alto de criptografia e o SSE-S3 o mais baixo.
-
Se você escolher SSE-KMS ou CSE-KMS, especifique a chave do AWS KMS.
-
Em Escolher uma chave do AWS KMS, se sua conta tiver acesso a uma chave gerenciada pelo cliente (CMK) existente do AWS KMS, escolha o respectivo alias ou insira um ARN de chave do AWS KMS.
-
Se sua conta não tiver acesso a uma chave gerenciada pelo cliente (CMK) existente, escolha Criar uma chave do AWS KMS e abra o console do AWS KMS
. Para obter mais informações, consulte Criação de chaves Guia do desenvolvedor do AWS Key Management Service. nota
O Athena permite apenas chaves simétricas para leitura e gravação de dados.
-
-
Volte para o console do Athena e escolha a chave que você criou por alias ou ARN.
-
Escolha Salvar.
Criptografar os resultados de consultas do Athena quando você usa JDBC ou ODBC
Se você se conectar usando o driver JDBC ou ODBC, configure as opções de driver para especificar o tipo de criptografia a ser usado e o local do diretório de preparação do Amazon S3. Para configurar um driver JDBC ou ODBC para criptografar os resultados das consultas usando um dos protocolos de criptografia compatíveis com o Athena, consulte Conectar ao Amazon Athena com drivers JDBC e ODBC.
