Criptografia em repouso
Você pode executar consultas no Amazon Athena em dados criptografados no Amazon S3 na mesma região e em um número limitado de regiões. Você também pode criptografar os resultados da consulta no Amazon S3 e os dados no Catálogo de dados do AWS Glue.
Você pode criptografar os seguintes ativos no Athena:
-
Os resultados de todas as consultas no Amazon S3, que o Athena armazena em um local conhecido como local de resultados do Amazon S3. Você pode criptografar os resultados das consultas armazenados no Amazon S3 sem considerar se o conjunto de dados subjacente está ou não criptografado no Amazon S3. Para ter mais informações, consulte Criptografar os resultados de consultas do Athena armazenados no Amazon S3.
-
Os dados no catálogo de dados do AWS Glue. Para ter mais informações, consulte Permissões para metadados criptografados no catálogo de dados do AWS Glue.
nota
Quando você usa o Athena para ler uma tabela criptografada, o Athena usa as opções de criptografia especificadas para os dados da tabela, não a opção de criptografia para os resultados da consulta. Se métodos ou chaves de criptografia diferentes forem configurados para resultados da consulta e dados da tabela, o Athena lê os dados da tabela sem usar a opção de criptografia e a chave usada para criptografar ou descriptografar os resultados da consulta.
No entanto, se você usar o Athena para inserir dados em uma tabela que tenha dados criptografados, o Athena usa a configuração de criptografia especificada para os resultados da consulta para criptografar os dados inseridos. Por exemplo, se você especificar a criptografia CSE_KMS para os resultados da consulta, o Athena usa o mesmo ID de chave do AWS KMS que você usou para a criptografia dos resultados da consulta para criptografar os dados da tabela inseridos com o CSE_KMS.
Tópicos
- Opções de criptografia permitidas do Amazon S3
- Permissões para dados criptografados no Amazon S3
- Permissões para metadados criptografados no catálogo de dados do AWS Glue
- Criptografar os resultados de consultas do Athena armazenados no Amazon S3
- Criar tabelas baseadas em conjuntos de dados criptografados no Amazon S3
Opções de criptografia permitidas do Amazon S3
O Athena permite as opções de criptografia a seguir para conjuntos de dados e resultados de consulta no Amazon S3.
| Tipo de criptografia | Descrição | Suporte entre regiões |
|---|---|---|
| SSE-S3 | Server Side Encryption (SSE – Criptografia do lado do servidor) com uma chave gerenciada pelo Amazon S3. | Sim |
| SSE-KMS | Criptografia no lado do servidor (SSE) com uma chave gerenciada pelo cliente do AWS Key Management Service. notaCom esse tipo de criptografia, o Athena não requer que você indique que os dados sejam criptografados ao criar uma tabela. |
Sim |
| CSE-KMS |
Client-Side Encryption (CSE – Criptografia do lado do cliente) com uma chave gerenciada pelo cliente AWS KMS. No Athena, essa opção requer que você use uma instrução |
Não |
Para obter mais informações sobre a criptografia do AWS KMS com o Amazon S3, consulte O que é o AWS Key Management Service e Como o Amazon Simple Storage Service (Amazon S3) usa o AWS KMS no Guia do desenvolvedor do AWS Key Management Service. Para obter mais informações sobre como usar o SSE-KMS ou o CSE-KMS com o Athena, consulte Launch: Amazon Athena adds support for querying encrypted data
Opções não compatíveis
As seguintes opções de criptografia não são compatíveis:
-
SSE com chaves fornecidas pelo cliente (SSE-C).
-
Criptografia do lado do cliente usando uma chave mestra do lado do cliente.
-
Chaves assimétricas.
Para comparar as opções de criptografia do Amazon S3, consulte Proteção de dados usando criptografia no Guia do usuário do Amazon Simple Storage Service.
Ferramentas para criptografia do lado do cliente
Para criptografia do lado do cliente, observe que há duas ferramentas disponíveis:
-
Cliente de criptografia do Amazon S3: criptografa os dados somente para o Amazon S3 e é compatível com o Athena.
-
AWS Encryption SDK: o SDK pode ser usado para criptografar os dados em qualquer lugar na AWS, mas não é permitido diretamente no Athena.
Essas ferramentas não são compatíveis, e os dados criptografados usando uma ferramenta não podem ser descriptografados pela outra. O Athena apenas é compatível diretamente com o Cliente de criptografia do Amazon S3. Se você usar o SDK para criptografar seus dados, poderá executar consultas do Athena, mas os dados serão retornados como texto criptografado.
Para usar o Athena para consultar dados que foram criptografados com o AWS Encryption SDK, você deve baixar e descriptografar seus dados e, depois, criptografá-los novamente usando o Cliente de criptografia do Amazon S3.
Permissões para dados criptografados no Amazon S3
Dependendo do tipo de criptografia que você usa no Amazon S3, pode ser necessário adicionar permissões, também conhecidas como ações "Permitir", a suas políticas usadas no Athena:
-
SSE-S3: se você usar o SSE-S3 para criptografia, os usuários do Athena não exigirão permissões adicionais nas políticas. Basta ter as devidas permissões do Amazon S3 para o local do Amazon S3 apropriado e para as ações do Athena. Para obter mais informações sobre as políticas que concedem permissões adequadas do Athena e do Amazon S3, consulte Politicas gerenciadas pela AWS para o Amazon Athena e Controlar o acesso ao Amazon S3 do Athena.
-
AWS KMS: se você usa o AWS KMS para criptografia, os usuários do Athena devem receber permissão para executar determinadas ações do AWS KMS, além das permissões do Athena e do Amazon S3. Você permite essas ações editando a política de chaves das CMKs gerenciadas pelo cliente do AWS KMS usadas para criptografar os dados no Amazon S3. Para adicionar usuários de chaves às políticas do AWS KMS apropriadas, você pode usar o console do AWS KMS em https://console.aws.amazon.com/kms
. Para obter informações sobre como adicionar um usuário a uma política de chave do AWS KMS, consulte Permitir que os usuários de chaves usem a CMK no Guia do desenvolvedor do AWS Key Management Service. nota
Os administradores de políticas de chaves avançadas podem ajustar as políticas de chaves.
kms:Decrypté a ação mínima permitida para que um usuário do Athena trabalhe com um conjunto de dados criptografados. Para trabalhar com resultados da consulta criptografados, as ações permitidas mínimas sãokms:GenerateDataKeyekms:Decrypt.Ao usar o Athena para consultar conjuntos de dados no Amazon S3 com um grande número de objetos criptografados com o AWS KMS, o AWS KMS pode controlar a utilização dos resultados da consulta. Isso é mais provável quando há um grande número de objetos pequenos. O Athena rejeita solicitações de nova tentativa, mas um erro de controle de utilização ainda pode ocorrer. Se estiver trabalhando com vários objetos criptografados e enfrentar esse problema, uma opção é habilitar chaves de bucket do Amazon S3 para reduzir o número de chamadas ao KMS. Para obter mais informações, consulte Redução do custo do SSE-KMS com chaves de bucket do Amazon S3 no Guia do usuário do Amazon Simple Storage Service. Outra opção é aumentar suas cotas de serviço para o AWS KMS. Para obter mais informações, consulte Cotas no Guia do desenvolvedor do AWS Key Management Service.
Para obter informações sobre solução de problemas de permissões ao usar o Amazon S3 com o Athena, consulte a seção Permissões do tópico Solucionar problemas no Athena.
Permissões para metadados criptografados no catálogo de dados do AWS Glue
Se você criptografar metadados no AWS Glue Data Catalog, deverá adicionar as ações "kms:GenerateDataKey", "kms:Decrypt" e "kms:Encrypt" às políticas que usa para acessar o Athena. Para ter mais informações, consulte Configurar o acesso do Athena aos metadados criptografados no AWS Glue Data Catalog.
