Configurar criptografia mínima para um grupo de trabalho
Como administrador de um grupo de trabalho do Athena SQL, você pode impor um nível mínimo de criptografia no Amazon S3 para todos os resultados de consultas do grupo de trabalho. Use esse recurso para garantir que os resultados da consulta nunca sejam armazenados em um bucket do Amazon S3 em estado não criptografado.
Quando os usuários de um grupo de trabalho com criptografia mínima ativada enviam uma consulta, eles podem definir apenas a criptografia para o nível mínimo que você configurou ou para um nível superior, se houver um disponível. O Athena criptografa os resultados da consulta no nível especificado quando o usuário executa a consulta ou no nível definido no grupo de trabalho.
Os seguintes níveis estão disponíveis:
-
Básica: criptografia do lado do servidor do Amazon S3 com chaves gerenciadas pelo Amazon S3 (SSE-S3).
-
Intermediária: criptografia do lado do servidor com chaves gerenciadas do KMS (SSE-KMS).
-
Avançada: criptografia do lado do cliente com chaves gerenciadas do KMS (CSE-KMS).
Considerações e limitações
-
O recurso de criptografia mínima não está disponível para grupos de trabalho habilitados para o Apache Spark.
-
O recurso de criptografia mínima só funciona quando o grupo de trabalho não habilita a opção Substituir configurações do lado do cliente.
-
Se o grupo de trabalho estiver com a opção Substituir configurações do lado do cliente habilitada, a configuração de criptografia do grupo de trabalho prevalecerá, e a configuração mínima de criptografia não terá efeito.
-
Não há custos para habilitar esse recurso.
Habilitar criptografia mínima para um grupo de trabalho
É possível habilitar um nível mínimo de criptografia para os resultados da consulta do grupo de trabalho de SQL do Athena ao criar ou atualizar o grupo de trabalho. Para isso, você pode usar o console do Athena, a API do Athena ou a AWS CLI.
Para começar a criar ou editar o grupo de trabalho usando o console do Athena, consulte Criar um grupo de trabalho ou Editar um grupo de trabalho. Ao configurar o grupo de trabalho, use as etapas a seguir para ativar a criptografia mínima.
Para configurar o nível mínimo de criptografia para resultados de consultas de grupos de trabalho
-
Desmarque a opção Substituir configurações do lado do cliente ou verifique se ela não está selecionada.
-
Selecione a opção Criptografar resultados da consulta.
-
Em Tipo de criptografia, selecione o método de criptografia que deseja que o Athena use para os resultados da consulta do grupo de trabalho (SSE_S3, SSE_KMS ou CSE_KMS). Esses tipos de criptografia correspondem aos níveis de segurança básico, intermediário e avançado.
-
Para impor o método de criptografia escolhido como o nível mínimo de criptografia para todos os usuários, selecione Definir
encryption_method
como criptografia mínima.Quando essa opção é selecionada, uma tabela mostra a hierarquia de criptografia e os níveis de criptografia permitidos aos usuários quando o tipo de criptografia escolhido torna-se o mínimo.
-
Depois de criar o grupo de trabalho ou atualizar a configuração de grupo de trabalho, escolha Criar grupo de trabalho ou Salvar alterações.
Ao usar a API CreateWorkGroup ou UpdateWorkGroup para criar ou atualizar um grupo de trabalho de SQL do Athena, defina EnforceWorkGroupConfiguration como false
, EnableMinimumEncryptionConfiguration como true
e use EncryptionOption para especificar o tipo de criptografia.
Na AWS CLI, use o comando create-work-group
update-work-group
--configuration
ou --configuration-updates
e especifique as opções correspondentes às da API.