为工作组配置最低加密
作为 Athena SQL 工作组的管理员,您可以在 Amazon S3 中对该工作组的所有查询结果强制执行最低级别的加密。您可以使用此功能确保查询结果永远不会以未加密状态存储在 Amazon S3 存储桶中。
当启用最低加密功能的工作组中的用户提交查询时,他们只能将加密设置为您配置的最低级别,或者如果有更高的加密级别,则只能设置为更高的级别。Athena 在用户运行查询时指定的级别或工作组中设置的级别对查询结果进行加密。
可用级别如下:
-
基础 – 使用 Amazon S3 托管式密钥(SSE_S3)的服务器端加密。
-
中级 – 使用 KMS 托管式密钥(SSE_KMS)的服务器端加密。
-
高级 - 使用 KMS 托管式密钥(CSE_KMS)的客户端加密。
注意事项和限制
-
最低加密功能不适用于启用 Apache Spark 的工作组。
-
只有当工作组未启用覆盖客户端设置选项时,最低加密功能才起作用。
-
如果工作组启用了覆盖客户端设置选项,则以工作组加密设置为准,最低加密设置无效。
-
启用此功能不收取任何费用。
为工作组启用最低加密
在创建或更新工作组时,您可以为 Athena SQL 工作组的查询结果启用最低加密级别。为此,您可以使用 Athena 控制台、Athena API 或 AWS CLI。
要开始使用 Athena 控制台创建或编辑工作组,请参阅创建工作组或编辑工作组。配置工作组时,请使用以下步骤启用最低加密。
为工作组查询结果配置最低加密级别
-
清除覆盖客户端设置选项,或者确认该选项未被选中。
-
选择加密查询结果选项。
-
对于加密类型,选择您希望 Athena 用于工作组查询结果的加密方法(SSE_S3、SSE_KMS 或 CSE_KMS)。这些加密类型对应于基础、中级和高级安全级别。
-
要对所有用户强制使用您选择的最低加密级别的加密方法,请选择将
encryption_method设置为最低加密。当您选择此选项时,系统将显示一个表格,显示在您选择的加密类型变为最低加密类型时允许用户使用的加密层次结构和加密级别。
-
创建工作组或更新工作组配置后,选择创建工作组或保存更改。
当您使用 CreateWorkGroup 或 UpdateWorkGroup API 创建或更新 Athena SQL 工作组时,请将 EnforceWorkGroupConfiguration 设置为 false,将 EnableMinimumEncryptionConfiguration 设置为 true,并使用 EncryptionOption 指定加密类型。
在 AWS CLI 中,使用带有 --configuration 或 --configuration-updates 参数的 create-work-groupupdate-work-group
