選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

Athena 中的資料保護

RSS
焦點模式
Athena 中的資料保護 - Amazon Athena
保護多種類型的資料

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

所以此 AWS 共同責任模型適用於 Amazon Athena 的資料保護。如本模型所述, AWS 負責保護運行所有的全球基礎設施 AWS 雲端。 您有責任維持對託管在此基礎結構上的內容的控制權。您也必須負責安全性設定與管理工作 AWS 服務 你使用. 如需有關資料隱私權的詳細資訊,請參閱資料隱私權FAQ如需歐洲資料保護的相關資訊,請參閱 AWS 共同責任模型和GDPR博客文章 AWS 安全部落格

出於數據保護目的,我們建議您進行保護 AWS 帳戶 憑據並設置個別用戶 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM)。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:

  • 對每個帳戶使用多重要素驗證 (MFA)。

  • 使用SSL/TLS與之溝通 AWS 的費用。我們需要 TLS 1.2 並推薦 TLS 1.3。

  • 設定API和使用者活動記錄 AWS CloudTrail。 如需使用 CloudTrail 軌跡進行擷取的相關資訊 AWS 活動,請參閱使用 CloudTrail 系統線 AWS CloudTrail 用戶指南

  • 使用 AWS 加密解決方案,以及其中的所有默認安全控制 AWS 服務.

  • 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。

  • 如果您在訪問時需要 FIPS 140-3 驗證的加密模塊 AWS 透過指令行介面或API使用FIPS端點。如需有關可用FIPS端點的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-3

我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如名稱欄位。這包括當您與 Athena 或其他人合作時 AWS 服務 使用控制台API, AWS CLI,或 AWS SDKs。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供URL給外部伺服器,我們強烈建議您不要在中包含認證資訊,URL以驗證您對該伺服器的要求。

作為額外的安全步驟,您可以使用 aws:CalledVia全域條件內容索引鍵,可將要求限制為只有從 Athena 發出的要求。如需詳細資訊,請參閱使用 Athena 的 CalledVia 內容金鑰

保護多種類型的資料

使用 Athena 建立資料庫和資料表時,涉及多種類型的資料。這些資料類型包括存放在 Amazon S3 中的來源資料、資料庫的中繼資料和您在執行查詢時建立的表格,或 AWS Glue 爬蟲發現數據,查詢結果數據和查詢歷史記錄。本節討論每個類型的資料,並提供如何保護它的相關指導。

  • Source data (來源資料) – 您將資料庫和資料表的資料存放在 Simple Storage Service (Amazon S3) 中,而且 Athena 不會修改它。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的 Amazon S3 中的資料保護。您可以控制來源資料的存取,並可在 Simple Storage Service (Amazon S3) 中將其加密。您可以使用 Athena,根據 Simple Storage Service (Amazon S3) 中的加密資料集建立資料表

  • 資料庫和表格中繼資料 (結構描述) — Athena 使用 schema-on-read 技術,這表示當 Athena 執行查詢時,您的表格定義會套用至 Amazon S3 中的資料。您定義的所有結構描述都會自動儲存,除非您確實將其刪除。在 Athena 中,您可以使用DDL陳述式修改資料目錄中繼資料。您也可以刪除資料表定義和結構描述,不會影響存放在 Simple Storage Service (Amazon S3) 中的基礎資料。您在 Athena 中使用的資料庫和表格的中繼資料會儲存在 AWS Glue Data Catalog.

    您可以針對在中註冊的資料庫和資料表定義精細的存取原則 AWS Glue Data Catalog 使用 AWS Identity and Access Management (IAM)。您也可以在 AWS Glue Data Catalog。 如果您加密中繼資料,請使用權限來加密中繼資料以進行存取。

  • 查詢結果和查詢歷史記錄,包括儲存的查詢 – 查詢結果存放在 Simple Storage Service (Amazon S3) 中您可以選擇來全域指定,或針對每個工作群組指定的位置。如果未指定,Athena 會在每個案例中使用預設位置。您可以控制 Simple Storage Service (Amazon S3) 儲存貯體的存取,而您可在這些儲存貯體中存放查詢結果和已儲存的查詢。此外,您還可以選擇加密您存放在 Simple Storage Service (Amazon S3) 中的查詢結果。您的使用者必須擁有適當的許可,才能存取 Simple Storage Service (Amazon S3) 位置和解密檔案。如需詳細資訊,請參閱本文件的加密存放在 Amazon S3 中的 Athena 查詢結果

    Athena 會將查詢歷史記錄保留 45 天。您可以使用 Athena APIs、在主控台中檢視查詢歷史記錄,並使用 AWS CLI。 若要儲存超過 45 天的查詢,請加以儲存。若要保護對已儲存查詢的存取權限,請在 Athena 中使用工作群組,限制僅有權檢視已儲存查詢的使用者可存取這些查詢。

主題

在本頁面

下一個主題:

靜態加密

上一個主題:

安全

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。