本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
規劃工作群組的最低加密
身為 Athena SQL 工作群組的管理員,您可以在 Amazon S3 對工作群組的所有查詢結果強制執行最低層級的加密。您可以使用此功能,確保查詢結果絕不會儲存在處於未加密狀態的 Amazon S3 儲存貯體中。
若使用者位於啟用最低加密的工作群組中,則當其提交查詢時,只能將加密設定為您設定的最低層級,或將加密設定為較高層級 (如果有的話)。Athena 會在使用者執行查詢時,指定的層級或工作群組中設定的層級加密查詢結果。
以下為可用的層級:
-
基本 — 使用 Amazon S3 受管金鑰 (SSE_ S3) 進行 Amazon S3 伺服器端加密。
-
中級 — 使用KMS受管理金鑰 (SSE_ KMS) 進行伺服器端加密。
-
進階 — 使用KMS受管理金鑰 (CSE_ KMS) 進行用戶端加密。
考量與限制
-
最低加密功能不適用於已啟用 Apache Spark 的工作群組。
-
只有當工作群組未啟用覆寫用戶端設定選項時,最低加密功能才能正常運作。
-
如果工作群組已啟用覆寫用戶端設定選項,則會採用工作群組加密設定,且最低加密設定不會造成任何影響。
-
啟用此功能無需付費。
為工作群組啟用最低加密
您可以在建立或更新SQL工作群組時,為 Athena 工作群組的查詢結果啟用最低加密層級。若要這麼做,您可以使用 Athena 主機、AthenaAPI,或 AWS CLI.
若要開始使用 Athena 主控台建立或編輯工作群組,請參閱建立工作群組或編輯工作群組。設定工作群組時,請使用下列步驟來啟用最低加密。
若要為工作群組查詢結果設定最低加密層級
-
清除覆寫用戶端設定選項,或確認未選取該選項。
-
選取加密查詢結果選項。
-
針對加密類型,選取您希望 Athena 用於工作群組查詢結果的加密方法 (SSE_S3 KMS、SSE_ 或 CSE_ KMS)。這些加密類型對應至基本、中級和進階安全層級。
-
若要對所有使用者強制執行您選擇作為最低加密層級的加密方法,請選取 [設定]
encryption_method作為最低加密。選取此選項時,資料表會顯示,當您選擇的加密類型變為最低時,使用者將允許的加密階層和加密層級。
-
建立工作群組或更新工作群組組態後,請選擇建立工作群組或儲存變更。
當您使用CreateWorkGroup或UpdateWorkGroupAPI建立或更新 Athena SQL 工作群組時false,請EnforceWorkGroupConfiguration將設定EnableMinimumEncryptionConfiguration為true、並使用EncryptionOption來指定加密類型。
在 AWS CLI,將或指update-work-groupcreate-work-group--configuration或--configuration-updates參數搭配使用,並指定與中的參數相對應的選項API。
