本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 為工作群組設定最低加密
<a name="workgroups-minimum-encryption"></a>

身為 Athena SQL 工作群組的管理員，您可以在 Amazon S3 對工作群組的所有查詢結果強制執行最低層級的加密。您可以使用此功能，確保查詢結果絕不會儲存在處於未加密狀態的 Amazon S3 儲存貯體中。

若使用者位於啟用最低加密的工作群組中，則當其提交查詢時，只能將加密設定為您設定的最低層級，或將加密設定為較高層級 (如果有的話)。Athena 會在使用者執行查詢時，指定的層級或工作群組中設定的層級加密查詢結果。

以下為可用的層級：
+ **基本** – 使用 Amazon S3 受管金鑰 (SSE-S3) 的 Amazon S3 伺服器端加密 (**SSE\$1S3**)。
+ **中級** – 使用 KMS 受管金鑰的伺服器端加密 (**SSE\$1KMS**)。
+ **進階** – 使用 KMS 受管金鑰的用戶端加密 (**CSE\$1KMS**)。

## 考量和限制
<a name="workgroups-minimum-encryption-considerations-and-limitations"></a>
+ 最低加密功能不適用於已啟用 Apache Spark 的工作群組。
+ 只有當工作群組未啟用**[覆寫用戶端設定](https://docs.aws.amazon.com/athena/latest/ug/workgroups-settings-override.html)**選項時，最低加密功能才能正常運作。
+ 如果工作群組已啟用**覆寫用戶端設定**選項，則會採用工作群組加密設定，且最低加密設定不會造成任何影響。
+ 啟用此功能無需付費。

## 為工作群組啟用最低加密
<a name="workgroups-minimum-encryption-enabling"></a>

您可以在建立或更新工作群組時，為 Athena SQL 工作群組的查詢結果啟用最低加密層級。若要這樣做，您可以使用 Athena 主控台、Athena API 或 AWS CLI。

### 使用 Athena 主控台啟用最低加密
<a name="workgroups-minimum-encryption-enabling-using-the-athena-console"></a>

若要開始使用 Athena 主控台建立或編輯工作群組，請參閱[建立工作群組](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#creating-workgroups)或[編輯工作群組](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups)。設定工作群組時，請使用下列步驟來啟用最低加密。

**若要為工作群組查詢結果設定最低加密層級**

1. 清除**覆寫用戶端設定**選項，或確認未選取該選項。

1. 選取**加密查詢結果**選項。

1. 針對**加密類型**，請選取您希望 Athena 用於工作群組查詢結果的加密方法 (**SSE\$1S3**、**SSE\$1KMS** 或 **CSE\$1KMS**)。這些加密類型對應至基本、中級和進階安全層級。

1. 若要針對所有使用者強制執行您選擇作為最低加密層級的加密方法，請選取**將 *encryption\$1method* 設定為最低加密**。

   選取此選項時，資料表會顯示，當您選擇的加密類型變為最低時，使用者將允許的加密階層和加密層級。

1. 建立工作群組或更新工作群組組態後，請選擇**建立工作群組**或**儲存變更**。

### 使用 Athena API 或 AWS CLI 啟用最低加密
<a name="workgroups-minimum-encryption-enabling-using-the-athena-api-or-cli"></a>

當您使用 [CreateWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_CreateWorkGroup.html) 或 [UpdateWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_UpdateWorkGroup.html) API 建立或更新 Athena SQL 工作群組時，請將 [EnforceWorkGroupConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroupConfiguration.html#athena-Type-WorkGroupConfiguration-EnforceWorkGroupConfiguration) 設定為 `false`、將 [EnableMinimumEncryptionConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroupConfiguration.html#athena-Type-WorkGroupConfiguration-EnableMinimumEncryptionConfiguration) 設定為 `true`，並使用 [EncryptionOption](https://docs.aws.amazon.com/athena/latest/APIReference/API_EncryptionConfiguration.html#athena-Type-EncryptionConfiguration-EncryptionOption) 來指定加密類型。

在 中 AWS CLI，使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/create-work-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/create-work-group.html)或 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/update-work-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/update-work-group.html)命令搭配 `--configuration`或 `--configuration-updates` 參數，並指定與 API 對應的選項。