Verschlüsseln Sie mit einem eigenen Schlüssel AWS Verschlüsseln Sie mit einem vom AWS KMS Kunden verwalteten Schlüssel So verwendet Athena vom Kunden verwalteten Schlüssel zur Verschlüsselung von Ergebnissen

Verwaltete Abfrageergebnisse verschlüsseln

Athena bietet die folgenden Optionen für die Verschlüsselung von Verwaltete Abfrageergebnisse an.

Verschlüsseln Sie mit einem eigenen Schlüssel AWS

Das ist die Standardoption bei Verwendung von verwalteten Abfrageergebnissen. Diese Option gibt an, dass Sie Abfrageergebnisse mit einem AWS eigenen Schlüssel verschlüsseln möchten. AWS Eigene Schlüssel werden nicht in Ihrem AWS Konto gespeichert und sind Teil einer Sammlung von KMS-Schlüsseln, die AWS Eigentümer sind. Wenn Sie AWS eigene Schlüssel verwenden, wird Ihnen keine Gebühr berechnet, und sie werden nicht auf die AWS KMS Kontingente für Ihr Konto angerechnet.

Verschlüsseln Sie mit einem vom AWS KMS Kunden verwalteten Schlüssel

Vom Kunden verwaltete Schlüssel sind die KMS-Schlüssel in Ihrem AWS Konto, die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel, einschließlich der Festlegung und Pflege ihrer wichtigsten Richtlinien, IAM-Richtlinien und Unterstützungen. Aktivieren und Deaktivieren; Drehen ihres kryptographischen Materials; Hinzufügen von Tags; Erstellen von Aliasen, die auf sie verweisen; und sie zum Löschen planen. Weitere Informationen finden Sie unter Kundenseitig verwaltete Schlüssel.

So verwendet Athena vom Kunden verwalteten Schlüssel zur Verschlüsselung von Ergebnissen

Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, verwendet Athena ihn, um die Abfrageergebnisse zu verschlüsseln, wenn sie in verwalteten Abfrageergebnissen gespeichert werden. Derselbe Schlüssel wird verwendet, um die Ergebnisse zu entschlüsseln, wenn Sie GetQueryResults aufrufen. Wenn Sie den Status des vom Kunden verwalteten Schlüssels auf deaktiviert setzen oder dessen Löschung planen, verhindert dies, dass Athena und alle Benutzer Ergebnisse mit diesem Schlüssel verschlüsseln oder entschlüsseln können.

Athena verwendet Umschlagverschlüsselung und Schlüsselhierarchie, um Daten zu verschlüsseln. Ihr AWS KMS -Verschlüsselungsschlüssel wird verwendet, um den Stammschlüssel dieser Schlüsselhierarchie zu erzeugen und zu verschlüsseln.

Jedes Ergebnis wird mit dem vom Kunden verwalteten Schlüssel verschlüsselt, der zum Zeitpunkt der Verschlüsselung in der Arbeitsgruppe konfiguriert war. Wenn Sie den Schlüssel auf einen anderen vom Kunden verwalteten Schlüssel oder auf einen AWS eigenen Schlüssel ändern, werden die vorhandenen Ergebnisse nicht erneut mit dem neuen Schlüssel verschlüsselt. Das Löschen und Deaktivieren eines bestimmten vom Kunden verwalteten Schlüssels wirkt sich nur auf die Entschlüsselung der Ergebnisse aus, die mit dem Schlüssel verschlüsselt wurden.

Athena benötigt Zugriff auf Ihren Verschlüsselungsschlüssel, um kms:Decrypt, kms:GenerateDataKey und kms:DescribeKey-Operationen zum Verschlüsseln und Entschlüsseln von Ergebnissen durchzuführen. Weitere Informationen finden Sie unter Berechtigungen für verschlüsselte Daten in Amazon S3.

Der Prinzipal, der die Abfrage über die StartQueryExecution-API einreicht und Ergebnisse liest mithilfen von GetQueryResults, muss zusätzlich zu den Berechtigungen Athena und Amazon S3 auch über Berechtigungen für den vom Kunden verwalteten Schlüssel für kms:Decrypt, kms:GenerateDataKey und kms:DescribeKey-Operationen verfügen. Weitere Informationen finden Sie unter Wichtige Richtlinien unter. AWS KMS

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwaltete Abfrageergebnisse

Angeben eines Speicherorts des Abfrageergebnisses