Von CSE-KMS zu SSE-KMS migrieren - Amazon Athena
Verschlüsselungseinstellungen für Arbeitsgruppenabfrageergebnisse aktualisierenEinstellungen für die clientseitige Verschlüsselung von Abfrageergebnissen aktualisieren

Von CSE-KMS zu SSE-KMS migrieren

Sie können die CSE-KMS-Verschlüsselung auf zwei Arten angeben – während der Konfiguration der Verschlüsselung von Arbeitsgruppenabfrageergebnissen und in den clientseitigen Einstellungen. Weitere Informationen finden Sie unter Verschlüsseln Sie die in Amazon S3 gespeicherten Athena-Abfrageergebnisse. Während des Migrationsprozesses ist es wichtig, Ihre vorhandenen Workflows zu überprüfen, die CSE-KMS-Daten lesen und schreiben, Arbeitsgruppen zu identifizieren, in denen CSE-KMS konfiguriert ist, und Instancen zu finden, in denen CSE-KMS über clientseitige Parameter eingestellt ist.

Verschlüsselungseinstellungen für Arbeitsgruppenabfrageergebnisse aktualisieren

Console
So aktualisieren Sie Verschlüsselungseinstellungen in der Athena-Konsole

  1. Öffnen Sie die Athena-Konsole unter https://console.aws.amazon.com/athena/.

  2. Wählen Sie im Navigationsbereich der Athena-Konsole Workgroups (Arbeitsgruppen) aus.

  3. Klicken Sie auf der Seite Workgroups (Arbeitsgruppen) auf die Schaltfläche für die Arbeitsgruppe, die Sie bearbeiten möchten.

  4. Wählen Sie Actions (Aktionen) und Edit (Bearbeiten).

  5. Öffnen Sie die Konfiguration der Abfrageergebnisse und wählen Sie Abfrageergebnisse verschlüsseln aus.

  6. Wählen Sie für den Abschnitt Verschlüsselungstyp die Verschlüsselungsoption SSE_KMS aus.

  7. Geben Sie Ihren KMS-Schlüssel unter Anderen AWS KMS-Schlüssel auswählen (erweitert) ein.

  8. Wählen Sie Änderungen speichern aus. Die aktualisierte Arbeitsgruppe wird in der Liste auf der Seite Workgroups (Arbeitsgruppen) angezeigt.

CLI

Führen Sie den folgenden Befehl aus, um Ihre Verschlüsselungskonfiguration für Abfrageergebnisse in Ihrer Arbeitsgruppe auf SSE-KMS zu aktualisieren.

aws athena update-work-group \
    --work-group "my-workgroup" \
    --configuration-updates '{
        "ResultConfigurationUpdates": {
            "EncryptionConfiguration": {
                "EncryptionOption": "SSE_KMS",
                "KmsKey": "<my-kms-key>"
            }
        }
    }'

Einstellungen für die clientseitige Verschlüsselung von Abfrageergebnissen aktualisieren

Console

Zum Aktualisieren Ihrer clientseitigen Einstellungen für die Verschlüsselung von Abfrageergebnissen von CSE-KMS auf SSE-KMS siehe Verschlüsseln Sie die in Amazon S3 gespeicherten Athena-Abfrageergebnisse.

CLI

Sie können die Konfiguration für die Verschlüsselung von Abfrageergebnissen nur in den clientseitigen Einstellungen mit dem start-query-execution-Befehl angeben. Wenn Sie diesen CLI-Befehl ausführen und die Verschlüsselungskonfiguration für Abfrageergebnisse, die Sie in Ihrer Arbeitsgruppe mit CSE-KMS angegeben haben, überschreiben, ändern Sie den Befehl zum Verschlüsseln von Abfrageergebnissen mit SSE_KMS wie folgt.

aws athena start-query-execution \
    --query-string "SELECT * FROM <my-table>;" \
    --query-execution-context "Database=<my-database>,Catalog=<my-catalog>" \
    --result-configuration '{
        "EncryptionConfiguration": {
            "EncryptionOption": "SSE_KMS",
            "KmsKey": "<my-kms-key>"
        }
    }' \
    --work-group "<my-workgroup>"
Anmerkung

  • Nachdem Sie die arbeitsgruppen- oder clientseitigen Einstellungen aktualisiert haben, verwenden alle neuen Daten, die Sie durch Schreibabfragen einfügen, die SSE-KMS-Verschlüsselung anstelle von CSE-KMS. Dies liegt daran, dass die Verschlüsselungskonfigurationen für Abfrageergebnisse auch für neu eingefügte Tabellendaten gelten. Athena-Abfrageergebnis, Metadaten und Manifestdateien werden ebenfalls mit SSE-KMS verschlüsselt.

  • Athena kann weiterhin Tabellen mit der has_encrypted_data-Tabelleneigenschaft auch dann noch lesen, wenn CSE-KMS-verschlüsselte und SSE-S3/SSE-KMS-Objekte gemischt vorliegen.