# Migración de CSE-KMS a SSE-KMS
Puede especificar el cifrado CSE-KMS de dos maneras: durante la configuración del cifrado de los resultados de la consulta del grupo de trabajo y en la configuración del lado del cliente. Para obtener más información, consulte [Cifrado de los resultados de las consultas de Athena en Amazon S3](encrypting-query-results-stored-in-s3.md). Durante el proceso de migración, es importante auditar los flujos de trabajo existentes que leen y escriben datos de CSE-KMS, identificar los grupos de trabajo en los que está configurado CSE-KMS y localizar las instancias en las que CSE-KMS está configurado mediante parámetros del cliente.
## Actualización de la configuración de cifrado de los resultados de consultas de grupos de trabajo
------
#### [ Console ]
**Cómo actualizar la configuración de cifrado en la consola de Athena**
1. Abra la consola de Athena en [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/).
1. En el panel de navegación de la consola de Athena, elija **Grupos de trabajo**.
1. En la página **Grupos de trabajo**, seleccione el botón del grupo de trabajo que quiere editar.
1. Seleccione **Acciones**, **Editar**.
1. Abra **Configuración de resultados de la consulta** y elija **Cifrar resultados de la consulta**.
1. En la sección **Tipo de cifrado**, elija la opción de cifrado **SSE\_KMS**.
1. Introduzca su clave KMS en **Elegir una clave de KMS AWS diferente (avanzado)**.
1. Seleccione **Save changes (Guardar cambios)**. El grupo de trabajo actualizado aparece en la lista de la página **Grupos de trabajo**.
------
#### [ CLI ]
Ejecute el siguiente comando para actualizar la configuración de cifrado de los resultados de la consulta a SSE-KMS en su grupo de trabajo.
```
aws athena update-work-group \
--work-group "{{my-workgroup}}" \
--configuration-updates '{
"ResultConfigurationUpdates": {
"EncryptionConfiguration": {
"EncryptionOption": "SSE_KMS",
"KmsKey": "{{}}"
}
}
}'
```
------
## Actualización de la configuración de cifrado de los resultados de las consultas del cliente
------
#### [ Console ]
Para actualizar la configuración del lado del cliente para el cifrado de los resultados de las consultas de CSE-KMS a SSE-KMS, consulte [Cifrado de los resultados de las consultas de Athena en Amazon S3](encrypting-query-results-stored-in-s3.md).
------
#### [ CLI ]
Solo puede especificar la configuración de cifrado de los resultados de la consulta en la configuración del lado del cliente con el comando `start-query-execution`. Si ejecuta este comando CLI y anula la configuración de cifrado de los resultados de la consulta que especificó en su grupo de trabajo con CSE-KMS, cambie el comando para cifrar los resultados de la consulta usando `SSE_KMS` de la siguiente manera.
```
aws athena start-query-execution \
--query-string "SELECT * FROM {{}};" \
--query-execution-context "Database={{}},Catalog={{}}" \
--result-configuration '{
"EncryptionConfiguration": {
"EncryptionOption": "SSE_KMS",
"KmsKey": "{{}}"
}
}' \
--work-group "{{}}"
```
------
**nota**
Tras actualizar la configuración del grupo de trabajo o del lado del cliente, cualquier dato nuevo que inserte mediante consultas escritas utilizará el cifrado SSE-KMS en lugar del CSE-KMS. Esto se debe a que las configuraciones de cifrado de los resultados de las consultas también se aplican a los datos de tablas recientemente insertados. Los resultados de las consultas, los metadatos y los archivos de manifiesto de Athena también se cifran con SSE-KMS.
Athena puede seguir leyendo tablas con la propiedad de tabla `has_encrypted_data` incluso cuando hay una combinación de objetos cifrados con CSE-KMS y SSE-S3/SSE-KMS.