Chiffrer à l'aide d'une clé AWS détenue Chiffrer à l'aide d'une clé gérée par AWS KMS le client Comment Athena chiffre les résultats à l’aide de la clé gérée par le client

Chiffrement des résultats de requêtes gérés

Athena propose les options de suivantes pour le chiffrement des Résultats de requêtes gérés.

Chiffrer à l'aide d'une clé AWS détenue

Il s’agit de l’option par défaut lorsque vous utilisez des résultats de requêtes gérés. Cette option indique que vous souhaitez chiffrer les résultats de la requête à l'aide d'une clé AWS détenue. AWS les clés détenues ne sont pas stockées dans votre AWS compte et font partie d'une collection de clés KMS appartenant au AWS propriétaire. Aucuns frais ne vous sont facturés lorsque vous utilisez des clés que vous AWS possédez, et elles ne sont pas prises en compte dans les AWS KMS quotas de votre compte.

Chiffrer à l'aide d'une clé gérée par AWS KMS le client

Les clés gérées par le client sont les clés KMS de votre AWS compte que vous créez, détenez et gérez. Vous exercez un contrôle total sur ces clés KMS, notamment en ce qui concerne la mise en place et la gestion de leurs stratégies de clé, politiques IAM et octrois, leur activation/désactivation, la rotation de leurs éléments de chiffrement, l’ajout de balises, la création d’alias qui y font référence et la planification de leur suppression. Pour plus d’informations, consultez Customer managed keys.

Comment Athena chiffre les résultats à l’aide de la clé gérée par le client

Si vous spécifiez une clé gérée par le client, Athena l’utilise pour chiffrer les résultats de requêtes lorsqu’ils sont stockés dans les résultats de requêtes gérés. Cette même clé est utilisée pour le déchiffrement lorsque vous appelez GetQueryResults. Si vous désactivez la clé gérée par le client ou que vous planifiez sa suppression, ni Athena ni les utilisateurs ne peuvent l’utiliser pour chiffrer ou déchiffrer les résultats.

Athena utilise un chiffrement d’enveloppe et une hiérarchie de clés pour chiffrer les données. La clé racine de cette hiérarchie de clés est générée et déchiffrée à l’aide de votre clé de chiffrement AWS KMS .

Chaque résultat est chiffré à l’aide de la clé gérée par le client configurée dans le groupe de travail lors du chiffrement. Le passage de la clé à une autre clé gérée par le client ou à une clé AWS détenue ne rechiffre pas les résultats existants avec la nouvelle clé. La suppression et la désactivation d’une clé gérée par le client impactent uniquement le déchiffrement des résultats chiffrés avec cette clé spécifique.

Athena doit accéder à votre clé de chiffrement pour effectuer les opérations kms:Decrypt, kms:GenerateDataKey et kms:DescribeKey lors du chiffrement et du déchiffrement des résultats. Pour de plus amples informations, veuillez consulter Autorisations pour les données chiffrées dans Simple Storage Service (Amazon S3).

Outre les autorisations Athena et Amazon S3, le principal qui soumet la requête à l’aide de l’API StartQueryExecution et lit les résultats à l’aide de GetQueryResults doit également disposer d’une autorisation pour accéder à la clé gérée par le client pour les opérations kms:Decrypt, kms:GenerateDataKey et kms:DescribeKey. Pour plus d'informations, consultez la section Politiques clés dans AWS KMS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Résultats de requêtes gérés

Spécification d’un emplacement de résultats des requêtes