Migration de CSE-KMS vers SSE-KMS - Amazon Athena
Mise à jour des paramètres de chiffrement des résultats des requêtes des groupes de travailMise à jour des paramètres de chiffrement des résultats des requêtes côté client

Migration de CSE-KMS vers SSE-KMS

Vous pouvez spécifier le chiffrement CSE-KMS de deux manières : lors de la configuration du chiffrement des résultats des requêtes des groupes de travail et dans les paramètres côté client. Pour de plus amples informations, consultez Chiffrement des résultats de requêtes Athena stockés dans Amazon S3. Lors de la migration, il est important d’auditer vos flux de travail existants qui lisent et écrivent des données CSE-KMS, d’identifier les groupes de travail dans lesquels CSE-KMS est configuré et de localiser les instances dans lesquelles CSE-KMS est défini via des paramètres côté client.

Mise à jour des paramètres de chiffrement des résultats des requêtes des groupes de travail

Console
Pour mettre à jour les paramètres de chiffrement dans la console Athena

  1. Ouvrez la console Athena à l’adresse https://console.aws.amazon.com/athena/.

  2. Dans le panneau de navigation de la console Athena, choisissez Workgroups (Groupes de travail).

  3. Sur la page Workgroups (Groupes de travail), sélectionnez le bouton du groupe de travail à modifier.

  4. Choisissez Actions, Edit (Modifier).

  5. Ouvrez Configuration des résultats de requêtes et choisissez Chiffrer les résultats de requêtes.

  6. Dans la section Type de chiffrement, choisissez l’option de chiffrement SSE_KMS.

  7. Entrez votre clé KMS dans Choisir une autre clé AWS KMS (avancé).

  8. Sélectionnez Enregistrer les modifications. Le groupe de travail mis à jour s'affiche sur la liste de la page Workgroups (Groupes de travail).

CLI

Exécutez la commande suivante pour mettre à jour la configuration du chiffrement des résultats des requêtes vers SSE-KMS dans votre groupe de travail.

aws athena update-work-group \
    --work-group "my-workgroup" \
    --configuration-updates '{
        "ResultConfigurationUpdates": {
            "EncryptionConfiguration": {
                "EncryptionOption": "SSE_KMS",
                "KmsKey": "<my-kms-key>"
            }
        }
    }'

Mise à jour des paramètres de chiffrement des résultats des requêtes côté client

Console

Pour mettre à jour vos paramètres côté client pour le chiffrement des résultats des requêtes de CSE-KMS vers SSE-KMS, consultez Chiffrement des résultats de requêtes Athena stockés dans Amazon S3.

CLI

La spécification de la configuration du chiffrement des résultats des requêtes dans les paramètres côté client nécessite la commande start-query-execution. Si vous exécutez cette commande de l’interface de ligne de commande et que vous remplacez la configuration du chiffrement des résultats des requêtes spécifiée dans votre groupe de travail par CSE-KMS, modifiez la commande afin de chiffrer les résultats des requêtes avec SSE_KMS comme indiqué ci-dessous.

aws athena start-query-execution \
    --query-string "SELECT * FROM <my-table>;" \
    --query-execution-context "Database=<my-database>,Catalog=<my-catalog>" \
    --result-configuration '{
        "EncryptionConfiguration": {
            "EncryptionOption": "SSE_KMS",
            "KmsKey": "<my-kms-key>"
        }
    }' \
    --work-group "<my-workgroup>"
Note

  • Après la mise à jour des paramètres du groupe de travail ou côté client, toutes les nouvelles données que vous insérez par le biais de requêtes d’écriture utilisent le chiffrement SSE-KMS au lieu du chiffrement CSE-KMS. En effet, les configurations du chiffrement des résultats des requêtes s’appliquent également aux nouvelles données de table insérées. Les résultats des requêtes Athena, les métadonnées et les fichiers manifestes sont également chiffrés avec SSE-KMS.

  • Athena peut toujours lire les tables dotées de la propriété has_encrypted_data, même en présence d’une combinaison d’objets chiffrés avec CSE-KMS et avec SSE-S3/SSE-KMS.