Esegui la migrazione da CSE-KMS a SSE-KMS - Amazon Athena
Aggiorna le impostazioni di crittografia dei risultati delle interrogazioni del gruppo di lavoroAggiornare le impostazioni di crittografia dei risultati delle query sul lato client

Esegui la migrazione da CSE-KMS a SSE-KMS

È possibile specificare la crittografia CSE-KMS in due modi: durante la configurazione della crittografia dei risultati delle query del gruppo di lavoro e nelle impostazioni lato client. Per ulteriori informazioni, consulta Crittografare i risultati di query Athena archiviati in Amazon S3. Durante il processo di migrazione, è importante controllare i flussi di lavoro esistenti che leggono e scrivono i dati CSE-KMS, identificare i gruppi di lavoro in cui è configurato CSE-KMS e individuare le istanze in cui CSE-KMS è impostato tramite parametri lato client.

Aggiorna le impostazioni di crittografia dei risultati delle interrogazioni del gruppo di lavoro

Console
Per aggiornare le impostazioni di crittografia nella console Athena

  1. Aprire la console Athena all'indirizzo https://console.aws.amazon.com/athena/.

  2. Nel pannello di navigazione della console Athena, scegli Workgroups (Gruppi di lavoro).

  3. Nella pagina Workgroups (Gruppi di lavoro), seleziona il gruppo di lavoro da modificare.

  4. Scegli Actions (Operazioni), Edit (Modifica).

  5. Aprire Query result configuration e scegliere Encrypt query results.

  6. Per la sezione Encryption typea, scegliere l'opzione di crittografia SSE_KMS.

  7. Inserisci la tua chiave KMS in Choose a different AWS KMS key (advanced).

  8. Scegli Save changes (Salva modifiche). Il gruppo di lavoro aggiornato viene visualizzato nell'elenco nella pagina Workgroups (Gruppi di lavoro).

CLI

Eseguire questo comando per aggiornare la configurazione della crittografia dei risultati della query a SSE-KMS nel proprio gruppo di lavoro.

aws athena update-work-group \
    --work-group "my-workgroup" \
    --configuration-updates '{
        "ResultConfigurationUpdates": {
            "EncryptionConfiguration": {
                "EncryptionOption": "SSE_KMS",
                "KmsKey": "<my-kms-key>"
            }
        }
    }'

Aggiornare le impostazioni di crittografia dei risultati delle query sul lato client

Console

Per aggiornare le impostazioni lato client per la crittografia dei risultati delle query da CSE-KMS a SSE-KMS, vedere Crittografare i risultati di query Athena archiviati in Amazon S3.

CLI

È possibile specificare la configurazione della crittografia dei risultati delle query solo nelle impostazioni lato client con il comando start-query-execution. Se esegui questo comando CLI e sovrascrivi la configurazione di crittografia dei risultati delle query specificata nel tuo gruppo di lavoro con CSE-KMS, modifica il comando per crittografare i risultati delle query utilizzando quanto segue SSE_KMS.

aws athena start-query-execution \
    --query-string "SELECT * FROM <my-table>;" \
    --query-execution-context "Database=<my-database>,Catalog=<my-catalog>" \
    --result-configuration '{
        "EncryptionConfiguration": {
            "EncryptionOption": "SSE_KMS",
            "KmsKey": "<my-kms-key>"
        }
    }' \
    --work-group "<my-workgroup>"
Nota

  • Dopo aver aggiornato le impostazioni sul gruppo di lavoro o sul lato client, tutti i nuovi dati inseriti tramite query di scrittura utilizzano la crittografia SSE-KMS anziché CSE-KMS. Questo perché le configurazioni di crittografia dei risultati delle query si applicano anche ai dati della tabella appena inseriti. Anche i risultati delle query, i metadati e i file manifesto di Athena sono crittografati con SSE-KMS.

  • Athena è ancora in grado di leggere le tabelle con la proprietà della tabella has_encrypted_data anche in presenza di una combinazione di oggetti crittografati CSE-KMS e SSE-S3/SSE-KMS.