Protezione dei dati in Athena - Amazon Athena
Proteggere più tipi di dati

Protezione dei dati in Athena

Il modello di responsabilità condivisa di AWS si applica alla protezione dei dati in Amazon Athena. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che esegue tutto l'Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consultare le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al Modello di responsabilità condivisa AWSe GDPR nel Blog sulla sicurezza AWS.

Per garantire la protezione dei dati, ti suggeriamo di proteggere le credenziali Account AWSe di configurare i singoli utenti con AWS IAM Identity Centero AWS Identity and Access Management(IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l’autenticazione a più fattori (MFA) con ogni account.

  • Utilizza SSL/TLS per comunicare con le risorse AWS. È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Configurare l’API e la registrazione dei log delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei percorsi CloudTrail per acquisire le attività AWS, consulta Utilizzo dei percorsi CloudTrail nella Guida per l'utente di AWS CloudTrail.

  • Utilizza le soluzioni di crittografia AWS, insieme a tutti i controlli di sicurezza di default all'interno dei Servizi AWS.

  • Utilizzare i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se necessiti di moduli crittografici convalidati FIPS 140-3 quando accedi ad AWS attraverso un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando si lavora con Athena o altri Servizi AWS utilizzando la console, l'API, la AWS CLI o gli SDK AWS. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

Come ulteriore misura di sicurezza, puoi utilizzare la chiave di contesto di condizione globale aws:CalledVia per limitare le richieste solo a quelle effettuate da Athena. Per ulteriori informazioni, consulta Utilizzare le chiavi di contesto CalledVia per Athena.

Proteggere più tipi di dati

Quando si utilizza Athena per la creazione di database e di tabelle, sono coinvolti vari tipi di dati. Questi tipi di dati includono i dati di origine archiviati in Amazon S3, i metadati dei database e delle tabelle create quando si eseguono query o il Crawler AWS Glue per individuare i dati, i dati dei risultati delle query e la cronologia delle query. Questa sezione illustra ciascun tipo di dati e fornisce linee guida su come proteggerli.

  • Dati origine: i dati dei database e delle tabelle vengono archiviati in Amazon S3 e Athena non li modifica. Per ulteriori informazioni, consulta Protezione dei dati in Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service. È possibile controllare l'accesso ai dati di origine ed è possibile crittografarli in Amazon S3. È possibile utilizzare Athena per creare tabelle in base ai set di dati crittografati in Amazon S3.

  • Database e metadati tabella (schema): Athena utilizza la tecnologia schema-on-read, il che significa che le definizioni delle tabelle vengono applicate ai dati in Amazon S3 quando Athena esegue query. Qualsiasi schema creato viene salvato automaticamente, a meno che non venga esplicitamente eliminato. In Athena è possibile modificare i metadati del Catalogo dati utilizzando le dichiarazioni DDL. È possibile eliminare definizioni delle tabelle e schemi senza alcun impatto sui dati sottostanti archiviati in Amazon S3. I metadati per le tabelle e i database utilizzati in Athena vengono archiviati in AWS Glue Data Catalog.

    È possibile definire le policy di accesso ai database e alle tabelle registrate in AWS Glue Data Catalog utilizzando AWS Identity and Access Management (IAM). È anche possibile crittografare i metadati in AWS Glue Data Catalog. Se si esegue la crittografia dei metadati, utilizzare le autorizzazioni ai dati crittografati per l'accesso.

  • Risultati delle query e cronologia delle query, incluse le query salvate: i risultati delle query vengono archiviati in una posizione in Amazon S3 che puoi specificare a livello globale o per ciascun gruppo di lavoro. Se non è specificata, Athena utilizza la posizione predefinita in ogni caso. Puoi controllare l'accesso ai bucket Amazon S3 in cui si archiviano i risultati delle query e le query salvate. Inoltre, è possibile scegliere di crittografare i risultati delle query archiviate in Amazon S3. Gli utenti devono disporre delle autorizzazioni adeguate per accedere alle posizioni in Amazon S3 e decrittare i file. Per ulteriori informazioni, consulta la sezione Crittografare i risultati di query Athena archiviati in Amazon S3 riportata di seguito in questo documento.

    Athena conserva la cronologia delle query per 45 giorni. Puoi visualizzare la cronologia delle query utilizzando le API di Athena nella console e con AWS CLI. Per archiviare le query per più di 45 giorni, salvarle. Per proteggere l'accesso alle query salvate, è possibile usare i gruppi di lavoro in Athena, limitando l'accesso alle query salvate solo agli utenti che sono autorizzati a visualizzarle.

Argomenti