Verschlüsseln Sie mit einem AWS-Schlüssel Verschlüsseln Sie mit AWS KMS vom Kunden verwalteten Schlüssel So verwendet Athena vom Kunden verwalteten Schlüssel zur Verschlüsselung von Ergebnissen

Verwaltete Abfrageergebnisse verschlüsseln

Athena bietet die folgenden Optionen für die Verschlüsselung von Verwaltete Abfrageergebnisse an.

Verschlüsseln Sie mit einem AWS-Schlüssel

Das ist die Standardoption bei Verwendung von verwalteten Abfrageergebnissen. Diese Option gibt an, dass Sie Abfrageergebnisse mit einem AWS-Schlüssel verschlüsseln möchten. AWS-Schlüssel werden nicht in Ihrem AWS-Konto gespeichert und sind Teil einer Sammlung von KMS-Schlüsseln, die AWS besitzt. Es fällt keine monatliche Gebühr und auch keine Nutzungsgebühr an für die Verwendung von AWS-Schlüsseln und sie werden auch nicht auf die AWS KMS-Limits für Ihr Konto angerechnet.

Verschlüsseln Sie mit AWS KMS vom Kunden verwalteten Schlüssel

Kundenverwaltete Schlüssel sind die KMS-Schlüssel in Ihrem AWS-Konto, die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel, einschließlich der Festlegung und Pflege ihrer wichtigsten Richtlinien, IAM-Richtlinien und Unterstützungen. Aktivieren und Deaktivieren; Drehen ihres kryptographischen Materials; Hinzufügen von Tags; Erstellen von Aliasen, die auf sie verweisen; und sie zum Löschen planen. Weitere Informationen finden Sie unter Kundenseitig verwaltete Schlüssel.

So verwendet Athena vom Kunden verwalteten Schlüssel zur Verschlüsselung von Ergebnissen

Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, verwendet Athena ihn, um die Abfrageergebnisse zu verschlüsseln, wenn sie in verwalteten Abfrageergebnissen gespeichert werden. Derselbe Schlüssel wird verwendet, um die Ergebnisse zu entschlüsseln, wenn Sie GetQueryResults aufrufen. Wenn Sie den Status des vom Kunden verwalteten Schlüssels auf deaktiviert setzen oder dessen Löschung planen, verhindert dies, dass Athena und alle Benutzer Ergebnisse mit diesem Schlüssel verschlüsseln oder entschlüsseln können.

Athena verwendet Umschlagverschlüsselung und Schlüsselhierarchie, um Daten zu verschlüsseln. Ihr AWS KMS-Verschlüsselungsschlüssel wird verwendet, um den Stammschlüssel dieser Schlüsselhierarchie zu erzeugen und zu verschlüsseln.

Jedes Ergebnis wird mit dem vom Kunden verwalteten Schlüssel verschlüsselt, der zum Zeitpunkt der Verschlüsselung in der Arbeitsgruppe konfiguriert war. Durch das Umschalten des Schlüssels auf einen anderen vom Kunden verwalteten Schlüssel oder auf einen AWS-Schlüssel werden die vorhandenen Ergebnisse nicht erneut mit dem neuen Schlüssel verschlüsselt. Das Löschen und Deaktivieren eines bestimmten vom Kunden verwalteten Schlüssels wirkt sich nur auf die Entschlüsselung der Ergebnisse aus, die mit dem Schlüssel verschlüsselt wurden.

Athena benötigt Zugriff auf Ihren Verschlüsselungsschlüssel, um kms:Decrypt, kms:GenerateDataKey und kms:DescribeKey-Operationen zum Verschlüsseln und Entschlüsseln von Ergebnissen durchzuführen. Weitere Informationen finden Sie unter Berechtigungen für verschlüsselte Daten in Amazon S3.

Der Prinzipal, der die Abfrage über die StartQueryExecution-API einreicht und Ergebnisse liest mithilfen von GetQueryResults, muss zusätzlich zu den Berechtigungen Athena und Amazon S3 auch über Berechtigungen für den vom Kunden verwalteten Schlüssel für kms:Decrypt, kms:GenerateDataKey und kms:DescribeKey-Operationen verfügen. Weitere Informationen finden Sie unter Schlüsselrichtlinien in AWS KMS.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwaltete Abfrageergebnisse

Angeben eines Speicherorts des Abfrageergebnisses