Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln Sie verwaltete Abfrageergebnisse

Athena bietet die folgenden Verwaltete Abfrageergebnisse Verschlüsselungsoptionen.

Verschlüsseln Sie mit einem eigenen Schlüssel AWS

Dies ist die Standardoption, wenn Sie verwaltete Abfrageergebnisse verwenden. Diese Option gibt an, dass Sie Abfrageergebnisse mit einem AWS eigenen Schlüssel verschlüsseln möchten. AWS Eigene Schlüssel werden nicht in Ihrem AWS Konto gespeichert und sind Teil einer Sammlung von KMS-Schlüsseln, die AWS Eigentümer sind. Wenn Sie AWS eigene Schlüssel verwenden, wird Ihnen keine Gebühr berechnet, und sie werden nicht auf die AWS KMS Kontingente für Ihr Konto angerechnet.

Verschlüsseln Sie mit einem vom AWS KMS Kunden verwalteten Schlüssel

Vom Kunden verwaltete Schlüssel sind die KMS-Schlüssel in Ihrem AWS Konto, die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel. Dazu gehören die Einrichtung und Verwaltung ihrer wichtigsten Richtlinien, IAM-Richtlinien und Zuweisungen, ihre Aktivierung und Deaktivierung, die Rotation des kryptografischen Materials, das Hinzufügen von Tags, die Erstellung von Aliasnamen, die auf sie verweisen, und die Planung ihrer Löschung. Weitere Informationen finden Sie unter Vom Kunden verwaltete Schlüssel.

So verwendet Athena vom Kunden verwalteten Schlüssel zur Verschlüsselung von Ergebnissen

Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, verwendet Athena ihn, um die Abfrageergebnisse zu verschlüsseln, wenn sie in verwalteten Abfrageergebnissen gespeichert werden. Derselbe Schlüssel wird verwendet, um die Ergebnisse zu entschlüsseln, wenn Sie anrufen. GetQueryResults Wenn Sie den Status des vom Kunden verwalteten Schlüssels auf deaktiviert setzen oder seine Löschung planen, verhindert dies, dass Athena und alle Benutzer Ergebnisse mit diesem Schlüssel ver- oder entschlüsseln können.

Athena verwendet Umschlagverschlüsselung und Schlüsselhierarchie, um Daten zu verschlüsseln. Ihr AWS KMS Verschlüsselungsschlüssel wird verwendet, um den Stammschlüssel dieser Schlüsselhierarchie zu generieren und zu entschlüsseln.

Jedes Ergebnis wird mit dem vom Kunden verwalteten Schlüssel verschlüsselt, der zum Zeitpunkt der Verschlüsselung in der Arbeitsgruppe konfiguriert wurde. Durch das Umschalten des Schlüssels auf einen anderen vom Kunden verwalteten Schlüssel oder auf AWS einen eigenen Schlüssel werden die vorhandenen Ergebnisse nicht erneut mit dem neuen Schlüssel verschlüsselt. Das Löschen und Deaktivieren eines bestimmten vom Kunden verwalteten Schlüssels wirkt sich nur auf die Entschlüsselung der Ergebnisse aus, die mit dem Schlüssel verschlüsselt wurden.

Athena benötigt Zugriff auf Ihren Verschlüsselungsschlüssel, um kms:Decryptkms:GenerateDataKey, und kms:DescribeKey Operationen zum Verschlüsseln und Entschlüsseln von Ergebnissen durchzuführen. Weitere Informationen finden Sie unter Berechtigungen für verschlüsselte Daten in Amazon S3.

Der Principal, der die Abfrage über die StartQueryExecution API einreicht und Ergebnisse liest, GetQueryResults muss zusätzlich zu den Berechtigungen Athena und Amazon S3 auch über Berechtigungen für den vom Kunden verwalteten Schlüssel für kms:Decryptkms:GenerateDataKey, und kms:DescribeKey Operationen verfügen. Weitere Informationen finden Sie unter Wichtige Richtlinien unter. AWS KMS