Konfigurieren Sie die Mindestverschlüsselung für eine Arbeitsgruppe - Amazon Athena
Überlegungen und EinschränkungenAktivieren Sie die Mindestverschlüsselung für eine Arbeitsgruppe

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie die Mindestverschlüsselung für eine Arbeitsgruppe

Als Administrator einer Athena-SQL-Arbeitsgruppe können Sie eine minimale Verschlüsselungsstufe in Amazon S3 für alle Abfrageergebnisse der Arbeitsgruppe erzwingen. Sie können dieses Feature verwenden, um sicherzustellen, dass Abfrageergebnisse niemals unverschlüsselt in einem Amazon-S3-Bucket gespeichert werden.

Wenn Benutzer in einer Arbeitsgruppe mit aktivierter Mindestverschlüsselung eine Abfrage einreichen, können sie die Verschlüsselung nur auf die von Ihnen konfigurierte Mindeststufe oder auf eine höhere Stufe einstellen, falls eine verfügbar ist. Athena verschlüsselt Abfrageergebnisse entweder auf der Ebene, die angegeben wurde, wenn der Benutzer die Abfrage ausführt, oder auf der Ebene, die in der Arbeitsgruppe festgelegt wurde.

Die folgenden Stufen sind verfügbar:

  • Basis – Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)

  • Mittelstufe – Serverseitige Verschlüsselung mit KMS-verwalteten Schlüsseln (SSE-KMS).

  • Erweitert – Clientseitige Verschlüsselung mit von KMS verwalteten Schlüsseln (CSE-KMS).

Überlegungen und Einschränkungen

  • Das Mindestverschlüsselungs-Feature ist für Apache-Spark-fähige Arbeitsgruppen nicht verfügbar.

  • Das Mindestverschlüsselungs-Feature funktioniert nur, wenn die Arbeitsgruppe die Option Clientseitige Einstellungen überschreiben nicht aktiviert.

  • Wenn für die Arbeitsgruppe die Option Clientseitige Einstellungen überschreiben aktiviert ist, hat die Einstellung für die Arbeitsgruppenverschlüsselung Vorrang, und die Einstellung für die Mindestverschlüsselung hat keine Auswirkung.

  • Die Aktivierung dieses Features ist kostenlos.

Aktivieren Sie die Mindestverschlüsselung für eine Arbeitsgruppe

Sie können eine Mindestverschlüsselungsstufe für die Abfrageergebnisse Ihrer Athena-SQL-Arbeitsgruppe aktivieren, wenn Sie die Arbeitsgruppe erstellen oder aktualisieren. Dazu können Sie die Athena-Konsole, die Athena-API oder verwenden. AWS CLI

Informationen zum Erstellen oder Bearbeiten Ihrer Arbeitsgruppe mit der Athena-Konsole finden Sie unter Eine Arbeitsgruppe erstellen oder Eine Arbeitsgruppe bearbeiten. Gehen Sie bei der Konfiguration Ihrer Arbeitsgruppe wie folgt vor, um die Mindestverschlüsselung zu aktivieren.

So konfigurieren Sie die Mindestverschlüsselungsstufe für Arbeitsgruppenabfrageergebnisse

  1. Deaktivieren Sie die Option Clientseitige Einstellungen überschreiben, oder stellen Sie sicher, dass sie nicht ausgewählt ist.

  2. Wählen Sie die Option Abfrageergebnisse verschlüsseln aus.

  3. Wählen Sie unter Verschlüsselungstyp die Verschlüsselungsmethode aus, die Athena für die Abfrageergebnisse Ihrer Arbeitsgruppe verwenden soll (SSE_S3, SSE_KMS oder CSE_KMS). Diese Verschlüsselungstypen entsprechen den Sicherheitsstufen „Basis“, „Mittelstufe“ und „Erweitert“.

  4. Um die Verschlüsselungsmethode durchzusetzen, die Sie als Mindestverschlüsselungsstufe für alle Benutzer ausgewählt haben, wählen Sie encryption_methodAls Mindestverschlüsselung festlegen aus.

    Wenn Sie diese Option auswählen, werden in einer Tabelle die Verschlüsselungshierarchie und die Verschlüsselungsstufen aufgeführt, die Benutzern gewährt werden, wenn der von Ihnen gewählte Verschlüsselungstyp zum Mindestverschlüsselungstyp wird.

  5. Nachdem Sie Ihre Arbeitsgruppe erstellt oder Ihre Arbeitsgruppenkonfiguration aktualisiert haben, wählen Sie Arbeitsgruppe erstellen oder Änderungen speichern.

Wenn Sie die UpdateWorkGroupAPI CreateWorkGroupoder verwenden, um eine Athena SQL-Arbeitsgruppe zu erstellen oder EnforceWorkGroupConfigurationzu aktualisieren, setzen Sie sie auffalse, EnableMinimumEncryptionConfigurationauf und verwenden Sie dietrue, EncryptionOptionum den Verschlüsselungstyp anzugeben.

Verwenden Sie in der AWS CLI den update-work-groupBefehl create-work-groupor mit den --configuration-updates Parametern --configuration or und geben Sie die Optionen an, die denen für die API entsprechen.