Cifrar resultados de consultas administrados
Athena ofrece las siguientes opciones para cifrar los Resultados de consultas administrados.
Cifrar con una clave propiedad de AWS
Esta es la opción predeterminada cuando se utilizan los resultados de consultas administrados. Esta opción indica que desea cifrar los resultados de la consulta con una clave propiedad de AWS. Las claves propiedad de AWS no se almacenan en su cuenta de AWS y forman parte de un conjunto de claves de KMS que son propiedad de AWS. No se cobra ninguna tarifa de uso de las claves propiedad de AWS y no se incluyen en las cuotas de AWS KMS de la cuenta.
Cifre con claves administradas por el cliente de AWS KMS.
Las claves administradas por el cliente son claves de KMS en su cuenta de AWS, que usted creó, posee y administra. Usted tiene control total sobre estas claves de KMS, incluido el establecimiento y mantenimiento de sus políticas de claves, políticas de IAM y concesiones, la habilitación y desactivación de estas, la rotación de su material criptográfico, el agregado de etiquetas, la creación de alias que hacen referencia a ellas y la programación para su eliminación. Para obtener más información, consulte Claves administradas por el cliente.
Cómo Athena utiliza la clave administrada por el cliente para cifrar los resultados
Al especificar una clave administrada por el cliente, Athena la utiliza para cifrar los resultados de la consulta cuando se almacenan en los resultados de consultas administrados. La misma clave se utiliza para descifrar los resultados cuando llama a GetQueryResults
. Cuando se desactiva el estado de la clave administrada por el cliente o se programa su eliminación, se impide que Athena y todos los usuarios cifren o descifren los resultados con esa clave.
Athena utiliza el cifrado de sobre y la jerarquía de claves para cifrar los datos. Su clave de cifrado de AWS KMS se utiliza para generar y descifrar la clave raíz de esta jerarquía de claves.
Cada resultado se cifra mediante la clave administrada por el cliente que está configurada en el grupo de trabajo en el momento del cifrado. Cambiar la clave a una clave administrada por el cliente diferente o a una clave propiedad de AWS no vuelve a cifrar los resultados existentes con la nueva clave. La eliminación y desactivación de una clave determinada administrada por el cliente solo afecta al descifrado de los resultados cifrados por dicha clave.
Athena necesita acceder a su clave de cifrado para realizar las operaciones kms:Decrypt
, kms:GenerateDataKey
y kms:DescribeKey
para cifrar y descifrar los resultados. Para obtener más información, consulte Permisos para datos cifrados en Amazon S3.
La entidad principal que envía la consulta mediante la API StartQueryExecution
y lee los resultados mediante GetQueryResults
también debe tener permiso para la clave administrada por el cliente para las operaciones kms:Decrypt
, kms:GenerateDataKey
y kms:DescribeKey
, además de los permisos de Athena y Amazon S3. Para más información, consulte Políticas de claves en AWS KMS.