Cifrar con una clave propiedad de AWS Cifre con claves administradas por el cliente de AWS KMS.Cómo Athena utiliza la clave administrada por el cliente para cifrar los resultados

Cifrar resultados de consultas administrados

Athena ofrece las siguientes opciones para cifrar los Resultados de consultas administrados.

Cifrar con una clave propiedad de AWS

Esta es la opción predeterminada cuando se utilizan los resultados de consultas administrados. Esta opción indica que desea cifrar los resultados de la consulta con una clave propiedad de AWS. Las claves propiedad de AWS no se almacenan en su cuenta de AWS y forman parte de un conjunto de claves de KMS que son propiedad de AWS. No se cobra ninguna tarifa de uso de las claves propiedad de AWS y no se incluyen en las cuotas de AWS KMS de la cuenta.

Cifre con claves administradas por el cliente de AWS KMS.

Las claves administradas por el cliente son claves de KMS en su cuenta de AWS, que usted creó, posee y administra. Usted tiene control total sobre estas claves de KMS, incluido el establecimiento y mantenimiento de sus políticas de claves, políticas de IAM y concesiones, la habilitación y desactivación de estas, la rotación de su material criptográfico, el agregado de etiquetas, la creación de alias que hacen referencia a ellas y la programación para su eliminación. Para obtener más información, consulte Claves administradas por el cliente.

Cómo Athena utiliza la clave administrada por el cliente para cifrar los resultados

Al especificar una clave administrada por el cliente, Athena la utiliza para cifrar los resultados de la consulta cuando se almacenan en los resultados de consultas administrados. La misma clave se utiliza para descifrar los resultados cuando llama a GetQueryResults. Cuando se desactiva el estado de la clave administrada por el cliente o se programa su eliminación, se impide que Athena y todos los usuarios cifren o descifren los resultados con esa clave.

Athena utiliza el cifrado de sobre y la jerarquía de claves para cifrar los datos. Su clave de cifrado de AWS KMS se utiliza para generar y descifrar la clave raíz de esta jerarquía de claves.

Cada resultado se cifra mediante la clave administrada por el cliente que está configurada en el grupo de trabajo en el momento del cifrado. Cambiar la clave a una clave administrada por el cliente diferente o a una clave propiedad de AWS no vuelve a cifrar los resultados existentes con la nueva clave. La eliminación y desactivación de una clave determinada administrada por el cliente solo afecta al descifrado de los resultados cifrados por dicha clave.

Athena necesita acceder a su clave de cifrado para realizar las operaciones kms:Decrypt, kms:GenerateDataKey y kms:DescribeKey para cifrar y descifrar los resultados. Para obtener más información, consulte Permisos para datos cifrados en Amazon S3.

La entidad principal que envía la consulta mediante la API StartQueryExecution y lee los resultados mediante GetQueryResults también debe tener permiso para la clave administrada por el cliente para las operaciones kms:Decrypt, kms:GenerateDataKey y kms:DescribeKey, además de los permisos de Athena y Amazon S3. Para más información, consulte Políticas de claves en AWS KMS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Resultados de consultas administrados

Especificación de una ubicación de resultados de consulta