Chiffrer à l'aide d'une clé AWS détenue Chiffrer à l'aide d'une clé gérée par AWS KMS le client Comment Athena utilise la clé gérée par le client pour chiffrer les résultats

Chiffrer les résultats des requêtes gérées

Athena propose les options de chiffrement suivantes. Résultats de requêtes gérés

Chiffrer à l'aide d'une clé AWS détenue

Il s'agit de l'option par défaut lorsque vous utilisez des résultats de requêtes gérés. Cette option indique que vous souhaitez chiffrer les résultats de la requête à l'aide d'une clé AWS détenue. AWS les clés détenues ne sont pas stockées dans votre AWS compte et font partie d'une collection de clés KMS appartenant au AWS propriétaire. Aucuns frais ne vous sont facturés lorsque vous utilisez des clés que vous AWS possédez, et elles ne sont pas prises en compte dans les AWS KMS quotas de votre compte.

Chiffrer à l'aide d'une clé gérée par AWS KMS le client

Les clés gérées par le client sont les clés KMS de votre AWS compte que vous créez, détenez et gérez. Vous avez le contrôle total de ces clés KMS, ce qui inclut l'établissement et la maintenance de leurs politiques clés, de leurs politiques IAM et de leurs autorisations, leur activation et leur désactivation, la rotation de leur matériel cryptographique, l'ajout de balises, la création d'alias qui y font référence et la planification de leur suppression. Pour plus d'informations, consultez la section Clés gérées par le client.

Comment Athena utilise la clé gérée par le client pour chiffrer les résultats

Lorsque vous spécifiez une clé gérée par le client, Athena l'utilise pour chiffrer les résultats de la requête lorsqu'ils sont stockés dans les résultats des requêtes gérées. La même clé est utilisée pour déchiffrer les résultats lorsque vous appelezGetQueryResults. Lorsque vous définissez l'état de la clé gérée par le client sur Désactivé ou que vous planifiez sa suppression, cela empêche Athena et tous les utilisateurs de chiffrer ou de déchiffrer les résultats avec cette clé.

Athena utilise le chiffrement des enveloppes et la hiérarchie des clés pour chiffrer les données. Votre clé de AWS KMS chiffrement est utilisée pour générer et déchiffrer la clé racine de cette hiérarchie de clés.

Chaque résultat est chiffré à l'aide de la clé gérée par le client configurée dans le groupe de travail au moment du chiffrement. Le passage de la clé à une autre clé gérée par le client ou à une clé AWS détenue ne rechiffre pas les résultats existants avec la nouvelle clé. La suppression et la désactivation d'une clé gérée par le client en particulier n'ont d'incidence que sur le déchiffrement des résultats chiffrés par la clé.

Athena a besoin d'accéder à votre clé de chiffrement pour effectuer kms:Decrypt les kms:DescribeKey opérations de chiffrement et de déchiffrement des résultats. kms:GenerateDataKey Pour de plus amples informations, veuillez consulter Autorisations pour les données chiffrées dans Simple Storage Service (Amazon S3).

Le principal qui soumet la requête à l'aide de l'StartQueryExecutionAPI et lit les résultats à l'aide GetQueryResults doit également être autorisé à accéder à la clé gérée par le client pour kms:Decryptkms:GenerateDataKey, et aux kms:DescribeKey opérations, en plus des autorisations Athena et Amazon S3. Pour plus d'informations, consultez la section Politiques clés dans AWS KMS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Résultats de requêtes gérés

Spécifier l'emplacement des résultats de la requête