Chiffrer à l’aide d’une clé appartenant à AWS Chiffrer à l’aide d’une clé AWS KMS gérée par le client Comment Athena chiffre les résultats à l’aide de la clé gérée par le client

Chiffrement des résultats de requêtes gérés

Athena propose les options de suivantes pour le chiffrement des Résultats de requêtes gérés.

Chiffrer à l’aide d’une clé appartenant à AWS

Il s’agit de l’option par défaut lorsque vous utilisez des résultats de requêtes gérés. Elle indique que vous souhaitez chiffrer les résultats des requêtes à l’aide d’une clé appartenant à AWS. Les clés appartenant à AWS ne sont pas stockées dans votre compte AWS. Elles font partie d’un ensemble de clés KMS détenu par AWS. L’utilisation de clés appartenant à AWS n’est pas facturée et n’est pas comptabilisée dans les quotas AWS KMS de votre compte.

Chiffrer à l’aide d’une clé AWS KMS gérée par le client

Les clés gérées par le client sont des clés KMS de votre compte AWS que vous créez, qui vous appartiennent et que vous gérez. Vous exercez un contrôle total sur ces clés KMS, notamment en ce qui concerne la mise en place et la gestion de leurs stratégies de clé, politiques IAM et octrois, leur activation/désactivation, la rotation de leurs éléments de chiffrement, l’ajout de balises, la création d’alias qui y font référence et la planification de leur suppression. Pour plus d’informations, consultez Customer managed keys.

Comment Athena chiffre les résultats à l’aide de la clé gérée par le client

Si vous spécifiez une clé gérée par le client, Athena l’utilise pour chiffrer les résultats de requêtes lorsqu’ils sont stockés dans les résultats de requêtes gérés. Cette même clé est utilisée pour le déchiffrement lorsque vous appelez GetQueryResults. Si vous désactivez la clé gérée par le client ou que vous planifiez sa suppression, ni Athena ni les utilisateurs ne peuvent l’utiliser pour chiffrer ou déchiffrer les résultats.

Athena utilise un chiffrement d’enveloppe et une hiérarchie de clés pour chiffrer les données. La clé racine de cette hiérarchie de clés est générée et déchiffrée à l’aide de votre clé de chiffrement AWS KMS.

Chaque résultat est chiffré à l’aide de la clé gérée par le client configurée dans le groupe de travail lors du chiffrement. Si vous la remplacez par une autre clé gérée par le client ou par une clé appartenant à AWS, les résultats existants ne sont pas rechiffrés avec la nouvelle clé. La suppression et la désactivation d’une clé gérée par le client impactent uniquement le déchiffrement des résultats chiffrés avec cette clé spécifique.

Athena doit accéder à votre clé de chiffrement pour effectuer les opérations kms:Decrypt, kms:GenerateDataKey et kms:DescribeKey lors du chiffrement et du déchiffrement des résultats. Pour de plus amples informations, consultez Autorisations pour les données chiffrées dans Simple Storage Service (Amazon S3).

Outre les autorisations Athena et Amazon S3, le principal qui soumet la requête à l’aide de l’API StartQueryExecution et lit les résultats à l’aide de GetQueryResults doit également disposer d’une autorisation pour accéder à la clé gérée par le client pour les opérations kms:Decrypt, kms:GenerateDataKey et kms:DescribeKey. Pour plus d’informations, consultez Stratégies de clé dans le AWS KMS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Résultats de requêtes gérés

Spécification d’un emplacement de résultats des requêtes