Enkripsi hasil kueri terkelola - Amazon Athena
Enkripsi menggunakan kunci yang AWS dimilikiEnkripsi menggunakan kunci yang dikelola AWS KMS pelangganBagaimana Athena menggunakan kunci yang dikelola pelanggan untuk mengenkripsi hasil

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi hasil kueri terkelola

Athena menawarkan opsi berikut untuk mengenkripsi. Hasil kueri terkelola

Enkripsi menggunakan kunci yang AWS dimiliki

Ini adalah opsi default saat Anda menggunakan hasil kueri terkelola. Opsi ini menunjukkan bahwa Anda ingin mengenkripsi hasil kueri menggunakan kunci yang AWS dimiliki. AWS kunci yang dimiliki tidak disimpan di AWS akun Anda dan merupakan bagian dari kumpulan kunci KMS yang AWS dimiliki. Anda tidak dikenakan biaya ketika Anda menggunakan kunci yang AWS dimiliki, dan mereka tidak dihitung terhadap AWS KMS kuota untuk akun Anda.

Enkripsi menggunakan kunci yang dikelola AWS KMS pelanggan

Kunci yang dikelola pelanggan adalah kunci KMS di AWS akun Anda yang Anda buat, miliki, dan kelola. Anda memiliki kontrol penuh atas kunci KMS ini, yang mencakup menetapkan dan memelihara kebijakan utama mereka, kebijakan dan hibah IAM, mengaktifkan dan menonaktifkannya, memutar materi kriptografi mereka, menambahkan tag, membuat alias yang merujuk kepada mereka, dan menjadwalkannya untuk dihapus. Untuk informasi selengkapnya, lihat Kunci terkelola pelanggan.

Bagaimana Athena menggunakan kunci yang dikelola pelanggan untuk mengenkripsi hasil

Saat Anda menentukan kunci terkelola pelanggan, Athena menggunakannya untuk mengenkripsi hasil kueri saat disimpan dalam hasil kueri terkelola. Kunci yang sama digunakan untuk mendekripsi hasil saat Anda menelepon. GetQueryResults Ketika Anda menyetel status kunci yang dikelola pelanggan untuk dinonaktifkan atau menjadwalkannya untuk dihapus, ini mencegah Athena dan semua pengguna mengenkripsi atau mendekripsi hasil dengan kunci itu.

Athena menggunakan enkripsi amplop dan hierarki kunci untuk mengenkripsi data. Kunci AWS KMS enkripsi Anda digunakan untuk menghasilkan dan mendekripsi kunci root dari hierarki kunci ini.

Setiap hasil dienkripsi menggunakan kunci terkelola pelanggan yang dikonfigurasi di workgroup pada saat enkripsi. Mengalihkan kunci ke kunci yang dikelola pelanggan yang berbeda atau ke kunci yang AWS dimiliki tidak mengenkripsi ulang hasil yang ada dengan kunci baru. Menghapus dan menonaktifkan kunci terkelola pelanggan tertentu hanya memengaruhi dekripsi hasil yang dienkripsi oleh kunci tersebut.

Athena membutuhkan akses ke kunci enkripsi Anda untuk melakukankms:Decrypt,kms:GenerateDataKey, dan kms:DescribeKey operasi untuk mengenkripsi dan mendekripsi hasil. Untuk informasi selengkapnya, lihat Izin untuk data terenkripsi di Amazon S3.

Prinsipal yang mengirimkan kueri menggunakan StartQueryExecution API dan membaca hasil menggunakan juga GetQueryResults harus memiliki izin ke kunci yang dikelola pelanggan untukkms:Decrypt,kms:GenerateDataKey, dan kms:DescribeKey operasi selain izin Athena dan Amazon S3. Untuk informasi selengkapnya, lihat Kebijakan utama di AWS KMS.