Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi diam
Anda dapat menjalankan kueri di Amazon Athena pada data terenkripsi di Amazon S3 di Wilayah yang sama dan di sejumlah Wilayah. Anda juga dapat mengenkripsi hasil kueri di Amazon S3 dan data di Katalog Data AWS Glue .
Anda dapat mengenkripsi aset berikut di Athena:
-
Hasil dari semua kueri di Amazon S3, yang Athena toko di lokasi yang dikenal sebagai Amazon S3 hasil lokasi. Anda dapat mengenkripsi hasil kueri disimpan di Amazon S3 apakah set data yang mendasari dienkripsi di Amazon S3 atau tidak. Untuk informasi, lihat Enkripsi hasil kueri Athena yang disimpan di Amazon S3.
-
Data dalam Katalog AWS Glue Data. Untuk informasi, lihat Izin untuk metadata terenkripsi dalam Katalog Data AWS Glue.
catatan
Saat Anda menggunakan Athena untuk membaca tabel terenkripsi, Athena menggunakan opsi enkripsi yang ditentukan untuk data tabel, bukan opsi enkripsi untuk hasil kueri. Jika metode atau kunci enkripsi terpisah dikonfigurasi untuk hasil kueri dan data tabel, Athena membaca data tabel tanpa menggunakan opsi enkripsi dan kunci yang digunakan untuk mengenkripsi atau mendekripsi hasil kueri.
Namun, jika Anda menggunakan Athena untuk menyisipkan data ke dalam tabel yang memiliki data terenkripsi, Athena menggunakan konfigurasi enkripsi yang ditentukan untuk hasil kueri untuk mengenkripsi data yang dimasukkan. Misalnya, jika Anda menentukan CSE_KMS enkripsi untuk hasil kueri, Athena menggunakan ID AWS KMS kunci yang sama dengan yang Anda gunakan untuk enkripsi hasil kueri untuk mengenkripsi data tabel yang disisipkan. CSE_KMS
Topik
Opsi enkripsi Amazon S3 yang didukung
Athena mendukung opsi enkripsi berikut untuk set data dan hasil kueri di Amazon S3.
| Jenis enkripsi | Deskripsi | Dukungan Lintas Wilayah |
|---|---|---|
| SSE-S3 | Enkripsi sisi server dengan kunci yang dikelola Amazon S3 (SSE-S3). | Ya |
| SSE-KMS (Direkomendasikan) | Enkripsi sisi server (SSE) dengan kunci yang AWS Key Management Service dikelola pelanggan. | Ya |
| CSE-KM |
Enkripsi sisi klien (CSE) dengan kunci yang dikelola AWS KMS pelanggan. Di Athena, opsi ini mengharuskan Anda menggunakan |
Tidak |
Untuk informasi selengkapnya tentang AWS KMS enkripsi dengan Amazon S3, lihat Apa itu AWS Key Management Service dan Bagaimana Amazon Simple Storage Service (Amazon S3) menggunakan Simple Storage Service (Amazon S3) AWS KMS dalam Panduan Pengembang.AWS Key Management Service Untuk informasi selengkapnya tentang penggunaan SSE-KMS atau CSE-KMS dengan Athena, lihat Peluncuran: Amazon Athena menambahkan dukungan
Rekomendasi enkripsi
Saat Anda mengenkripsi dan mendekripsi data tabel dan hasil kueri dengan kunci KMS yang dikelola pelanggan, sebaiknya gunakan enkripsi SSE-KMS melalui metode enkripsi SSE-S3 atau CSE-KMS. SSE-KMS menyediakan keseimbangan kontrol, kesederhanaan, dan kinerja yang menjadikannya metode yang direkomendasikan ketika Anda menggunakan kunci KMS terkelola untuk enkripsi data.
Manfaat SSE-KMS dibandingkan SSE-S3
-
SSE-KMS memungkinkan Anda untuk menentukan dan mengelola kunci Anda sendiri, memberikan kontrol yang lebih besar. Anda dapat menentukan kebijakan utama, mengawasi siklus hidup utama, dan memantau penggunaan kunci.
Manfaat SSE-KMS dibandingkan CSE-KMS
-
SSE-KMS menghilangkan kebutuhan infrastruktur tambahan untuk mengenkripsi dan mendekripsi data, tidak seperti CSE-KMS yang membutuhkan pemeliharaan berkelanjutan dari klien enkripsi S3.
-
CSE-KMS mungkin menghadapi masalah kompatibilitas antara klien enkripsi S3 yang lebih baru dan yang lebih lama karena algoritma enkripsi yang berkembang, masalah yang dihindari SSE-KMS.
-
SSE-KMS membuat lebih sedikit panggilan API ke layanan KMS untuk pengambilan kunci selama proses enkripsi dan dekripsi, menghasilkan kinerja yang lebih baik dibandingkan dengan CSE-KMS.
Opsi yang tidak didukung
Opsi enkripsi berikut tidak didukung:
-
Kunci yang disediakan pelanggan (SSE-C)
-
Enkripsi sisi klien menggunakan kunci terkelola sisi klien.
-
Kunci asimetris.
Untuk membandingkan opsi enkripsi Amazon S3, lihat Melindungi data menggunakan enkripsi di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
Alat untuk enkripsi sisi klien
Untuk enkripsi sisi klien, perhatikan bahwa dua alat yang tersedia:
-
Klien enkripsi Amazon S3 — Ini mengenkripsi data hanya untuk Amazon S3 dan didukung oleh Athena.
-
AWS Encryption SDKSDK dapat digunakan untuk mengenkripsi data di mana saja AWS tetapi tidak secara langsung didukung oleh Athena.
Alat-alat ini tidak kompatibel, dan data yang dienkripsi menggunakan satu alat tidak dapat didekripsi oleh yang lain. Athena hanya mendukung Amazon S3 Encryption Client secara langsung. Jika Anda menggunakan SDK untuk mengenkripsi data Anda, Anda dapat menjalankan kueri dari Athena, tetapi data tersebut dikembalikan sebagai teks terenkripsi.
Jika Anda ingin menggunakan Athena untuk mengkueri data yang telah dienkripsi dengan AWS Enkripsi SDK, Anda harus mengunduh dan mendekripsi data Anda, dan kemudian mengenkripsi lagi menggunakan Amazon S3 Encryption Client.
Izin untuk data terenkripsi di Amazon S3
Bergantung pada jenis enkripsi yang Anda gunakan di Amazon S3, Anda mungkin perlu menambahkan izin, juga dikenal sebagai tindakan “Izinkan”, ke kebijakan yang digunakan di Athena:
-
SSE-S3— Jika Anda menggunakan SSE-S3 untuk enkripsi, pengguna Athena tidak memerlukan izin tambahan dalam kebijakan mereka. Ini cukup untuk memiliki izin Amazon S3 yang sesuai untuk lokasi Amazon S3 yang sesuai dan untuk tindakan Athena. Untuk informasi selengkapnya tentang kebijakan yang mengizinkan izin Athena dan Amazon S3 yang sesuai, lihat dan. AWS kebijakan terkelola untuk Amazon Athena Kontrol akses ke Amazon S3 dari Athena
-
AWS KMS— Jika Anda menggunakan AWS KMS untuk enkripsi, pengguna Athena harus diizinkan untuk melakukan AWS KMS tindakan tertentu selain izin Athena dan Amazon S3. Anda mengizinkan tindakan ini dengan mengedit kebijakan kunci untuk kunci terkelola pelanggan yang digunakan untuk mengenkripsi data di Amazon S3. Untuk menambahkan pengguna kunci ke kebijakan AWS KMS kunci yang sesuai, Anda dapat menggunakan AWS KMS konsol di https://console.aws.amazon.com/kms
. Untuk informasi tentang cara menambahkan pengguna ke kebijakan AWS KMS utama, lihat Mengizinkan pengguna kunci menggunakan kunci yang dikelola pelanggan di Panduan AWS Key Management Service Pengembang. catatan
Advanced key policy administrator dapat menyesuaikan kebijakan kunci.
kms:Decryptadalah tindakan minimum yang diizinkan bagi pengguna Athena untuk bekerja dengan set data terenkripsi. Untuk bekerja dengan hasil kueri terenkripsi, tindakan minimum yang diizinkankms:GenerateDataKeydankms:Decrypt.Saat menggunakan Athena untuk menanyakan kumpulan data di Amazon S3 dengan sejumlah besar objek yang dienkripsi, mungkin menghambat hasil kueri. AWS KMS AWS KMS Ini lebih mungkin terjadi jika ada sejumlah besar objek kecil. Athena mendukung permintaan coba lagi, tetapi kesalahan throttling mungkin masih terjadi. Jika Anda bekerja dengan sejumlah besar objek terenkripsi dan mengalami masalah ini, salah satu opsi adalah mengaktifkan kunci bucket Amazon S3 untuk mengurangi jumlah panggilan ke KMS. Untuk informasi selengkapnya, lihat Mengurangi biaya SSE-KMS dengan kunci Bucket Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Pilihan lain adalah meningkatkan kuota layanan Anda. AWS KMS Untuk informasi selengkapnya, lihat kuota Lambda in the Panduan Developer AWS Key Management Service .
Untuk informasi pemecahan masalah tentang izin saat menggunakan Amazon S3 dengan Athena, lihatIzinBagian dariMemecahkan masalah di Athenatopik.
Izin untuk metadata terenkripsi dalam Katalog Data AWS Glue
Jika Anda mengenkripsi metadata di AWS Glue Data Catalog, Anda harus menambahkan, "kms:GenerateDataKey""kms:Decrypt", dan "kms:Encrypt" tindakan ke kebijakan yang Anda gunakan untuk mengakses Athena. Untuk informasi, lihat Konfigurasikan akses dari Athena ke metadata terenkripsi di AWS Glue Data Catalog.
