Crittografare utilizzando una chiave di proprietà AWS Crittografare i tuoi dati utilizzando le chiavi gestite dal cliente AWS KMS.In che modo Athena utilizza la chiave gestita dal cliente per crittografare i risultati

Crittografare i risultati delle query gestite

Athena offre le seguenti opzioni per crittografare Risultati delle query gestite.

Crittografare utilizzando una chiave di proprietà AWS

Questa è l'opzione di default quando si utilizzano i risultati di query gestite. Questa opzione indica che si desidera crittografare i risultati delle query utilizzando una chiave di proprietà AWS. Le chiavi di proprietà AWS non sono memorizzate nel proprio account AWS e fanno parte di una raccolta di chiavi KMS che ne possiede AWS. Quando si utilizzano chiavi di proprietà di AWS, non viene addebitata una tariffa e non sono conteggiate per quanto riguarda le quote di AWS KMS per l'account.

Crittografare i tuoi dati utilizzando le chiavi gestite dal cliente AWS KMS.

Le chiavi gestite dal cliente sono chiavi KMS nel proprio account AWS create, di proprietà e gestite dal proprietario dell’account. Si ha il controllo completo di queste chiavi KMS, tra cui la definizione e il mantenimento delle policy delle chiavi, delle policy IAM e delle concessioni, l'abilitazione e la disabilitazione di tali chiavi, la rotazione del materiale crittografico, l'aggiunta di tag, la creazione di alias che fanno riferimento a esse e la pianificazione per l'eliminazione. Per ulteriori informazioni, consultare Chiavi master del cliente.

In che modo Athena utilizza la chiave gestita dal cliente per crittografare i risultati

Quando si specifica una chiave gestita dal cliente, Athena la utilizza per crittografare i risultati della query quando vengono archiviati nei risultati delle query gestite. La stessa chiave viene utilizzata per decrittografare i risultati quando si chiama GetQueryResults. Quando si imposta lo stato della chiave gestita dal cliente su disabilitato o se ne pianifica l'eliminazione, si impedisce ad Athena e a tutti gli utenti di crittografare o decrittografare i risultati con quella chiave.

DynamoDB utilizza la crittografia a busta e la gerarchia delle chiavi per criptare i dati. La chiave di crittografia AWS KMS viene utilizzata per generare e decrittografare la chiave root di questa gerarchia.

Ogni risultato viene crittografato utilizzando la chiave gestita dal cliente configurata nel gruppo di lavoro al momento della crittografia. Il passaggio della chiave a una chiave gestita dal cliente diversa o a una chiave di proprietà AWS non cripta nuovamente i risultati esistenti con la nuova chiave. L'eliminazione e la disabilitazione di una particolare chiave gestita dal cliente influiscono solo sulla decrittografia dei risultati crittografati dalla chiave.

Athena ha bisogno dell'accesso alla chiave di crittografia per eseguire operazioni kms:Decrypt, kms:GenerateDataKey e kms:DescribeKey per crittografare e decrittografare i risultati. Per ulteriori informazioni, consulta Autorizzazioni di accesso a dati crittografati in Amazon S3.

Il responsabile che invia la query utilizzando l'API StartQueryExecution e legge i risultati utilizzando GetQueryResults deve inoltre disporre dell'autorizzazione alla chiave gestita dal cliente e alle operazioni kms:Decrypt, kms:GenerateDataKey e kms:DescribeKey oltre alle autorizzazioni Athena e Amazon S3. Per ulteriori informazioni, consulta Policy delle chiavi in AWS KMS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Risultati delle query gestite

Specificare una posizione dei risultati delle query