Risultati delle query gestite - Amazon Athena
Considerazioni e limitazioniCrea o modifica un gruppo di lavoro con risultati di query gestitiScegli la crittografia dei risultati delle queryImposta una politica AWS KMS chiave per i risultati delle query gestite

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risultati delle query gestite

Con i risultati delle query gestite, puoi eseguire query SQL senza fornire un bucket Amazon S3 per lo storage dei risultati delle query. Questo ti evita di dover fornire, gestire, controllare l'accesso e pulire i tuoi bucket S3. Per iniziare, crea un nuovo gruppo di lavoro o modifica un gruppo di lavoro esistente. In Configurazione dei risultati della query, seleziona Athena gestita.

Funzionalità principali

  • Semplifica il flusso di lavoro eliminando la necessità di scegliere una posizione per il bucket S3 prima di eseguire le query.

  • Nessun costo aggiuntivo per l'utilizzo dei risultati delle query gestite e l'eliminazione automatica dei risultati delle query riduce il sovraccarico amministrativo e la necessità di processi separati di pulizia dei bucket S3.

  • Iniziare è semplice: i gruppi di lavoro nuovi e preesistenti possono essere facilmente configurati per utilizzare i risultati delle query gestite. Nel tuo account puoi avere una combinazione di risultati di query gestiti da Athena e gestiti dai clienti. AWS

  • Autorizzazioni IAM semplificate con accesso alla lettura dei risultati GetQueryResults e GetQueryResultsStream legate ai singoli gruppi di lavoro.

  • I risultati delle query vengono crittografati automaticamente con chiavi di proprietà o di AWS proprietà del cliente a scelta.

Considerazioni e limitazioni

  • L'accesso ai risultati delle interrogazioni è gestito a livello di gruppo di lavoro in Athena. A tal fine, sono necessarie autorizzazioni esplicite GetQueryResults e azioni GetQueryResultsStream IAM sullo specifico gruppo di lavoro. L'GetQueryResultsazione determina chi può recuperare i risultati di una query completata in un formato impaginato, mentre l'GetQueryResultsStreamazione determina chi può trasmettere in streaming i risultati di una query completata (comunemente utilizzata dai driver Athena).

  • Non è possibile scaricare dalla console i file dei risultati delle query di dimensioni superiori a 200 MB. Utilizza l'UNLOADistruzione per scrivere risultati di dimensioni superiori a 200 MB in una posizione che puoi scaricare separatamente.

  • La funzionalità dei risultati delle query gestite non supporta il riutilizzo dei risultati delle query.

  • I risultati delle query sono disponibili per 24 ore. I risultati delle query vengono archiviati gratuitamente durante questo periodo. Dopo questo periodo, i risultati delle interrogazioni vengono eliminati automaticamente.

Crea o modifica un gruppo di lavoro con risultati di query gestiti

Per creare un gruppo di lavoro o aggiornare un gruppo di lavoro esistente con risultati di interrogazione gestiti dalla console:

  1. Apri la console Athena all'indirizzo https://console.aws.amazon.com/athena/.

  2. Dalla barra di navigazione a sinistra, scegli Gruppi di lavoro.

  3. Scegli Crea gruppo di lavoro per creare un nuovo gruppo di lavoro o modificare un gruppo di lavoro esistente dall'elenco.

  4. In Configurazione dei risultati della query, scegli Athena gestita.

    Il menu di configurazione dei risultati della query.

  5. Per i risultati della query Encrypt, scegliete l'opzione di crittografia desiderata. Per ulteriori informazioni, consulta Scegli la crittografia dei risultati delle query.

  6. Inserisci tutti gli altri dettagli richiesti e scegli Salva modifiche.

Scegli la crittografia dei risultati delle query

Esistono due opzioni per la configurazione della crittografia:

  • Crittografa utilizzando una chiave AWS proprietaria: questa è l'opzione predefinita quando si utilizzano i risultati delle query gestite. Scegliete questa opzione se desiderate crittografare i risultati delle query con una chiave AWS proprietaria.

  • Crittografa utilizzando una chiave gestita dal cliente: scegli questa opzione se desideri crittografare e decrittografare i risultati delle query con una chiave gestita dal cliente. Per utilizzare una chiave gestita dal cliente, aggiungi il servizio Athena nell'elemento principale della sezione relativa alla politica chiave. Per ulteriori informazioni, consulta Imposta una politica AWS KMS chiave per i risultati delle query gestite. Per eseguire correttamente le query, l'utente che esegue le query necessita dell'autorizzazione per accedere alla chiave. AWS KMS

Imposta una politica AWS KMS chiave per i risultati delle query gestite

La Principal sezione sulla politica chiave specifica chi può utilizzare questa chiave. La funzionalità dei risultati delle interrogazioni gestite introduce il principio encryption.athena.amazonaws.com che è necessario specificare nella Principal sezione. Questo servizio principale è destinato specificamente all'accesso a chiavi non di proprietà di Athena. È inoltre necessario aggiungere le kms:DescribeKey azioni kms:Decryptkms:GenerateDataKey, e alla politica chiave utilizzata per accedere ai risultati gestiti. Queste tre azioni sono le azioni minime consentite.

I risultati delle query gestite utilizzano l'ARN del gruppo di lavoro per il contesto di crittografia. Poiché la Principal sezione è un AWS servizio, è inoltre necessario aggiungere aws:sourceArn e aws:sourceAccount integrare le condizioni chiave delle policy. L'esempio seguente mostra una politica AWS KMS chiave con autorizzazioni minime per un singolo gruppo di lavoro.

 {
    "Sid": "Allow athena service principal to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "encryption.athena.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:DescribeKey"
      ],
    "Resource": "arn:aws:kms:us-east-1:{account-id}:key/{key-id}",
    "Condition": {
    "ArnLike": {
        "kms:EncryptionContext:aws:athena:arn": "arn:aws:athena:us-east-1:{account-id}:workgroup/{workgroup-name}",
        "aws:SourceArn": "arn:aws:athena:us-east-1:{account-id}:workgroup/{workgroup-name}"
    },
    "StringEquals": {
        "aws:SourceAccount": "{account-id}"
    }
}

Il seguente esempio di politica AWS KMS chiave consente a tutti i gruppi di lavoro all'interno dello stesso account di account-id utilizzare la stessa chiave. AWS KMS 

{
    "Sid": "Allow athena service principal to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "encryption.athena.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:DescribeKey"
    ],
    "Resource": "arn:aws:kms:us-east-1:account-id:key/{key-id}",
    "Condition": {
        "ArnLike": {
          "kms:EncryptionContext:aws:athena:arn": "arn:aws:athena:us-east-1:account-id:workgroup/*",
          "aws:SourceArn": "arn:aws:athena:us-east-1:account-id:workgroup/*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
    }
}

Oltre alle autorizzazioni Athena e Amazon S3, devi ottenere anche le autorizzazioni per eseguire e azioni. kms:GenerateDataKey kms:Decrypt Per ulteriori informazioni, consulta Autorizzazioni di accesso a dati crittografati in Amazon S3.

Per ulteriori informazioni sulla crittografia dei risultati delle query gestite, consulta. Crittografa i risultati delle query gestite