# 작업 그룹에 대한 최소 암호화 구성
<a name="workgroups-minimum-encryption"></a>

Athena SQL 작업 그룹의 관리자는 Amazon S3에서 작업 그룹의 모든 쿼리 결과에 대해 최소 수준의 암호화를 적용할 수 있습니다. 이 기능을 사용하면 쿼리 결과가 암호화되지 않은 상태로 Amazon S3 버킷에 저장되지 않도록 합니다.

최소 암호화가 활성화된 작업 그룹의 사용자가 쿼리를 제출하면 사용자가 구성한 최소 수준 또는 사용 가능한 경우 더 높은 수준으로만 암호화를 설정할 수 있습니다. Athena에서는 사용자가 쿼리를 실행할 때 지정된 수준 또는 작업 그룹에 설정된 수준에서 쿼리 결과를 암호화합니다.

사용 가능한 수준은 다음과 같습니다.
+ **기본** - Amazon S3 관리형 키를 사용한 Amazon S3 서버 측 암호화(**SSE-S3**).
+ **중급** - KMS 관리형 키를 사용한 서버 측 암호화(**SSE-KMS**).
+ **고급** - KMS 관리형 키를 사용한 클라이언트 측 암호화(**CSE\_KMS**).

## 고려 사항 및 제한 사항
<a name="workgroups-minimum-encryption-considerations-and-limitations"></a>
+ Apache Spark 지원 작업 그룹에서는 최소 암호화 기능을 사용할 수 없습니다.
+ 최소 암호화 기능은 작업 그룹에서 **[클라이언트 측 설정 재정의](https://docs.aws.amazon.com/athena/latest/ug/workgroups-settings-override.html)** 옵션을 활성화하지 않은 경우에만 작동합니다.
+ 작업 그룹에 **클라이언트 측 설정 재정의** 옵션이 활성화된 경우 작업그룹 암호화 설정이 우선하며 최소 암호화 설정은 영향을 주지 않습니다.
+ 이 기능을 활성화하는 데 비용은 들지 않습니다.

## 작업 그룹에 대해 최소 암호화 활성화
<a name="workgroups-minimum-encryption-enabling"></a>

작업 그룹을 생성하거나 업데이트할 때 Athena SQL 작업 그룹의 쿼리 결과에 대해 최소 암호화 수준을 활성화할 수 있습니다. 이를 위해 Athena 콘솔, Athena API 또는 AWS CLI를 사용할 수 있습니다.

### Athena 콘솔을 사용하여 최소 암호화 활성화
<a name="workgroups-minimum-encryption-enabling-using-the-athena-console"></a>

Athena 콘솔을 사용하여 작업 그룹의 생성 또는 편집을 시작하려면 [작업 그룹 생성](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#creating-workgroups) 또는 [작업 그룹 편집](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups)을 참조하세요. 작업 그룹을 구성하는 경우 다음 단계를 사용하여 최소 암호화를 활성화합니다.

**작업 그룹 쿼리 결과에 대해 최소 암호화 수준을 구성하려면**

1. **클라이언트 측 설정 재정의** 옵션을 지우거나 선택되지 않았는지 확인합니다.

1. **쿼리 결과 암호화** 옵션을 선택합니다.

1. **암호화 유형**에서 작업 그룹 쿼리 결과에 대해 Athena에서 사용할 암호화 방법을 선택합니다(**SSE\_S3**, **SSE\_KMS** 또는 **CSE\_KMS**). 이러한 암호화 유형은 기본, 중급, 고급 보안 수준에 해당합니다.

1. 선택한 암호화 방법을 모든 사용자에 대한 최소 암호화 수준으로 적용하려면 **최소 암호화로 {{encryption\_method}} 설정**을 선택합니다.

   이 옵션을 선택하면 선택한 암호화 유형이 최소 암호화로 구성될 때 사용자에게 허용되는 암호화 계층 구조 및 암호화 수준이 테이블에 표시됩니다.

1. 작업 그룹을 생성하거나 작업 그룹 구성을 업데이트한 후 **작업 그룹 생성** 또는 **변경 사항 저장**을 선택합니다.

### Athena API 또는 AWS CLI를 사용하여 최소 암호화 활성화
<a name="workgroups-minimum-encryption-enabling-using-the-athena-api-or-cli"></a>

[CreateWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_CreateWorkGroup.html) 또는 [UpdateWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_UpdateWorkGroup.html) API를 사용하여 Athena SQL 작업 그룹을 생성하거나 업데이트하는 경우 [EnforceWorkGroupConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroupConfiguration.html#athena-Type-WorkGroupConfiguration-EnforceWorkGroupConfiguration)을 `false`로, [EnableMinimumEncryptionConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroupConfiguration.html#athena-Type-WorkGroupConfiguration-EnableMinimumEncryptionConfiguration)을 `true`로 설정하고 [EncryptionOption](https://docs.aws.amazon.com/athena/latest/APIReference/API_EncryptionConfiguration.html#athena-Type-EncryptionConfiguration-EncryptionOption)을 사용하여 암호화 유형을 지정합니다.

AWS CLI에서 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/create-work-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/create-work-group.html) 또는 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/update-work-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/update-work-group.html) 명령과 함께 `--configuration` 또는 `--configuration-updates` 파라미터를 사용하고 API의 옵션에 해당하는 옵션을 지정합니다.