Criptografar usando uma chave de propriedade da AWS Criptografe usando chaves gerenciadas pelo cliente do AWS KMS Como o Athena usa a chave gerenciada pelo cliente para criptografar resultados

Criptografar resultados de consultas gerenciadas

O Athena oferece as seguintes opções para criptografar os Resultados de consultas gerenciadas.

Criptografar usando uma chave de propriedade da AWS

Essa é a opção padrão quando você usa os resultados de consultas gerenciadas. Essa opção indica que você deseja criptografar os resultados de consultas usando uma chave de propriedade da AWS. As chaves de propriedade da AWS não são armazenadas em sua conta AWS e fazem parte de uma coleção de chaves do KMS que a AWS possui. Não é cobrada taxa mensal nem taxa de uso de chaves pertencentes à AWS, e elas não são contabilizadas com base nas cotas do AWS KMS para a sua conta.

Criptografe usando chaves gerenciadas pelo cliente do AWS KMS

Chaves gerenciadas pelo cliente são chaves do KMS disponíveis na sua conta AWS que você cria, detém e gerencia. Você tem controle total sobre essas chaves do KMS, inclusive para estabelecer e manter as políticas de chaves, as políticas do IAM e as concessões; habilitar e desabilitar as chaves do KMS; alternar seu material de criptografia; adicionar tags; criar aliases que fazem referência a elas; e programar a exclusão delas. Para obter mais informações, consulte Chaves gerenciadas pelo cliente.

Como o Athena usa a chave gerenciada pelo cliente para criptografar resultados

Quando você especifica uma chave gerenciada pelo cliente, o Athena a usa para criptografar os resultados de consultas quando armazenados nos resultados de consultas gerenciadas. A mesma chave é usada para descriptografar os resultados quando você chama o GetQueryResults. Quando você define o estado da chave gerenciada pelo cliente como desativada ou a agenda para exclusão, isso impede que o Athena e todos os usuários criptografem ou descriptografem os resultados com essa chave.

O Athena usa criptografia envelopada e hierarquia de chaves para criptografar dados. A chave de criptografia do AWS KMS é usada para gerar e descriptografar a chave raiz dessa hierarquia de chaves.

Cada resultado é criptografado usando a chave gerenciada pelo cliente configurada no grupo de trabalho no momento da criptografia. Alternar a chave para uma chave diferente gerenciada pelo cliente ou para uma chave de propriedade da AWS não criptografa novamente os resultados existentes com a nova chave. A exclusão e desativação de uma determinada chave gerenciada pelo cliente afeta apenas a descriptografia dos resultados que a chave criptografou.

O Athena precisa acessar sua chave de criptografia para realizar operações kms:Decrypt, kms:GenerateDataKey e kms:DescribeKey para criptografar e descriptografar os resultados. Para obter mais informações, consulte Permissões para dados criptografados no Amazon S3.

A entidade principal que envia a consulta usando a API StartQueryExecution e lê os resultados usando o GetQueryResults também deve ter permissão para a chave gerenciada pelo cliente para operações kms:Decrypt, kms:GenerateDataKey e kms:DescribeKey, além das permissões do Athena e do Amazon S3. Para obter mais informações, consulte Usar políticas de chaves no AWS KMS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Resultados de consultas gerenciadas

Especificar um local para resultados de consultas