# Configurar criptografia mínima para um grupo de trabalho
<a name="workgroups-minimum-encryption"></a>

Como administrador de um grupo de trabalho do Athena SQL, você pode impor um nível mínimo de criptografia no Amazon S3 para todos os resultados de consultas do grupo de trabalho. Use esse recurso para garantir que os resultados da consulta nunca sejam armazenados em um bucket do Amazon S3 em estado não criptografado.

Quando os usuários de um grupo de trabalho com criptografia mínima ativada enviam uma consulta, eles podem definir apenas a criptografia para o nível mínimo que você configurou ou para um nível superior, se houver um disponível. O Athena criptografa os resultados da consulta no nível especificado quando o usuário executa a consulta ou no nível definido no grupo de trabalho.

Os seguintes níveis estão disponíveis:
+ **Básica**: criptografia do lado do servidor do Amazon S3 com chaves gerenciadas pelo Amazon S3 (**SSE-S3**).
+ **Intermediária**: criptografia do lado do servidor com chaves gerenciadas do KMS (**SSE-KMS**).
+ **Avançada**: criptografia do lado do cliente com chaves gerenciadas do KMS (**CSE-KMS**).

## Considerações e limitações
<a name="workgroups-minimum-encryption-considerations-and-limitations"></a>
+ O recurso de criptografia mínima não está disponível para grupos de trabalho habilitados para o Apache Spark.
+ O recurso de criptografia mínima só funciona quando o grupo de trabalho não habilita a opção **[Substituir configurações do lado do cliente](https://docs.aws.amazon.com/athena/latest/ug/workgroups-settings-override.html)**.
+ Se o grupo de trabalho estiver com a opção **Substituir configurações do lado do cliente** habilitada, a configuração de criptografia do grupo de trabalho prevalecerá, e a configuração mínima de criptografia não terá efeito.
+ Não há custos para habilitar esse recurso.

## Habilitar criptografia mínima para um grupo de trabalho
<a name="workgroups-minimum-encryption-enabling"></a>

É possível habilitar um nível mínimo de criptografia para os resultados da consulta do grupo de trabalho de SQL do Athena ao criar ou atualizar o grupo de trabalho. Para isso, você pode usar o console do Athena, a API do Athena ou a AWS CLI.

### Usar o console do Athena para habilitar criptografia mínima
<a name="workgroups-minimum-encryption-enabling-using-the-athena-console"></a>

Para começar a criar ou editar o grupo de trabalho usando o console do Athena, consulte [Criar um grupo de trabalho](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#creating-workgroups) ou [Editar um grupo de trabalho](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups). Ao configurar o grupo de trabalho, use as etapas a seguir para ativar a criptografia mínima.

**Para configurar o nível mínimo de criptografia para resultados de consultas de grupos de trabalho**

1. Desmarque a opção **Substituir configurações do lado do cliente** ou verifique se ela não está selecionada.

1. Selecione a opção **Criptografar resultados da consulta**.

1. Em **Tipo de criptografia**, selecione o método de criptografia que deseja que o Athena use para os resultados da consulta do grupo de trabalho (**SSE\$1S3**, **SSE\$1KMS** ou **CSE\$1KMS**). Esses tipos de criptografia correspondem aos níveis de segurança básico, intermediário e avançado.

1. Para impor o método de criptografia escolhido como o nível mínimo de criptografia para todos os usuários, selecione **Definir *encryption\$1method* como criptografia mínima**.

   Quando essa opção é selecionada, uma tabela mostra a hierarquia de criptografia e os níveis de criptografia permitidos aos usuários quando o tipo de criptografia escolhido torna-se o mínimo.

1. Depois de criar o grupo de trabalho ou atualizar a configuração de grupo de trabalho, escolha **Criar grupo de trabalho** ou **Salvar alterações**.

### Usar a API do Athena ou a AWS CLI para habilitar criptografia mínima
<a name="workgroups-minimum-encryption-enabling-using-the-athena-api-or-cli"></a>

Ao usar a API [CreateWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_CreateWorkGroup.html) ou [UpdateWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_UpdateWorkGroup.html) para criar ou atualizar um grupo de trabalho de SQL do Athena, defina [EnforceWorkGroupConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroupConfiguration.html#athena-Type-WorkGroupConfiguration-EnforceWorkGroupConfiguration) como `false`, [EnableMinimumEncryptionConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroupConfiguration.html#athena-Type-WorkGroupConfiguration-EnableMinimumEncryptionConfiguration) como `true` e use [EncryptionOption](https://docs.aws.amazon.com/athena/latest/APIReference/API_EncryptionConfiguration.html#athena-Type-EncryptionConfiguration-EncryptionOption) para especificar o tipo de criptografia.

Na AWS CLI, use o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/create-work-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/create-work-group.html) ou [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/update-work-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/update-work-group.html) com os parâmetros `--configuration` ou `--configuration-updates` e especifique as opções correspondentes às da API.