從 CSE-KMS 移轉至 SSE-KMS - Amazon Athena
更新工作群組查詢結果加密設定更新用戶端查詢結果加密設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從 CSE-KMS 移轉至 SSE-KMS

您可以透過兩種方式來指定 CSE-KMS 加密:在工作群組查詢結果加密組態期間以及用戶端設定中。如需更多詳細資訊,請參閱 加密 Amazon S3 中存放的 Athena 查詢結果。在移轉程序期間,請務必稽核讀取和寫入 CSE-KMS 資料的現有工作流程、識別已設定 CSE-KMS 的工作群組,以及找到透過用戶端參數設定 CSE-KMS 的執行個體。

更新工作群組查詢結果加密設定

Console
在 Athena 主控台中更新加密設定

  1. 前往 https://console.aws.amazon.com/athena/ 開啟 Athena 主控台。

  2. 在 Athena 主控台導覽窗格中,選擇 Workgroups (工作群組)。

  3. Workgroups (工作群組) 頁面上,選取您要編輯的工作群組的按鈕。

  4. 選擇 Actions (動作)、Edit (編輯)。

  5. 開啟查詢結果組態,然後選擇加密查詢結果

  6. 對於加密類型區段,選擇 SSE_KMS 加密選項。

  7. 選擇不同的 AWS KMS 金鑰 (進階) 下,輸入您的 KMS 金鑰。

  8. 選擇儲存變更。更新的工作群組會出現在 Workgroups (工作群組) 頁面上的清單。

CLI

執行下列命令,將工作群組中的查詢結果加密組態更新為 SSE-KMS。

aws athena update-work-group \
    --work-group "my-workgroup" \
    --configuration-updates '{
        "ResultConfigurationUpdates": {
            "EncryptionConfiguration": {
                "EncryptionOption": "SSE_KMS",
                "KmsKey": "<my-kms-key>"
            }
        }
    }'

更新用戶端查詢結果加密設定

Console

要將查詢結果加密的用戶端設定從 CSE-KMS 更新為 SSE-KMS,請參閱 加密 Amazon S3 中存放的 Athena 查詢結果

CLI

您只能使用 start-query-execution 命令在用戶端設定中指定查詢結果加密組態。如果您執行此 CLI 命令,並使用 CSE-KMS 覆寫您在工作群組中指定的查詢結果加密組態,請變更命令以使用 SSE_KMS 加密查詢結果,如下所示。

aws athena start-query-execution \
    --query-string "SELECT * FROM <my-table>;" \
    --query-execution-context "Database=<my-database>,Catalog=<my-catalog>" \
    --result-configuration '{
        "EncryptionConfiguration": {
            "EncryptionOption": "SSE_KMS",
            "KmsKey": "<my-kms-key>"
        }
    }' \
    --work-group "<my-workgroup>"
注意

  • 更新工作群組或用戶端設定後,您透過寫入查詢插入的任何新資料都會使用 SSE-KMS 加密而不是 CSE-KMS。這是因為查詢結果加密組態也適用於新插入的資料表資料。Athena 查詢結果、中繼資料和資訊清單檔案也會使用 SSE-KMS 進行加密。

  • 即使混合使用了 CSE-KMS 加密物件和 SSE-S3/SSE-KMS 物件,Athena 仍然可以讀取具有 has_encrypted_data 資料表屬性的資料表。