從 CSE-KMS 遷移至 SSE-KMS - Amazon Athena
更新工作群組查詢結果加密設定更新用戶端查詢結果加密設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從 CSE-KMS 遷移至 SSE-KMS

您可以透過兩種方式指定 CSE-KMS 加密:在工作群組查詢結果加密組態期間,以及在用戶端設定中。如需詳細資訊,請參閱加密存放在 Amazon S3 中的 Athena 查詢結果。在遷移過程中,請務必稽核讀取和寫入 CSE-KMS 資料的現有工作流程、識別設定 CSE-KMS 的工作群組,以及尋找透過用戶端參數設定 CSE-KMS 的執行個體。

更新工作群組查詢結果加密設定

Console
在 Athena 主控台中更新加密設定

  1. 前往 https://console.aws.amazon.com/athena/ 開啟 Athena 主控台。

  2. 在 Athena 主控台導覽窗格中,選擇 Workgroups (工作群組)。

  3. Workgroups (工作群組) 頁面上,選取您要編輯的工作群組的按鈕。

  4. 選擇 Actions (動作)、Edit (編輯)。

  5. 開啟查詢結果組態,然後選擇加密查詢結果

  6. 加密類型區段中,選擇 SSE_KMS 加密選項。

  7. 選擇不同的 KMS 金鑰 (進階) 下輸入您的 AWS KMS 金鑰

  8. 選擇儲存變更。更新的工作群組會出現在 Workgroups (工作群組) 頁面上的清單。

CLI

執行下列命令,將查詢結果加密組態更新為工作群組中的 SSE-KMS。

aws athena update-work-group \
    --work-group "my-workgroup" \
    --configuration-updates '{
        "ResultConfigurationUpdates": {
            "EncryptionConfiguration": {
                "EncryptionOption": "SSE_KMS",
                "KmsKey": "<my-kms-key>"
            }
        }
    }'

更新用戶端查詢結果加密設定

Console

若要將查詢結果加密的用戶端設定從 CSE-KMS 更新為 SSE-KMS,請參閱 加密存放在 Amazon S3 中的 Athena 查詢結果

CLI

您只能使用 start-query-execution命令在用戶端設定中指定查詢結果加密組態。如果您執行此 CLI 命令,並使用 CSE-KMS 覆寫工作群組中指定的查詢結果加密組態,請變更命令以使用 加密查詢結果SSE_KMS,如下所示。

aws athena start-query-execution \
    --query-string "SELECT * FROM <my-table>;" \
    --query-execution-context "Database=<my-database>,Catalog=<my-catalog>" \
    --result-configuration '{
        "EncryptionConfiguration": {
            "EncryptionOption": "SSE_KMS",
            "KmsKey": "<my-kms-key>"
        }
    }' \
    --work-group "<my-workgroup>"
注意

  • 更新工作群組或用戶端設定後,您透過寫入查詢插入的任何新資料都會使用 SSE-KMS 加密,而非 CSE-KMS。這是因為查詢結果加密組態也適用於新插入的資料表資料。Athena 查詢結果、中繼資料和資訊清單檔案也會使用 SSE-KMS 加密。

  • 即使混合了 CSE-KMS 加密和 SSE-S3/SSE-KMS 物件,Athena 仍然可以使用資料表屬性讀取has_encrypted_data資料表。