Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datenschutz in Athena
Das Tool AWS Das Modell
Aus Datenschutzgründen empfehlen wir Ihnen, AWS-Konto Anmeldeinformationen und richten Sie einzelne Benutzer ein mit AWS IAM Identity Center or AWS Identity and Access Management (IAM). So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
-
Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
-
Verwenden SieSSL/TLS, um mit zu kommunizieren AWS Ressourcen schätzen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Einrichtung API und Protokollierung von Benutzeraktivitäten mit AWS CloudTrail. Für Informationen zur Verwendung von CloudTrail Spuren zum Erfassen AWS Aktivitäten finden Sie unter Arbeiten mit CloudTrail Pfaden in der AWS CloudTrail Benutzerleitfaden.
-
Verwenden Sie AWS Verschlüsselungslösungen, zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
-
Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
-
Wenn Sie für den Zugriff FIPS 140-3 validierte kryptografische Module benötigen AWS über eine Befehlszeilenschnittstelle oder einenAPI, verwenden Sie einen Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter Federal Information Processing Standard (FIPS) 140-3
.
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Athena oder anderen zusammenarbeiten AWS-Services mit der Konsole, API AWS CLI, oder AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie einem externen Server eine URL zur Verfügung stellen, empfehlen wir dringend, dass Sie keine Anmeldeinformationen angeben, URL um Ihre Anfrage an diesen Server zu validieren.
Als zusätzlichen Sicherheitsschritt können Sie den aws:CalledViaglobaler Bedingungskontextschlüssel, um Anfragen nur auf Anfragen von Athena zu beschränken. Weitere Informationen finden Sie unter Verwenden Sie CalledVia Kontexttasten für Athena.
Schützen Sie mehrere Datentypen
Es sind mehrere Datentypen involviert, wenn Sie Datenbanken und Tabellen mit Athena erstellen. Zu diesen Datentypen gehören in Amazon S3 gespeicherte Quelldaten, Metadaten für Datenbanken und Tabellen, die Sie beim Ausführen von Abfragen erstellen, oder AWS Glue Crawler zum Auffinden von Daten, Abfragen von Ergebnisdaten und Abfrageverlauf. In diesem Abschnitt werden alle diese Arten von Daten besprochen und ihre Verarbeitung erläutert.
-
Quelldaten – Sie speichern die Daten für Datenbanken und Tabellen in Amazon S3 und Athena verändert diese nicht. Weitere Informationen finden Sie unter Datenschutz in Amazon S3 im Benutzerhandbuch für Amazon Simple Storage Service. Sie steuern den Zugriff auf Ihre Quelldaten und ihre Verschlüsselung in Amazon S3. Sie können Athena zum Erstellen von Tabellen basierend auf verschlüsselten Datensätzen in Amazon S3 verwenden.
-
Datenbank- und Tabellenmetadaten (Schema) — Athena verwendet schema-on-read Technologie, was bedeutet, dass Ihre Tabellendefinitionen auf Ihre Daten in Amazon S3 angewendet werden, wenn Athena Abfragen ausführt. Alle von Ihnen definierten Schemata werden automatisch gespeichert, es sei denn, Sie löschen sie ausdrücklich. In Athena können Sie die Metadaten des Datenkatalogs mithilfe von DDL Anweisungen ändern. Sie können auch Tabellendefinitionen und Schemata löschen, ohne dass dies Auswirkungen auf die zugrunde liegenden Daten hat, die in Amazon S3 gespeichert sind. Die Metadaten für Datenbanken und Tabellen, die Sie in Athena verwenden, werden gespeichert im AWS Glue Data Catalog.
Sie können detaillierte Zugriffsrichtlinien für Datenbanken und Tabellen definieren, die in der AWS Glue Data Catalog verwenden AWS Identity and Access Management ()IAM. Sie können Metadaten auch verschlüsseln in der AWS Glue Data Catalog. Wenn Sie die Metadaten verschlüsseln, verwenden Sie Zugriffsberechtigungen für verschlüsselte Metadaten.
-
Abfrageergebnisse und Abfrageverläufe, einschließlich gespeicherter Abfragen – Abfrageergebnisse werden an einem Speicherort in Amazon S3 gespeichert, den Sie global oder für jede Arbeitsgruppe wählen können. Wenn Sie dies nicht angeben, verwendet Athena in jedem Fall den Standard-Speicherort. Sie kontrollieren den Zugriff auf Amazon-S3-Buckets zum Speichern von Abfrageergebnisse und gespeicherten Abfragen. Darüber hinaus können Sie die Abfrageergebnisse verschlüsseln, die Sie in Amazon S3 speichern. Benutzer müssen über die entsprechenden Berechtigungen zum Zugriff auf Amazon-S3-Speicherorte und zum Entschlüsseln von Dateien verfügen. Weitere Informationen finden Sie unter Verschlüsseln Sie die in Amazon S3 gespeicherten Athena-Abfrageergebnisse in diesem Dokument.
Athena hält den Abfrageverlauf 45 Tage vor. Sie können den Abfrageverlauf mit AthenaAPIs, in der Konsole und mit anzeigen AWS CLI. Um die Abfragen länger als 45 Tage zu speichern, speichern Sie sie. Verwenden Sie zum Schutz des Zugriffs auf gespeicherte Abfragen use workgroups (Arbeitsgruppen verwenden) in Athena, die den Zugriff auf gespeicherte Abfragen nur auf dazu berechtigte Benutzer einschränken.
Themen
