Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datenschutz in Athena
Das AWS Modell
Aus Datenschutzgründen empfehlen wir, dass Sie Ihre AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
-
Verwenden Sie für jedes Konto eine Multi-Faktor-Authentifizierung (MFA).
-
Verwenden SieSSL/TLS, um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Einrichtung API und Protokollierung von Benutzeraktivitäten mit AWS CloudTrail.
-
Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS -Services.
-
Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
-
Wenn Sie FIPS 140-3 validierte kryptografische Module für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine benötigenAPI, verwenden Sie einen Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter Federal Information Processing Standard
() 140-3. FIPS
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Athena oder anderen AWS -Services über die Konsole arbeiten, API AWS CLI, oder AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie einem externen Server eine URL zur Verfügung stellen, empfehlen wir dringend, dass Sie keine Anmeldeinformationen angeben, URL um Ihre Anfrage an diesen Server zu validieren.
Als zusätzliche Sicherheitsmaßnahme können Sie den globalen Bedingungskontextschlüssel aws:CalledVia verwenden, um Anfragen auf die von Athena gestellten zu beschränken. Weitere Informationen finden Sie unter Verwenden von Athena mit CalledVia Kontexttasten.
Schutz mehrerer Datentypen
Es sind mehrere Datentypen involviert, wenn Sie Datenbanken und Tabellen mit Athena erstellen. Zu diesen Datentypen gehören in Amazon S3 gespeicherte Quelldaten, Metadaten für Datenbanken und Tabellen, die Sie erstellen, wenn Sie Abfragen ausführen, oder den AWS Glue Crawler zur Erkennung von Daten, Abfrageergebnisdaten und den Abfrageverlauf. In diesem Abschnitt werden alle diese Arten von Daten besprochen und ihre Verarbeitung erläutert.
-
Quelldaten – Sie speichern die Daten für Datenbanken und Tabellen in Amazon S3 und Athena verändert diese nicht. Weitere Informationen finden Sie unter Datenschutz in Amazon S3 im Benutzerhandbuch für Amazon Simple Storage Service. Sie steuern den Zugriff auf Ihre Quelldaten und ihre Verschlüsselung in Amazon S3. Sie können Athena zum Erstellen von Tabellen basierend auf verschlüsselten Datensätzen in Amazon S3 verwenden.
-
Datenbank- und Tabellenmetadaten (Schema) — Athena verwendet schema-on-read Technologie, was bedeutet, dass Ihre Tabellendefinitionen auf Ihre Daten in Amazon S3 angewendet werden, wenn Athena Abfragen ausführt. Alle von Ihnen definierten Schemata werden automatisch gespeichert, es sei denn, Sie löschen sie ausdrücklich. In Athena können Sie die Metadaten des Datenkatalogs mithilfe von DDL Anweisungen ändern. Sie können auch Tabellendefinitionen und Schemata löschen, ohne dass dies Auswirkungen auf die zugrunde liegenden Daten hat, die in Amazon S3 gespeichert sind. Die Metadaten für Datenbanken und Tabellen, die Sie in Athena verwenden, werden im AWS Glue Data Catalog gespeichert.
Sie können detaillierte Zugriffsrichtlinien für Datenbanken und Tabellen definieren, die in AWS Glue Data Catalog using AWS Identity and Access Management () registriert sind. IAM Sie können auch Metadaten im AWS Glue Data Catalog verschlüsseln. Wenn Sie die Metadaten verschlüsseln, verwenden Sie Berechtigungen für den Zugriff auf verschlüsselte Metadaten.
-
Abfrageergebnisse und Abfrageverläufe, einschließlich gespeicherter Abfragen – Abfrageergebnisse werden an einem Speicherort in Amazon S3 gespeichert, den Sie global oder für jede Arbeitsgruppe wählen können. Wenn Sie dies nicht angeben, verwendet Athena in jedem Fall den Standard-Speicherort. Sie kontrollieren den Zugriff auf Amazon-S3-Buckets zum Speichern von Abfrageergebnisse und gespeicherten Abfragen. Darüber hinaus können Sie die Abfrageergebnisse verschlüsseln, die Sie in Amazon S3 speichern. Benutzer müssen über die entsprechenden Berechtigungen zum Zugriff auf Amazon-S3-Speicherorte und zum Entschlüsseln von Dateien verfügen. Weitere Informationen finden Sie unter Verschlüsseln der in Amazon S3 gespeicherten Athena-Abfrageergebnisse in diesem Dokument.
Athena hält den Abfrageverlauf 45 Tage vor. Sie können den Abfrageverlauf mit AthenaAPIs, in der Konsole und mit AWS CLI anzeigen. Um die Abfragen für länger als 45 Tage lang vorzuhalten, müssen Sie sie speichern. Verwenden Sie zum Schutz des Zugriffs auf gespeicherte Abfragen use workgroups (Arbeitsgruppen verwenden) in Athena, die den Zugriff auf gespeicherte Abfragen nur auf dazu berechtigte Benutzer einschränken.