Mindestverschlüsselung für eine Arbeitsgruppe konfigurieren - Amazon Athena
Überlegungen und EinschränkungenAktivieren Sie die Mindestverschlüsselung für eine Arbeitsgruppe

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mindestverschlüsselung für eine Arbeitsgruppe konfigurieren

Als Administrator einer SQL Athena-Arbeitsgruppe können Sie in Amazon S3 eine minimale Verschlüsselungsstufe für alle Abfrageergebnisse der Arbeitsgruppe erzwingen. Sie können dieses Feature verwenden, um sicherzustellen, dass Abfrageergebnisse niemals unverschlüsselt in einem Amazon-S3-Bucket gespeichert werden.

Wenn Benutzer in einer Arbeitsgruppe mit aktivierter Mindestverschlüsselung eine Abfrage einreichen, können sie die Verschlüsselung nur auf die von Ihnen konfigurierte Mindeststufe oder auf eine höhere Stufe einstellen, falls eine verfügbar ist. Athena verschlüsselt Abfrageergebnisse entweder auf der Ebene, die angegeben wurde, wenn der Benutzer die Abfrage ausführt, oder auf der Ebene, die in der Arbeitsgruppe festgelegt wurde.

Die folgenden Stufen sind verfügbar:

  • Basic — Serverseitige Amazon S3-Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE_S3).

  • Fortgeschritten — Serverseitige Verschlüsselung mit KMS verwalteten Schlüsseln (SSE_ KMS).

  • Erweitert — Clientseitige Verschlüsselung mit KMS verwalteten Schlüsseln (CSE_ KMS).

Überlegungen und Einschränkungen

  • Das Mindestverschlüsselungs-Feature ist für Apache-Spark-fähige Arbeitsgruppen nicht verfügbar.

  • Das Mindestverschlüsselungs-Feature funktioniert nur, wenn die Arbeitsgruppe die Option Clientseitige Einstellungen überschreiben nicht aktiviert.

  • Wenn für die Arbeitsgruppe die Option Clientseitige Einstellungen überschreiben aktiviert ist, hat die Einstellung für die Arbeitsgruppenverschlüsselung Vorrang, und die Einstellung für die Mindestverschlüsselung hat keine Auswirkung.

  • Die Aktivierung dieses Features ist kostenlos.

Aktivieren Sie die Mindestverschlüsselung für eine Arbeitsgruppe

Sie können eine Mindestverschlüsselungsstufe für die Abfrageergebnisse Ihrer SQL Athena-Arbeitsgruppe aktivieren, wenn Sie die Arbeitsgruppe erstellen oder aktualisieren. Dazu können Sie die Athena-Konsole, Athena oder API AWS CLI.

Informationen zum Erstellen oder Bearbeiten Ihrer Arbeitsgruppe mit der Athena-Konsole finden Sie unter Eine Arbeitsgruppe erstellen oder Eine Arbeitsgruppe bearbeiten. Gehen Sie bei der Konfiguration Ihrer Arbeitsgruppe wie folgt vor, um die Mindestverschlüsselung zu aktivieren.

So konfigurieren Sie die Mindestverschlüsselungsstufe für Arbeitsgruppenabfrageergebnisse

  1. Deaktivieren Sie die Option Clientseitige Einstellungen überschreiben, oder stellen Sie sicher, dass sie nicht ausgewählt ist.

  2. Wählen Sie die Option Abfrageergebnisse verschlüsseln aus.

  3. Wählen Sie unter Verschlüsselungstyp die Verschlüsselungsmethode aus, die Athena für die Abfrageergebnisse Ihrer Arbeitsgruppe verwenden soll (SSE_S3KMS, SSE_ oder CSE _). KMS Diese Verschlüsselungstypen entsprechen den Sicherheitsstufen „Basis“, „Mittelstufe“ und „Erweitert“.

  4. Um die Verschlüsselungsmethode durchzusetzen, die Sie als Mindestverschlüsselungsstufe für alle Benutzer ausgewählt haben, wählen Sie Set aus encryption_method als Mindestverschlüsselung.

    Wenn Sie diese Option auswählen, werden in einer Tabelle die Verschlüsselungshierarchie und die Verschlüsselungsstufen aufgeführt, die Benutzern gewährt werden, wenn der von Ihnen gewählte Verschlüsselungstyp zum Mindestverschlüsselungstyp wird.

  5. Nachdem Sie Ihre Arbeitsgruppe erstellt oder Ihre Arbeitsgruppenkonfiguration aktualisiert haben, wählen Sie Arbeitsgruppe erstellen oder Änderungen speichern.

Wenn Sie das CreateWorkGroupoder verwenden UpdateWorkGroupAPI, um eine SQL Athena-Arbeitsgruppe zu erstellen oder EnforceWorkGroupConfigurationzu aktualisieren, setzen Sie es auf falsetrue, EnableMinimumEncryptionConfigurationauf und verwenden Sie das, EncryptionOptionum den Verschlüsselungstyp anzugeben.

Im AWS CLI, verwenden Sie den update-work-groupBefehl create-work-groupoder mit den --configuration-updates Parametern --configuration oder und geben Sie die Optionen an, die denen für die entsprechen. API