Protección de los datos en Athena
El modelo de responsabilidad compartida
Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
-
Utilice la autenticación multifactor (MFA) en cada cuenta.
-
Utilice SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
-
Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulte Working with CloudTrail trails en la Guía del usuario de AWS CloudTrail.
-
Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
-
Utilice servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
-
Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-3
.
Se recomienda encarecidamente no ingresar nunca información confidencial o sensible, como, por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Name (Nombre). Tampoco debe hacerlo cuando trabaje con Athena u otros Servicios de AWS mediante la consola, la API, la AWS CLI o los AWS SDK. Cualquier dato que ingrese en etiquetas o campos de formato libre utilizados para nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
Como paso de seguridad adicional, puede utilizar la clave de contexto de condición global aws:CalledVia para limitar las solicitudes únicamente a las hechas desde Athena. Para obtener más información, consulte Uso de las claves de contexto CalledVia para Athena.
Protección de varios tipos de datos
Intervienen varios tipos de datos cuando se utiliza Athena para crear bases de datos y tablas. Estos tipos de datos incluyen los datos de origen almacenados en Amazon S3, metadatos para bases de datos y tablas que se crean al ejecutar consultas o el rastreador de AWS Glue para detectar datos, datos de resultados de consultas e historial de consultas. En esta sección se analiza cada tipo de datos y se ofrece orientación sobre cómo protegerlo.
-
Datos de origen: los datos de las bases de datos y tablas se almacenan en Amazon S3 y Athena no los modifica. Para obtener más información, consulte Protección de datos en Simple Storage Service (Amazon S3) en la Guía del usuario de Amazon Simple Storage Service. Usted controla el acceso a sus datos de origen y puede cifrarlos en Amazon S3. Puede utilizar Athena para crear tablas basadas en conjuntos de datos cifrados en Amazon S3.
-
Base de datos y metadatos de tabla (esquema): Athena utiliza tecnología de lectura de esquema, lo que significa que las definiciones de tabla se aplican a los datos de Amazon S3 cuando Athena ejecuta consultas. Cualquier esquema que defina se guardará automáticamente a menos que lo elimine explícitamente. En Athena, puede modificar los metadatos del catálogo de datos con instrucciones DDL. También puede eliminar las definiciones y los esquemas de las tablas sin que los datos subyacentes almacenados en Amazon S3 se vean afectados. Los metadatos de las bases de datos y tablas que se utilizan en Athena se almacenan en el AWS Glue Data Catalog.
Puede definir políticas de acceso detallado a bases de datos y tablas registradas en AWS Glue Data Catalog mediante AWS Identity and Access Management (IAM). También puede cifrar los metadatos en AWS Glue Data Catalog. Si cifra los metadatos, para el acceso utilice los permisos para metadatos cifrados.
-
Resultados de consulta e historial de consultas, incluidas las consultas guardadas: los resultados de las consultas se almacenan en una ubicación en Amazon S3 que puede elegir especificar globalmente o para cada grupo de trabajo. Si no se especifica, Athena utiliza la ubicación predeterminada en cada caso. Usted controla el acceso a los buckets de Amazon S3 donde almacena los resultados de las consultas y las consultas guardadas. Además, puede elegir cifrar los resultados de la consulta que almacena en Amazon S3. Sus usuarios deben tener los permisos adecuados para obtener acceso a las ubicaciones de Amazon S3 y descifrar archivos. Para obtener más información, consulte Cifrado de los resultados de las consultas de Athena en Amazon S3 en este documento.
Athena conserva el historial de consultas durante 45 días. Puede ver el historial de consultas utilizando las API Athena, en la consola y con AWS CLI. Para almacenar las consultas durante más de 45 días, guárdelas. Para proteger el acceso a las consultas guardadas, utilice grupos de trabajo en Athena y restrinja el acceso a las consultas guardadas solo a los usuarios que estén autorizados a verlas.
