Administración de los grupos de trabajo - Amazon Athena
Creación de un grupo de trabajoEditar un grupo de trabajoVer los detalles del grupo de trabajoEliminar un grupo de trabajoCambiar los grupos de trabajoCopiar una consulta guardada entre grupos de trabajoHabilitar o deshabilitar un grupo de trabajoEspecificar un grupo de trabajo en el que se ejecutarán consultasConfiguración del cifrado mínimo

Administración de los grupos de trabajo

En el navegador https://console.aws.amazon.com/athena/, puede llevar a cabo las tareas siguientes:

Instrucción Descripción
Creación de un grupo de trabajo

Crear un grupo de trabajo nuevo.
Editar un grupo de trabajo Editar un grupo de trabajo y cambiar su configuración. No puede cambiar un nombre de grupo de trabajo, pero puede crear un nuevo grupo de trabajo con la misma configuración y un nombre diferente.
Ver los detalles del grupo de trabajo Vea los detalles del grupo de trabajo, por ejemplo, su nombre, descripción, límites de uso de datos, ubicación de los resultados de las consultas, propietario del bucket esperado de los resultados de las consultas, cifrado y control de los objetos escritos en el bucket de los resultados de las consultas. También puede verificar si este grupo de trabajo aplica su configuración, si se ha seleccionado Invalidar la configuración del cliente.
Eliminar un grupo de trabajo

Elimine un grupo de trabajo. Si elimina un grupo de trabajo, se eliminan el historial de consultas, las consultas guardas, la configuración del grupo de trabajo y los controles de límites de datos por consulta. Los controles del límite de datos del grupo de trabajo permanecen en CloudWatch y puede eliminarlos de manera individual.

No se puede eliminar el grupo de trabajo principal.
Cambiar los grupos de trabajo

Cambie entre los grupos de trabajo a los que tiene acceso.

Copiar una consulta guardada entre grupos de trabajo Copie una consulta guardada entre grupos de trabajo. Es posible que desee hacerlo si, por ejemplo, creó una consulta en un grupo de trabajo de vista previa y desea que esté disponible en un grupo de trabajo que no sea de vista previa.
Habilitar o deshabilitar un grupo de trabajo

Habilite o deshabilite un grupo de trabajo. Cuando un grupo de trabajo está deshabilitado, los usuarios no pueden ejecutar consultas o crear consultas con nombre nuevas. Si tiene acceso a él, puede seguir viendo las métricas, los controles de límites de uso de datos, la configuración de los grupos de trabajo, el historial de consultas y las consultas guardadas.
Especificar un grupo de trabajo en el que se ejecutarán consultas

Antes de ejecutar consultas, debe especificar a Athena qué grupo de trabajo se debe utilizar. Debe tener permisos en el grupo de trabajo.

Creación de un grupo de trabajo de Athena que utilice la autenticación del IAM Identity Center Para utilizar las identidades del IAM Identity Center con Athena, debe crear un grupo de trabajo habilitado para IAM Identity Center. Después de crear el grupo de trabajo, puede utilizar la consola o la API del IAM Identity Center para asignar usuarios o grupos del IAM Identity Center al grupo de trabajo.

Creación de un grupo de trabajo

Para crear un grupo de trabajo se necesitan permisos para las acciones de la API CreateWorkgroup. Consulte Acceso a grupos de trabajo y etiquetas y Políticas de IAM para acceder a los grupos de trabajo. Si está añadiendo etiquetas, también tiene que añadir permisos a TagResource. Consulte Ejemplos de política de etiquetas para grupos de trabajo.

Para crear un grupo de trabajo en la consola

  1. Si el panel de navegación de la consola no está visible, elija el menú de expansión de la izquierda.

    Elija el menú de expansión.

  2. En el panel de navegación de la consola de Athena, elija Grupos de trabajo.

  3. En el panel Grupos de trabajo, elija Crear grupo de trabajo.

  4. En la página Crear grupo de trabajo, rellene los campos tal y como se indica a continuación:

    Campo Descripción
    Nombre del grupo de trabajo Obligatorio. Escriba un nombre único para el grupo de trabajo. Utilice entre 1 y 128 caracteres. (A-Z,a-z,0-9,_,-,.). Este nombre no se puede cambiar.
    Descripción Opcional. Escriba una descripción para el grupo de trabajo. Puede contener un máximo de 1024 caracteres.
    Elección del tipo de motor

    Elija Athena SQL si desea ejecutar consultas SQL ad hoc sobre los datos de Amazon S3 o utilizar un conector de origen de datos compilado previamente para ejecutar consultas federadas en una variedad de orígenes de datos externos a Amazon S3. Puede ejecutar consultas mediante el editor de consultas de Athena, AWS CLI o las API de Athena.

    Elija Apache Spark si desea crear, editar y ejecutar aplicaciones del cuaderno de Jupyter con Python y Apache Spark. Los cuadernos de Jupyter contienen una lista de celdas que pueden incluir código, texto, Markdown, cálculos, gráficos y contenido multimedia enriquecido. Las celdas se ejecutan en orden como cálculos en una sesión de cuaderno interactiva en Athena. Para obtener información sobre cómo crear y configurar un grupo de trabajo habilitado para Spark, consulte Creación de un grupo de trabajo habilitado para Spark en Athena.

    Tras crear un grupo de trabajo, se puede actualizar su motor de análisis (por ejemplo, de la versión 2 del motor de Athena a la versión 3 del motor de Athena), pero no se puede cambiar su tipo de motor. Por ejemplo, un grupo de trabajo de la versión 3 del motor de Athena no se puede cambiar a un grupo de trabajo de la versión 3 del motor de PySpark.
    Actualizar el motor de consultas Elija cómo desea actualizar el grupo de trabajo cuando se publique una nueva versión del motor Athena. Puede dejar que Athena decida cuándo actualizar el grupo de trabajo o puede especificar manualmente una versión del motor. Para obtener más información, consulte Control de versiones del motor Athena.
    Modo de autenticación Elija AWS Identity and Access Management (IAM) para utilizar la autenticación o la federación de IAM para el grupo de trabajo. Elija IAM Identity Center si desea admitir identidades de personal, como usuarios y grupos de proveedores de identidad de SAML 2.0, como Microsoft Active Directory. Para obtener más información, consulte Trusted identity propagation across applications en la Guía del usuario del AWS IAM Identity Center.
    Rol de servicio para el acceso al IAM Identity Center Athena necesita permisos de IAM para acceder al IAM Identity Center en su nombre. Para obtener más información sobre los roles de servicio de IAM, consulte Creación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.
    Ubicación del resultado de las consultas

    Opcional. Ingrese una ruta a un bucket o un prefijo de Amazon S3. El bucket y el prefijo deben existir para poder especificarlos.

    nota

    Si ejecuta consultas en la consola, especificar la ubicación de los resultados de la consulta es opcional. Si no lo especifica para el grupo de trabajo o en Configuración, Athena utiliza la ubicación predeterminada para los resultados de la consulta. Si ejecuta consulta con la API o los controladores, debe especificar la ubicación de los resultados de la consulta en al menos uno de los siguientes dos sitios: para consultas individuales con OutputLocation o para el grupo de trabajo con WorkGroupConfiguration.

    Propietario esperado del bucket Opcional. Ingrese el ID de la Cuenta de AWS que espera que sea el propietario del bucket de ubicación de salida. Se trata de una medida de seguridad añadida. Si el ID de cuenta del propietario del bucket no coincide con el ID que se especifique aquí, los intentos de generar el bucket fallarán. Para obtener información detallada, consulte Verificación de la propiedad del bucket con la condición de propietario del bucket en la Guía del usuario de Amazon S3.
    nota

    La configuración del propietario esperado del bucket se aplica solo a la ubicación de salida de Amazon S3 especificada para los resultados de las consultas de Athena. No se aplica a otras ubicaciones de Amazon S3, como las ubicaciones de origen de datos en buckets externos de Amazon S3, ubicaciones de tablas de destino de CTAS y INSERT INTO, ubicaciones de salida de instrucciones UNLOAD, operaciones para desbordar buckets para consultas federadas, o consultas SELECT ejecutadas en una tabla de otra cuenta.
    Asignar control total sobre los resultados de las consultas al propietario del bucket

    Este campo se deshabilita de forma predeterminada. Si lo selecciona y están habilitadas las ACL para el bucket de ubicación de resultados de las consultas, se concede un acceso de control total sobre los resultados de las consultas al propietario del bucket. Por ejemplo, si la ubicación del resultado de las consultas es propiedad de otra cuenta, puede utilizar esta opción para conceder la propiedad y el control total sobre los resultados de las consultas a la otra cuenta.

    Si la configuración de propiedad de objetos de S3 del bucket es Propietario del bucket preferido, el propietario del bucket también es propietario de todos los objetos de resultados de las consultas escritos desde este grupo de trabajo. Por ejemplo, si el grupo de trabajo de una cuenta externa habilita esta opción y establece la ubicación del resultado de la consulta en el bucket de Simple Storage Service (Amazon S3) de la cuenta que tiene Bucket owner preferred (Propietario del bucket preferido) como configuración de propiedad de objetos de S3, usted es propietario de los resultados de las consultas del grupo de trabajo externo y tiene control total sobre ellos.

    Seleccionar esta opción cuando la configuración de la propiedad de objetos S3 del bucket de resultados de las consultas es Propietario del bucket obligatorio no surte ningún efecto. Para obtener más información, consulte Configuración de la propiedad de objetos en la Guía del usuario de Amazon S3.
    Cifrar resultados de la consulta

    Opcional. Cifrar resultados almacenados en Amazon S3. Si se selecciona, se cifran todas las consultas en el grupo de trabajo.

    Si se selecciona, puede seleccionar el Tipo de cifrado, la Clave de cifrado y escribir el ARN de la clave de KMS.

    Si no tiene la clave, abra la consola de AWS KMS para crearla. Para obtener más información, consulte Creación de claves en la Guía para desarrolladores de AWS Key Management Service.
    Establecer encryption_type como cifrado mínimo

    Opcional. Seleccione esta opción para aplicar un tipo mínimo de cifrado en los resultados de las consultas a todos los usuarios del grupo de trabajo. Al seleccionar esta opción, se muestra una tabla con la jerarquía de los tipos de cifrado. En la tabla también se muestran los tipos de cifrado que los usuarios del grupo de trabajo podrán utilizar cuando especifique un tipo de cifrado en particular como mínimo. Para utilizar esta opción, no se debe seleccionar Invalidar la configuración del cliente.

    Para obtener más información, consulte Configuración del cifrado mínimo para un grupo de trabajo.
    Habilitación de permisos de acceso a S3 Este campo se selecciona de forma predeterminada al elegir IAM Identity Center como modo de autenticación. Si se selecciona, con esta opción se aplican los permisos basados en usuarios o grupos del IAM Identity Center en las ubicaciones de Amazon S3.
    Creación de un prefijo S3 basado en la identidad del usuario Cuando se selecciona esta opción, Athena crea un prefijo de Amazon S3 al almacenar los resultados de las consultas. El prefijo se basa en la identidad del usuario del IAM Identity Center.
    Publicación de métricas de consultas en CloudWatch Este campo se selecciona de forma predeterminada. Publicar métricas de consultas en CloudWatch. Consulte Supervisión de las consultas de Athena con métricas de CloudWatch.
    Invalidación de la configuración del cliente Este campo se deshabilita de forma predeterminada. Si se selecciona, la configuración del grupo de trabajo se aplica a todas las consultas en el grupo de trabajo y se invalida la configuración del lado del cliente. Para obtener más información, consulte La configuración del grupo de trabajo invalida la configuración del cliente.
    Buckets de S3 de pago por solicitante

    Opcional. Elija Habilitar consultas en buckets de pago por solicitante en Amazon S3 si los usuarios del grupo de trabajo van a ejecutar consultas en datos almacenados en buckets de Amazon S3 que están configurados como pago por solicitante. A la cuenta del usuario que ejecuta la consulta se le cargan las tarifas de acceso a los datos aplicables y de transferencia de datos asociados a la consulta. Para obtener más información, consulte Buckets de pago por solicitante en la Guía del usuario de Amazon Simple Storage Service.
    Administración del control del uso de datos por consulta Opcional. Establece el límite de la cantidad máxima de datos puede analizar una consulta. Puede definir solo un límite por consulta para un grupo de trabajo. El límite se aplica a todas las consultas del grupo de trabajo y si la consulta supera el límite, se cancelará. Para obtener más información, consulte Configuración de los límites de control del uso de datos.
    Alertas del uso de datos de grupos de trabajo Opcional. Establezca varios umbrales de alerta cuando las consultas que se ejecutan en este grupo de trabajo analizan una cantidad específica de datos en un periodo específico. Las alertas se implementan mediante las alarmas de Amazon CloudWatch y se aplican a todas las consultas del grupo de trabajo. Para obtener más información, consulte Uso de las alarmas de Amazon CloudWatch en la Guía del usuario de Amazon CloudWatch.
    Etiquetas Opcional. Añada una o más etiquetas a un grupo de trabajo. Una etiqueta es una marca que se asigna a un recurso de grupo de trabajo de Athena. Consta de una clave y un valor. Utilice las prácticas recomendadas para etiquetado de AWS para crear un conjunto coherente de etiquetas y categorizar los grupos de trabajo según su finalidad, propietario o entorno. También puede usar etiquetas en las políticas de IAM y para controlar los costos de facturación. No utilice claves de etiquetas duplicadas en el mismo grupo de trabajo. Para obtener más información, consulte Etiquetado de recursos de Athena.

  5. Elija Crear grupo de trabajo. El grupo de trabajo aparece en la lista en la página Grupos de trabajo.

También puede utilizar la operación de la API CreateWorkGroup para crear un grupo de trabajo.

importante

Después de crear grupos de trabajo, cree IAM para Políticas de IAM para acceder a los grupos de trabajo que le permiten ejecutar acciones relacionadas con el grupo de trabajo.

Editar un grupo de trabajo

Para editar un grupo de trabajo se necesitan permisos para las operaciones de la API UpdateWorkgroup. Consulte Acceso a grupos de trabajo y etiquetas y Políticas de IAM para acceder a los grupos de trabajo. Si está añadiendo o editando etiquetas, también tiene que tener permisos para TagResource. Consulte Ejemplos de política de etiquetas para grupos de trabajo.

Para editar un grupo de trabajo en la consola

  1. En el panel de navegación de la consola de Athena, elija Grupos de trabajo.

  2. En la página Grupos de trabajo, seleccione el botón del grupo de trabajo que quiere editar.

  3. Seleccione Acciones, Editar.

  4. Cambie los campos según sea necesario. Para la lista de campos, consulte Crear grupo de trabajo. Puede cambiar todos los campos, excepto el nombre del grupo de trabajo. Si necesita cambiar el nombre, cree otro grupo de trabajo con el nuevo nombre y la misma configuración.

  5. Elija Guardar cambios. El grupo de trabajo actualizado aparece en la lista de la página Grupos de trabajo.

Ver los detalles del grupo de trabajo

Para cada grupo de trabajo, puede ver sus detalles. Los detalles incluyen el nombre del grupo de trabajo, la descripción, si está habilitado o desactivado, y la configuración que se utiliza para las consultas que se ejecutan en el grupo de trabajo, que incluyen la ubicación de los resultados de las consultas, el propietario del bucket esperado, el cifrado y el control de objetos escritos en el bucket de resultados de las consultas. Si un grupo de trabajo tiene límites de uso de datos, también se muestran.

Para ver los detalles del grupo de trabajo

  1. En el panel de navegación de la consola de Athena, elija Grupos de trabajo.

  2. En la página Grupos de trabajo, elija el enlace del grupo de trabajo que quiere ver. La página Información general sobre los detalles muestra la página del grupo de trabajo.

Eliminar un grupo de trabajo

Puede eliminar un grupo de trabajo si tiene permiso para hacerlo. No se puede eliminar el grupo de trabajo principal.

Si tiene los permisos adecuados, puede eliminar un grupo de trabajo en cualquier momento. También puede eliminar un grupo de trabajo que contiene consultas guardadas. En este caso, antes de proceder a la eliminación de un grupo de trabajo, Athena le avisa de que se eliminarán las consultas guardadas.

Si elimina un grupo de trabajo mientras se encuentra en él, la consola cambia el foco al grupo de trabajo principal. Si tiene acceso a él, puede ejecutar consultas y ver su configuración.

Si elimina un grupo de trabajo, se eliminan su configuración y los controles del límite de datos por consulta. Los controles del límite de datos del grupo de trabajo permanecen en CloudWatch y puede eliminarlos allí, si es necesario.

importante

Antes de eliminar un grupo de trabajo, asegúrese de que sus usuarios también pertenecen a otros grupos de trabajo donde puedan seguir ejecutando consultas. Si las políticas de IAM de los usuarios les permitían ejecutar consultas solo en este grupo de trabajo y lo elimina, ya no tienen permisos para ejecutar consultas. Para obtener más información, consulte Example policy for running queries in the primary workgroup.

Para eliminar un grupo de trabajo en la consola

  1. En el panel de navegación de la consola de Athena, elija Grupos de trabajo.

  2. En la página Grupos de trabajo, seleccione el botón del grupo de trabajo que quiere eliminar.

  3. Elija Acciones, Eliminar.

  4. En la solicitud de confirmación Eliminar grupo de trabajo ingrese el nombre del grupo de trabajo y, a continuación, elija Eliminar.

Para eliminar un grupo de trabajo con la operación de la API, utilice la acción DeleteWorkGroup.

Cambiar los grupos de trabajo

Puede cambiar de un grupo de trabajo a otro si tiene permisos para ambos.

Puede abrir hasta diez pestañas de consulta dentro de cada grupo de trabajo. Al cambiar entre grupos de trabajo, la pestaña de la consulta permanece abierta para hasta tres grupos de trabajo.

Para cambiar grupos de trabajo

  1. En la consola de Athena, utilice la opción Grupo de trabajo en la parte superior derecha para elegir uno.

  2. Si aparece el cuadro de diálogo de configuración del grupo de trabajo workgroup-name, elija Confirmación.

La opción Grupo de trabajo muestra el nombre del grupo de trabajo al que se ha cambiado. Ahora ya puede ejecutar consultas en este grupo de trabajo.

Copiar una consulta guardada entre grupos de trabajo

Actualmente, la consola de Athena no tiene la opción de copiar una consulta guardada de un grupo de trabajo a otro de forma directa, pero puede realizar la misma tarea manualmente mediante el siguiente procedimiento.

Para copiar una consulta guardada entre grupos de trabajo

  1. En la consola de Athena, en el grupo de trabajo desde el que desea copiar la consulta, elija la pestaña Consultas guardadas.

  2. Elija el enlace de la consulta guardada que quiere copiar. Athena abre la consulta en el editor de consultas.

  3. En el editor de consultas, seleccione el texto de la consulta y, a continuación, presione Ctrl+C para copiarlo.

  4. Cambie al grupo de trabajo de destino o Cree un grupo de trabajo y, a continuación, cambie a él.

  5. Abra una nueva pestaña en el editor de consultas y, luego, presione Ctrl+V para pegar el texto en la pestaña nueva.

  6. En el editor de consultas, elija Guardar como para guardar la consulta en el grupo de trabajo de destino.

  7. En el cuadro de diálogo Elegir un nombre, ingrese un nombre para la consulta y una descripción opcional.

  8. Seleccione Guardar.

Habilitar o deshabilitar un grupo de trabajo

Si tiene permisos para hacerlo, puede habilitar o deshabilitar grupos de trabajo en la consola, mediante las operaciones de la API o con los controladores JDBC y ODBC.

Para habilitar o deshabilitar un grupo de trabajo

  1. En el panel de navegación de la consola de Athena, elija Grupos de trabajo.

  2. En la página Grupos de trabajo, elija el enlace del grupo de trabajo.

  3. En la esquina superior derecha, elija Habilitar grupo de trabajo o Desactivar grupo de trabajo.

  4. En la solicitud de confirmación, elija Habilitar o Desactivar. Si deshabilita un grupo de trabajo, los usuarios no pueden ejecutar consultas en él ni consultas con nombre nuevas. Si habilita un grupo de trabajo, los usuarios pueden utilizarlo para ejecutar consultas.

Especificar un grupo de trabajo en el que se ejecutarán consultas

Para especificar un grupo de trabajo que se va a utilizar, debe tener permisos del grupo de trabajo.

Para especificar el grupo de trabajo que se va a utilizar

  1. Asegúrese de que sus permisos le permiten ejecutar consultas en un grupo de trabajo que pretende utilizar. Para obtener más información, consulte Políticas de IAM para acceder a los grupos de trabajo.

  2. Para especificar el grupo de trabajo, utilice una de estas opciones:

    • Si va a usar la consola de Athena, establezca el grupo de trabajo mediante el cambio de grupos de trabajo.

    • Si utiliza las operaciones de la API de Athena, especifique el nombre de grupo de trabajo de la acción de la API. Por ejemplo, puede definir el nombre de grupo de trabajo en StartQueryExecution, tal y como se indica a continuación: 

      StartQueryExecutionRequest startQueryExecutionRequest = new StartQueryExecutionRequest()
              .withQueryString(ExampleConstants.ATHENA_SAMPLE_QUERY)
              .withQueryExecutionContext(queryExecutionContext)
              .withWorkGroup(WorkgroupName)

    • Si utiliza el controlador JDBC u ODBC, establezca el nombre del grupo de trabajo en la cadena de conexión mediante el parámetro de configuración Workgroup. El controlador pasa el nombre del grupo de trabajo a Athena. Especifique el parámetro de grupo de trabajo en la cadena de conexión tal y como se muestra en el siguiente ejemplo: 

      jdbc:awsathena://AwsRegion=<AWSREGION>;UID=<ACCESSKEY>;
PWD=<SECRETKEY>;S3OutputLocation=s3://DOC-EXAMPLE-BUCKET/<athena-output>-<AWSREGION>/;
Workgroup=<WORKGROUPNAME>;

Configuración del cifrado mínimo para un grupo de trabajo

Como administrador de un grupo de trabajo de Athena SQL, puede aplicar un nivel mínimo de cifrado en Amazon S3 para todos los resultados de las consultas del grupo de trabajo. Puede utilizar esta característica para asegurarse de que los resultados de las consultas nunca se almacenen en un bucket de Amazon S3 sin cifrar.

Cuando los usuarios de un grupo de trabajo con el cifrado mínimo habilitado envían una consulta, solo pueden establecer el cifrado en el nivel mínimo que configure o en un nivel superior si hay alguno disponible. Athena cifra los resultados de la consulta en el nivel especificado cuando el usuario ejecuta la consulta o en el nivel establecido en el grupo de trabajo.

Se encuentran disponibles los siguientes niveles:

  • Básico: cifrado del servidor de Amazon S3 con claves administradas por Amazon S3 (SSE_S3).

  • Intermedio: cifrado del servidor con claves administradas por KMS (SSE_KMS).

  • Avanzado: cifrado del cliente con claves administradas por KMS (CSE_KMS).

Consideraciones y limitaciones

  • La característica de cifrado mínimo no se encuentra disponible para los grupos de trabajo habilitados para Apache Spark.

  • La característica de cifrado mínimo solo funciona cuando el grupo de trabajo no habilita la opción Invalidar la configuración del cliente.

  • Si el grupo de trabajo tiene habilitada la opción Invalidar la configuración del cliente, prevalece la configuración de cifrado del grupo de trabajo y la configuración de cifrado mínimo no tiene efecto.

  • La habilitación de esta característica no tiene ningún costo.

Habilitación del cifrado mínimo para un grupo de trabajo

Puede habilitar un nivel de cifrado mínimo para los resultados de las consultas de su grupo de trabajo de Athena SQL al crear o actualizar el grupo de trabajo. Para ello, puede utilizar la consola, la API o la AWS CLI de Athena.

Uso de la consola de Athena para habilitar el cifrado mínimo

Para comenzar a crear o editar un grupo de trabajo mediante la consola de Athena, consulte Crear un grupo de trabajo o Editar un grupo de trabajo. Al configurar el grupo de trabajo, proceda con los siguientes pasos para habilitar el cifrado mínimo.

A fin de configurar el nivel de cifrado mínimo para los resultados de las consultas del grupo de trabajo

  1. En la sección de Configuraciones adicionales, amplíe Configuración.

  2. Desactive la opción Invalidar la configuración del cliente o compruebe que no se encuentre seleccionada.

  3. En la sección de Configuraciones adicionales, amplíe Configuración de los resultados de la consulta.

  4. Seleccione la opción Cifrado de los resultados de la consulta.

  5. En Tipo de cifrado, seleccione el método de cifrado que desee que Athena utilice para los resultados de las consultas de su grupo de trabajo (SSE_S3, SSE_KMS o CSE_KMS). Estos tipos de cifrado corresponden a los niveles de seguridad básico, intermedio y avanzado.

  6. A fin de aplicar el método de cifrado que eligió como nivel mínimo de cifrado para todos los usuarios, seleccione Establecer encryption_method como cifrado mínimo.

    Al seleccionar esta opción, en una tabla se muestra la jerarquía de cifrado y los niveles de cifrado que se permitirán a los usuarios cuando el tipo de cifrado que elija pase a ser el mínimo.

  7. Después de crear el grupo de trabajo o actualizar la configuración del grupo de trabajo, elija Crear grupo de trabajo o Guardar cambios.

Uso de la API o la AWS CLI de Athena para habilitar el cifrado mínimo

Cuando utilice la API CreateWorkGroup o UpdateWorkGroup para crear o actualizar un grupo de trabajo de Athena SQL, establezca EnforceWorkGroupConfiguration en false, EnableMinimumEncryptionConfiguration en true, y utilice EncryptionOption a fin de especificar el tipo de cifrado.

En la AWS CLI, utilice el comando create-work-group o update-work-group con los parámetros --configuration o --configuration-updates y especifique las opciones correspondientes a las de la API.