Protection des données dans Athena

Le modèle de responsabilité AWS partagée s'applique à la protection des données dans Amazon Athena. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour en savoir plus sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagéeAWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécuritéAWS .

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

• Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

• Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.

• Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.

• Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.

• Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

• Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-2 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour en savoir plus sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez Federal Information Processing Standard (FIPS) 140-2 (Normes de traitement de l’information fédérale).

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec Athena ou une autre personne à Services AWS l'aide de la console, de l'API ou AWS des AWS CLISDK. Toutes les données que vous saisissez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Une étape de sécurité supplémentaire consiste à utiliser la clé contextuelle de condition globale aws:CalledVia pour limiter les requêtes à celles effectuées à partir d'Athena. Pour de plus amples informations, veuillez consulter Utilisation d'Athena avec les clés contextuelles CalledVia.

Protection de plusieurs types de données

Plusieurs types de données sont impliqués lorsque vous utilisez Athena pour créer des bases de données et des tables. Ces types de données incluent les données sources stockées dans Amazon S3, les métadonnées pour les bases de données et les tables que vous créez lorsque vous exécutez des requêtes ou le AWS Glue Crawler pour découvrir des données, les données des résultats des requêtes et l'historique des requêtes. Cette section décrit chaque type de données et fournit des conseils sur sa protection.

• Données source : vous stockez les données des bases de données et des tables dans Simple Storage Service (Amazon S3) et Athena ne les modifie pas. Pour de plus amples informations, consultez la section Protection des données dans Simple Storage Service (Amazon S3) dans le Guide de l'utilisateur Amazon Simple Storage Service. Vous contrôlez l'accès à vos données source et pouvez les chiffrer dans Simple Storage Service (Amazon S3). Vous pouvez utiliser Athena pour créer des tables en fonction des ensembles de données chiffrés dans Simple Storage Service (Amazon S3).

• Métadonnées de base de données et de table (schéma) : Athena utilise schema-on-read la technologie, ce qui signifie que les définitions de vos tables sont appliquées à vos données dans Amazon S3 lorsqu'Athena exécute des requêtes. Tous les schémas que vous définissez sont automatiquement enregistrés, sauf si vous les supprimez de manière explicite. Dans Athena, vous pouvez modifier les métadonnées du catalogue de données à l'aide d'instructions DDL. Vous pouvez supprimer les définitions de table et les schémas sans affecter les données sous-jacentes stockées dans Simple Storage Service (Amazon S3). Les métadonnées des bases de données et des tables que vous utilisez dans Athena sont stockées dans le catalogue AWS Glue Data Catalog.

  Vous pouvez définir des politiques d'accès précises aux bases de données et aux tables enregistrées auprès de l'utilisateur AWS Identity and Access Management ( AWS Glue Data Catalog IAM). Vous pouvez également chiffrer les métadonnées dans le AWS Glue Data Catalog. Si vous chiffrez les métadonnées, utilisez des autorisations d'accès aux métadonnées chiffrées.

• Résultats de requête et historique des requêtes, y compris les requêtes enregistrées : les résultats de requête sont stockés dans un emplacement dans Simple Storage Service (Amazon S3) que vous pouvez choisir de spécifier globalement ou pour chaque groupe de travail. En l'absence de spécification, Athena utilise l'emplacement par défaut dans chaque cas. Vous contrôlez l'accès aux compartiments Simple Storage Service (Amazon S3) où vous stockez les résultats des requêtes et les requêtes enregistrées. De plus, vous pouvez choisir de chiffrer les résultats de requête que vous stockez dans Simple Storage Service (Amazon S3). Les utilisateurs doivent avoir les autorisations appropriées pour accéder aux emplacements Simple Storage Service (Amazon S3) et déchiffrer les fichiers. Pour plus d'informations, consultez Chiffrement des résultats des requêtes Athena stockées dans Simple Storage Service (Amazon S3) dans ce document.

  Athena conserve l'historique des requêtes pendant 45 jours. Vous pouvez consulter l'historique des requêtes à l'aide des API Athena, dans la console et avec. AWS CLIPour stocker les requêtes pendant plus de 45 jours, enregistrez-les. Pour protéger l'accès aux requêtes enregistrées, utilisez les groupes de travail dans Athena, en limitant l'accès aux requêtes enregistrées uniquement aux utilisateurs qui sont autorisés à les consulter.

Rubriques

• Chiffrement au repos
• Chiffrement en transit
• Gestion des clés
• Confidentialité du trafic inter-réseau