Chiffrement au repos - Amazon Athena

Chiffrement au repos

Vous pouvez exécuter des requêtes dans Amazon Athena sur les données chiffrées dans Amazon S3 de la même région. Vous pouvez également chiffrer les résultats de la requête dans Amazon S3 et les données dans le AWS Glue Data Catalog.

Vous pouvez chiffrer les ressources suivantes dans Athena :

Note

La configuration de l'interrogation d'un ensemble de données chiffré dans Amazon S3 et les options dans Athena pour chiffrer les résultats de requête sont indépendantes. Chaque option est activée et configurée séparément. Vous pouvez utiliser des méthodes ou des clés de chiffrement différentes pour chacune. Cela signifie que la lecture de données chiffrées dans Amazon S3 ne chiffre pas automatiquement les résultats de requête Athena dans Amazon S3. L'inverse est également vrai. Le chiffrement des résultats de requête Athena dans Amazon S3 ne chiffre pas l'ensemble de données sous-jacent dans Amazon S3.

Options de chiffrement Amazon S3 prises en charge

Athena prend en charge les options de chiffrement suivantes pour les jeux de données et les résultats de requête dans Amazon S3.

Type de chiffrement Description Prise en charge entre régions
SSE-S3 Chiffrement côté serveur (SSE) avec une clé gérée par Amazon S3 Oui
SSE-KMS Chiffrement côté serveur (SSE) avec une clé gérée par le client AWS Key Management Service.
Note

Avec ce type de chiffrement, Athena n’exige pas que vous indiquiez que les données sont chiffrées lorsque vous créez une table.

Oui
CSE-KMS

Chiffrement côté client (CSE) avec une clé gérée par le client AWS KMS.

Non

Pour plus d'informations sur le chiffrement AWS KMS avec Amazon S3, consultez Présentation d'AWS Key Management Service et Comment Amazon Simple Storage Service (Amazon S3) utilise AWS KMS dans le AWS Key Management Service Developer Guide.

Options non prises en charge

Les options de chiffrement suivantes ne sont pas prises en charge :

  • SSE avec les clés fournies par le client (SSE-C).

  • Chiffrement côté client via une clé principale côté client

  • Clés asymétriques.

Pour comparer les options de chiffrement Amazon S3, consultez Protection des données à l'aide d'un chiffrement dans le Amazon Simple Storage Service Manuel du développeur.

Autorisations sur les données chiffrées dans Amazon S3

Selon le type de chiffrement que vous utilisez dans Amazon S3, vous pouvez être amené à ajouter des autorisations, également appelées actions « Autoriser », aux stratégies utilisées dans Athena :

  • SSE-S3 – Si vous utilisez SSE-S3 pour le chiffrement, les utilisateurs Athena n'ont besoin d'aucune autorisation supplémentaire dans leurs stratégies. Il est suffisant de disposer des autorisations Amazon S3 appropriées pour l'emplacement Amazon S3 approprié et pour les actions Athena. Pour en savoir plus sur les stratégies qui accordent les autorisations Athena et Amazon S3 appropriées, consultez Stratégies IAM pour l'accès utilisateur et Autorisations Amazon S3.

  • AWS KMS – Si vous utilisez AWS KMS pour le chiffrement, les utilisateurs Athena doivent être autorisés à effectuer des actions AWS KMS spécifiques en plus des autorisations Athena et Amazon S3. Vous autorisez ces actions en modifiant la stratégie de clé pour les clés gérées par le client AWS KMS (CMK) qui sont utilisées pour chiffrer les données dans Amazon S3. La manière la plus simple de procéder consiste à utiliser la console IAM pour ajouter des utilisateurs clés aux stratégies de clé AWS KMS appropriées. Pour obtenir des informations sur la manière d'ajouter un utilisateur à une stratégie de clé AWS KMS, consultez Comment modifier une stratégie de clé dans le AWS Key Management Service Developer Guide.

    Note

    Les administrateurs de stratégie de clé avancés peuvent affiner les stratégies de clé. kms:Decrypt est l'action minimale autorisée permettant à un utilisateur Athena d'utiliser un ensemble de données chiffré. Pour utiliser des résultats de requête chiffrés, les actions minimales autorisées sont kms:GenerateDataKey et kms:Decrypt.

    Lorsque vous utilisez Athena pour interroger des ensembles de données dans Amazon S3 avec un grand nombre d'objets chiffrés par AWS KMS, AWS KMS peut limiter les résultats de requête. Ceci est plus probable lorsqu'il y a un grand nombre de petits objets. Athena collecte les demandes de nouvelles tentatives, mais une erreur de limitation peut encore se produire. Dans ce cas, vous pouvez augmenter vos quotas de service pour AWS KMS. Pour de plus amples informations, veuillez consulter Quotas dans le AWS Key Management Service Developer Guide.

Autorisations sur les métadonnées chiffrées du catalogue de données AWS Glue.

Si vous chiffrez les métadonnées dans le catalogue de données AWS Glue, vous devez ajouter des actions "kms:GenerateDataKey", "kms:Decrypt" et "kms:Encrypt" aux stratégies utilisées pour accéder à Athena. Pour obtenir des informations, consultez Accès aux métadonnées chiffrées du catalogue de données AWS Glue.