Chiffrement au repos - Amazon Athena
Options de chiffrement Simple Storage Service (Amazon S3) prises en chargeAutorisations pour les données chiffrées dans Simple Storage Service (Amazon S3)Autorisations sur les métadonnées chiffrées du catalogue de données AWS Glue

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement au repos

Vous pouvez exécuter des requêtes dans Amazon Athena sur des données chiffrées dans Simple Storage Service (Amazon S3) dans la même région et dans un nombre limité de régions. Vous pouvez également chiffrer les résultats des requêtes dans Amazon S3 et les données du catalogue de AWS Glue données.

Vous pouvez chiffrer les ressources suivantes dans Athena :

Note

Lorsque vous utilisez Athena pour lire une table chiffrée, Athena utilise les options de chiffrement spécifiées pour les données de la table, et non l'option de chiffrement pour les résultats de la requête. Si des méthodes ou des clés de chiffrement distinctes sont configurées pour les résultats des requêtes et les données des tables, Athena lit les données des tables sans utiliser l'option de chiffrement ni la clé utilisées pour chiffrer ou déchiffrer les résultats de la requête.

Toutefois, si vous utilisez Athena pour insérer des données dans une table contenant des données chiffrées, Athena utilise la configuration de chiffrement spécifiée pour les résultats de la requête afin de chiffrer les données insérées. Par exemple, si vous spécifiez le CSE_KMS chiffrement pour les résultats de requête, Athena utilise le même identifiant de AWS KMS clé que celui que vous avez utilisé pour le chiffrement des résultats de requête pour chiffrer les données de table insérées. CSE_KMS

Rubriques

Options de chiffrement Simple Storage Service (Amazon S3) prises en charge

Athena prend en charge les options de chiffrement suivantes pour les jeux de données et les résultats des requêtes dans Simple Storage Service (Amazon S3).

Type de chiffrement Description Prise en charge entre régions
SSE-S3 Chiffrement côté serveur (SSE) avec une clé gérée par Simple Storage Service (Amazon S3). Oui
SSE-KMS Chiffrement côté serveur (SSE) avec une clé gérée par AWS Key Management Service le client.
Note

Avec ce type de chiffrement, Athena n'exige pas que vous indiquiez que les données sont chiffrées lorsque vous créez une table.

 Oui
CSE-KMS

Chiffrement côté client (CSE) avec une clé gérée par AWS KMS le client. Dans Athena, cette option exige que vous utilisiez une instruction CREATE TABLE avec une clause TBLPROPERTIES qui spécifie 'has_encrypted_data'='true'. Pour plus d’informations, consultez Création de tables basées sur des ensembles de données chiffrés dans Simple Storage Service (Amazon S3).

 Non

Pour plus d'informations sur AWS KMS le chiffrement avec Amazon S3, consultez What is AWS Key Management Service and how Amazon Simple Storage Service (Amazon S3) AWS KMS uses dans AWS Key Management Service le manuel du développeur. Pour de plus amples informations sur l'utilisation de SSE-KMS ou CSE-KMS avec Athena, consultez la rubrique Lancement : Amazon Athena prend désormais en charge l'interrogation des données chiffrées à partir du Blog Big Data AWS .

Options non prises en charge

Les options de chiffrement suivantes ne sont pas prises en charge :

  • SSE avec les clés fournies par le client (SSE-C).

  • Chiffrement côté client à l'aide d'une clé gérée côté client.

  • Clés asymétriques.

Pour comparer les options de chiffrement Simple Storage Service (Amazon S3), consultez la section Protection des données à l'aide d'un chiffrement dans le Guide de l'utilisateur Amazon Simple Storage Service.

Outils de chiffrement côté client

Pour le chiffrement côté client, deux outils sont disponibles :

Ces outils ne sont pas compatibles, et les données chiffrées à l'aide d'un outil ne peuvent pas être déchiffrées par un autre outil. Athena ne prend en charge directement que le client de chiffrement Simple Storage Service (Amazon S3). Si vous utilisez le kit SDK pour chiffrer vos données, vous pouvez exécuter des requêtes depuis Athena, mais les données sont renvoyées sous forme de texte chiffré.

Si vous souhaitez utiliser Athena pour interroger des données qui ont été chiffrées à l'aide du kit SDK de chiffrement AWS , vous devez télécharger et déchiffrer vos données, puis les chiffrer à nouveau à l'aide du client de chiffrement Simple Storage Service (Amazon S3).

Autorisations pour les données chiffrées dans Simple Storage Service (Amazon S3)

Selon le type de chiffrement que vous utilisez dans Simple Storage Service (Amazon S3), vous devrez peut-être ajouter des autorisations, également appelées actions « Autoriser », à vos politiques utilisées dans Athena :

  • SSE-S3 : si vous utilisez SSE-S3 pour le chiffrement, les utilisateurs d'Athena n'ont besoin d'aucune autorisation supplémentaire dans leurs politiques. Il suffit de disposer des autorisations Simple Storage Service (Amazon S3) appropriées pour l'emplacement Simple Storage Service (Amazon S3) approprié et pour les actions Athena. Pour plus d'informations sur les politiques qui accordent les autorisations Athena et Amazon S3 appropriées, consultez AWS politiques gérées pour Amazon Athena et Accès à Amazon S3 depuis Athena.

  • AWS KMS— Si vous l'utilisez AWS KMS pour le chiffrement, les utilisateurs d'Athena doivent être autorisés à effectuer des AWS KMS actions spécifiques en plus des autorisations Athena et Amazon S3. Vous autorisez ces actions en modifiant la politique clé pour les CMK gérées par le AWS KMS client qui sont utilisées pour chiffrer les données dans Amazon S3. Pour ajouter des utilisateurs clés aux politiques AWS KMS clés appropriées, vous pouvez utiliser la AWS KMS console à l'adresse https://console.aws.amazon.com/kms. Pour plus d'informations sur la façon d'ajouter un utilisateur à une politique AWS KMS clé, voir Autoriser les utilisateurs clés à utiliser la clé CMK dans le guide du AWS Key Management Service développeur.

    Note

    Les administrateurs de politiques de clés avancées peuvent adapter les politiques de clés. kms:Decrypt est l'action minimale autorisée pour qu'un utilisateur d'Athena puisse travailler avec un jeu de données chiffrées. Pour utiliser des résultats de requête chiffrés, les actions minimales autorisées sont kms:GenerateDataKey et kms:Decrypt.

    Lorsque vous utilisez Athena pour interroger des ensembles de données dans Amazon S3 contenant un grand nombre d'objets chiffrés AWS KMS, cela AWS KMS peut limiter les résultats des requêtes. Ceci est plus probable lorsqu'il y a un grand nombre de petits objets. Athena collecte les requêtes de nouvelles tentatives, mais une erreur de limitation peut encore se produire. Si vous travaillez avec un grand nombre d'objets chiffrés et que vous rencontrez ce problème, une option consiste à activer les clés de compartiment Simple Storage Service (Amazon S3) pour réduire le nombre d'appels vers KMS. Pour plus d'informations, consultez la rubrique Réduction des coûts de SSE-KMS grâce aux clés de compartiment Simple Storage Service (Amazon S3) dans le Guide de l'utilisateur d'Amazon Simple Storage Service. Une autre option consiste à augmenter vos quotas de service pour AWS KMS. Pour de plus amples informations, veuillez consulter Quotas dans le Guide du développeur AWS Key Management Service .

Pour obtenir des informations de dépannage sur les autorisations lors de l'utilisation de Simple Storage Service (Amazon S3) avec Athena, voir la section Autorisations de la rubrique Résolution des problèmes dans Athena.

Autorisations sur les métadonnées chiffrées du catalogue de données AWS Glue

Si vous cryptez des métadonnées dans le AWS Glue Data Catalog, vous devez ajouter "kms:GenerateDataKey" des "kms:Encrypt" actions et ajouter des actions aux politiques que vous utilisez pour accéder à Athena. "kms:Decrypt" Pour plus d’informations, veuillez consulter Accès depuis Athena aux métadonnées cryptées dans le AWS Glue Data Catalog.