Protection des données dans Athena - Amazon Athena
Protégez plusieurs types de données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Athena

Le AWS modèle de responsabilité partagée modèle s'applique à la protection des données dans Amazon Athena. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. Il vous incombe de garder le contrôle sur votre contenu hébergé sur cette infrastructure. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité pour Services AWS que tu utilises. Pour plus d'informations sur la confidentialité des données, consultez la section Confidentialité des données FAQ. Pour plus d'informations sur la protection des données en Europe, consultez le AWS Modèle de responsabilité partagée et article de GDPR blog sur le AWS Blog sur la sécurité.

Pour des raisons de protection des données, nous vous recommandons de protéger Compte AWS informations d'identification et configuration des utilisateurs individuels avec AWS IAM Identity Center or AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l'authentification multifactorielle (MFA) pour chaque compte.

  • UtilisezSSL/TLSpour communiquer avec AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Configuration API et enregistrement des activités des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation CloudTrail des sentiers pour capturer AWS activités, voir Travailler avec les CloudTrail sentiers dans le AWS CloudTrail Guide de l'utilisateur.

  • Utiliser AWS solutions de chiffrement, ainsi que tous les contrôles de sécurité par défaut intégrés Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de FIPS 140 à 3 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un FIPS point de terminaison. Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec Athena ou un autre Services AWS à l'aide de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification dans le URL afin de valider votre demande auprès de ce serveur.

Comme mesure de sécurité supplémentaire, vous pouvez utiliser le aws:CalledViaclé de contexte de condition globale pour limiter les demandes à celles provenant d'Athena uniquement. Pour de plus amples informations, veuillez consulter Utiliser des clés CalledVia contextuelles pour Athena.

Protégez plusieurs types de données

Plusieurs types de données sont impliqués lorsque vous utilisez Athena pour créer des bases de données et des tables. Ces types de données incluent les données sources stockées dans Amazon S3, les métadonnées des bases de données et les tables que vous créez lorsque vous exécutez des requêtes ou AWS Glue Crawler pour découvrir les données, les résultats des requêtes et l'historique des requêtes. Cette section décrit chaque type de données et fournit des conseils sur sa protection.

  • Données source : vous stockez les données des bases de données et des tables dans Simple Storage Service (Amazon S3) et Athena ne les modifie pas. Pour de plus amples informations, consultez la section Protection des données dans Simple Storage Service (Amazon S3) dans le Guide de l'utilisateur Amazon Simple Storage Service. Vous contrôlez l'accès à vos données source et pouvez les chiffrer dans Simple Storage Service (Amazon S3). Vous pouvez utiliser Athena pour créer des tables en fonction des ensembles de données chiffrés dans Simple Storage Service (Amazon S3).

  • Métadonnées de base de données et de table (schéma) : Athena utilise schema-on-read la technologie, ce qui signifie que les définitions de vos tables sont appliquées à vos données dans Amazon S3 lorsqu'Athena exécute des requêtes. Tous les schémas que vous définissez sont automatiquement enregistrés, sauf si vous les supprimez de manière explicite. Dans Athena, vous pouvez modifier les métadonnées du catalogue de données à l'aide d'DDLinstructions. Vous pouvez supprimer les définitions de table et les schémas sans affecter les données sous-jacentes stockées dans Simple Storage Service (Amazon S3). Les métadonnées des bases de données et des tables que vous utilisez dans Athena sont stockées dans le AWS Glue Data Catalog.

    Vous pouvez définir des politiques d'accès détaillées aux bases de données et aux tables enregistrées dans le AWS Glue Data Catalog utilisant AWS Identity and Access Management (IAM). Vous pouvez également chiffrer les métadonnées dans le AWS Glue Data Catalog. Si vous chiffrez les métadonnées, utilisez les autorisations d'accès aux métadonnées chiffrées.

  • Résultats de requête et historique des requêtes, y compris les requêtes enregistrées : les résultats de requête sont stockés dans un emplacement dans Simple Storage Service (Amazon S3) que vous pouvez choisir de spécifier globalement ou pour chaque groupe de travail. En l'absence de spécification, Athena utilise l'emplacement par défaut dans chaque cas. Vous contrôlez l'accès aux compartiments Simple Storage Service (Amazon S3) où vous stockez les résultats des requêtes et les requêtes enregistrées. De plus, vous pouvez choisir de chiffrer les résultats de requête que vous stockez dans Simple Storage Service (Amazon S3). Les utilisateurs doivent avoir les autorisations appropriées pour accéder aux emplacements Simple Storage Service (Amazon S3) et déchiffrer les fichiers. Pour plus d'informations, consultez Chiffrez les résultats des requêtes Athena stockés dans Amazon S3 dans ce document.

    Athena conserve l'historique des requêtes pendant 45 jours. Vous pouvez consulter l'historique des requêtes à l'aide d'AthenaAPIs, dans la console et avec AWS CLI. Pour conserver les requêtes pendant plus de 45 jours, enregistrez-les. Pour protéger l'accès aux requêtes enregistrées, utilisez les groupes de travail dans Athena, en limitant l'accès aux requêtes enregistrées uniquement aux utilisateurs qui sont autorisés à les consulter.

Rubriques