Gestion des groupes de travail - Amazon Athena
Créer un groupe de travailModifier un groupe de travailAfficher les détails du groupe de travailSupprimer un groupe de travailChanger de groupe de travailCopier une requête enregistrée entre les groupes de travailActiver et désactiver un groupe de travailSpécifier un groupe de travail dans lequel exécuter des requêtesConfiguration du chiffrement minimal

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des groupes de travail

Dans https://console.aws.amazon.com/athena/, vous pouvez effectuer les tâches suivantes :

Instruction Description
Créer un groupe de travail

Créer un nouveau groupe de travail.
Modifier un groupe de travail Modifier un groupe de travail et ses paramètres. Vous ne pouvez pas modifier le nom d'un groupe de travail, mais vous pouvez créer un nouveau groupe de travail avec les mêmes paramètres et un autre nom.
Afficher les détails du groupe de travail Affichez les détails du groupe de travail, tels que son nom, sa description, les limites d'utilisation des données, l'emplacement des résultats de la requête, le propriétaire prévu du compartiment des résultats de la requête, le chiffrement et le contrôle des objets écrits dans le compartiment des résultats de la requête. Vous pouvez également vérifier si ce groupe de travail applique ses paramètres, si Override Client-Side Setting (Remplacer les paramètres côté client) est sélectionné.
Supprimer un groupe de travail

Supprimer un groupe de travail. Si vous supprimez un groupe de travail, l'historique des requêtes, les requêtes enregistrées, les paramètres du groupe de travail et les contrôles de limite des données par requête sont supprimés. Les contrôles de limite de données à l'échelle du groupe de travail restent actifs CloudWatch et vous pouvez les supprimer individuellement.

Le groupe de travail principal ne peut pas être supprimé.
Changer de groupe de travail

Basculer entre des groupes de travail auxquels vous avez accès.

Copier une requête enregistrée entre les groupes de travail Copier une requête enregistrée entre les groupes de travail. Vous pouvez procéder ainsi si, par exemple, vous avez créé une requête dans un groupe de travail de prévisualisation et que vous souhaitez la rendre disponible dans un groupe de travail sans prévisualisation.
Activer et désactiver un groupe de travail

Activer ou désactiver un groupe de travail. Lorsqu'un groupe de travail est désactivé, ses utilisateurs ne peuvent pas exécuter de requêtes ou créer de nouvelles requêtes nommées. Si vous y avez accès, vous pouvez toujours afficher les métriques, les contrôles de limite d'utilisation des données, les paramètres du groupe de travail, l'historique des requêtes et les requêtes enregistrées.
Spécifier un groupe de travail dans lequel exécuter des requêtes

Avant de pouvoir exécuter des requêtes, vous devez indiquer à Athena le groupe de travail à utiliser. Vous devez avoir les autorisations nécessaires au groupe de travail.

Création d’un groupe de travail Athena qui utilise l’authentification IAM Identity Center Pour utiliser les identités IAM Identity Center avec Athena, vous devez créer un groupe de travail compatible avec IAM Identity Center. Après avoir créé le groupe de travail, vous pouvez utiliser la console ou l’API IAM Identity Center pour attribuer des utilisateurs ou des groupes IAM Identity Center au groupe de travail.

Créer un groupe de travail

Créer un groupe de travail nécessite des autorisations pour les actions d'API CreateWorkgroup. Consultez Accès aux groupes de travail et identifications et Politiques IAM pour l'accès aux groupes de travail. Si vous ajoutez des identifications, vous devez également ajouter des autorisations à TagResource. veuillez consulter Exemples de politique d'identification pour les groupes de travail.

Pour créer un groupe de travail dans la console

  1. Si le panneau de navigation de la console n'est pas visible, choisissez le menu d'extension sur la gauche.

    Choisissez le menu d'expansion.

  2. Dans le panneau de navigation de la console Athena, choisissez Workgroups (Groupes de travail).

  3. Sur la page Workgroups (Groupes de travail), choisissez Create workgroup (Créer un groupe de travail).

  4. Sur la page Create workgroup (Créer un groupe de travail), remplissez les champs comme suit :

    Champ Description
    Nom du groupe de travail Obligatoire. Saisissez un nom unique pour votre groupe de travail. Utilisez 1 à 128 caractères. (A-Z,a-z,0-9,_,-,.). Ce nom ne peut pas être modifié.
    Description Facultatif. Saisissez une description pour votre groupe de travail. Elle peut contenir jusqu'à 1 024 caractères.
    Choisissez le type de moteur

    Choisissez Athena SQL si vous souhaitez exécuter des requêtes SQL ad hoc sur les données d'Amazon S3 ou utilisez un connecteur prédéfini de source de données pour exécuter des requêtes fédérées sur une variété de sources de données externes à Amazon S3. Vous pouvez exécuter des requêtes à l'aide de l'éditeur de requêtes Athena, de l'interface AWS CLI ou des API Athena.

    Choisissez Apache Spark si vous souhaitez créer, modifier et exécuter des applications de bloc-notes Jupyter à l'aide de Python et d'Apache Spark. Les blocs-notes Jupyter contiennent une liste de cellules qui peuvent inclure du code, du texte standard, du texte au format Markdown, des mathématiques, des graphiques et du contenu multimédia enrichi. Les cellules sont exécutées dans l'ordre sous forme de calculs dans une session de bloc-notes interactive dans Athena. Pour plus d'informations sur la création et la configuration d'un groupe de travail compatible avec Spark, voir Création d'un groupe de travail compatible avec Spark dans Athena.

    Après la création d'un groupe de travail, son moteur d'analyse peut être mis à niveau (par exemple, de la version 2 du moteur Athena à la version 3 du moteur Athena), mais son type de moteur ne peut pas être modifié. Par exemple, un groupe de travail du moteur Athena version 3 ne peut pas être remplacé par un groupe de travail PySpark du moteur version 3.
    Mise à jour du moteur de requête Choisissez la façon dont vous souhaitez mettre à jour votre groupe de travail lorsqu'une nouvelle version du moteur Athena est publiée. Vous pouvez laisser Athena décider du moment de la mise à jour de votre groupe de travail ou choisir manuellement une version du moteur. Pour de plus amples informations, veuillez consulter Gestion des versions du moteur Athena.
    Mode d’authentification Choisissez AWS Identity and Access Management (IAM) pour utiliser l’authentification ou la fédération IAM pour le groupe de travail. Choisissez IAM Identity Center si vous souhaitez prendre en charge les identités du personnel telles que les utilisateurs et les groupes provenant de fournisseurs d’identité SAML 2.0 comme Microsoft Active Directory. Pour plus d’informations, consultez la rubrique Trusted identity propagation across applications dans le Guide de l’utilisateurAWS IAM Identity Center .
    Fonction du service pour l’accès à IAM Identity Center Athena a besoin des autorisations IAM pour accéder à IAM Identity Center en votre nom. Pour plus d’informations sur les fonctions du service IAM, consultez Création d’un rôle pour la délégation d’autorisations à un service AWS dans le Guide de l’utilisateur IAM.
    Emplacement des résultats de requête

    Facultatif. Saisissez un chemin vers un compartiment Simple Storage Service (Amazon S3) ou un préfixe. Ce compartiment et ce préfixe doivent exister avant que vous puissiez les spécifier.

    Note

    Si vous exécutez des requêtes dans la console, spécifier l'emplacement des résultats de requête est facultatif. Si vous ne le spécifiez pas pour le groupe de travail ou dans Paramètres, Athena utilise l'emplacement de résultat de la requête par défaut. Si vous exécutez des requêtes avec l'API ou les pilotes, vous devez spécifier l'emplacement des résultats de la requête au moins à l'un des deux endroits suivants : pour les requêtes individuelles avec OutputLocation, ou pour le groupe de travail, avec WorkGroupConfiguration.

    Propriétaire du compartiment attendu Facultatif. Entrez l'ID du compartiment de localisation de sortie Compte AWS que vous pensez être le propriétaire. Il s'agit d'une mesure de sécurité supplémentaire. Si l'ID de compte du propriétaire du compartiment ne correspond pas à l'ID que vous spécifiez, les tentatives de sortie vers le compartiment échoueront. Pour obtenir des informations détaillées, consultez Vérification de la propriété du compartiment avec la condition de propriétaire du compartiment dans le Guide de l'utilisateur Simple Storage Service (Amazon S3).
    Note

    Le paramètre de propriétaire du compartiment attendu s'applique uniquement à l'emplacement de sortie Simple Storage Service (Amazon S3) que vous spécifiez pour les résultats de la requête Athena. Il ne s'applique pas aux autres emplacements Simple Storage Service (Amazon S3) tels que les emplacements de source de données dans des compartiments Simple Storage Service (Amazon S3) externes, des emplacements de table de destination CTAS et INSERT INTO, des emplacements de sortie d'instruction UNLOAD, des opérations de déversement de compartiments pour les requêtes fédérées, ou des requêtes SELECT exécutées sur une table d'un autre compte.
    Attribuer au propriétaire du compartiment un contrôle total sur les résultats de la requête

    Ce champ n'est pas sélectionné par défaut. Si vous la sélectionnez et que les listes de contrôle d'accès (ACL) sont activées pour le compartiment d'emplacement des résultats de la requête, vous accordez un accès de contrôle total aux résultats de la requête au propriétaire du compartiment. Par exemple, si l'emplacement de résultat de votre requête appartient à un autre compte, vous pouvez accorder la propriété et le contrôle total des résultats de vos requêtes à l'autre compte.

    Si le paramètre S3 Object Ownership du compartiment est défini à Propriétaire du compartiment préféré, le propriétaire du compartiment possède également tous les objets de résultats de requête écrits à partir de ce groupe de travail. Par exemple, si le groupe de travail d'un compte externe active cette option et définit son emplacement de résultat de requête sur le compartiment Simple Storage Service (Amazon S3) de votre compte qui dispose d'un paramètre de S3 Object Ownership dont la valeur est définie à Propriétaire du compartiment préféré, vous possédez et contrôlez complètement les résultats de requête du groupe de travail externe.

    Sélectionner cette option lorsque le paramètre S3 Object Ownership du compartiment de résultats de requête est défini à Propriétaire du compartiment appliqué n'a aucun effet. Pour de plus amples informations, consultez la rubrique Paramètres de propriété des objets dans le Guide de l'utilisateur Simple Storage Service (Amazon S3).
    Chiffrer les résultats de requête

    Facultatif. Chiffrer les résultats stockés dans Simple Storage Service (Amazon S3). Si cette option est sélectionnée, toutes les requêtes dans le groupe de travail sont chiffrées.

    Si cette option est sélectionnée, vous pouvez sélectionner le Type de chiffrement, la Clé de chiffrement et saisir l'ARN de clé KMS.

    Si vous n'avez pas la clé, ouvrez la consoleAWS KMS pour la créer. Pour plus d'informations, consultez Création des clés dans le Guide du développeurAWS Key Management Service .
    Définissez encryption_type comme chiffrement minimal

    Facultatif. Sélectionnez cette option pour appliquer un type de chiffrement minimal aux résultats des requêtes pour tous les utilisateurs du groupe de travail. La sélection de cette option affiche un tableau reprenant la hiérarchie des types de chiffrement. Le tableau indique également les types de chiffrement que les utilisateurs des groupes de travail seront autorisés à utiliser lorsque vous spécifiez un type de chiffrement particulier comme minimum. Pour utiliser cette option, l'option Remplacer les paramètres côté client ne doit pas être sélectionnée.

    Pour de plus amples informations, veuillez consulter Configuration du chiffrement minimal pour un groupe de travail.
    Activer les autorisations d’accès S3 Ce champ est sélectionné par défaut lorsque vous choisissez IAM Identity Center comme mode d’authentification. Si vous activez cette option, elle applique les autorisations basées sur les utilisateurs ou les groupes IAM Identity Center aux emplacements Amazon S3.
    Créer un préfixe S3 basé sur l’identité utilisateur Si vous activez cette option, Athena crée un préfixe Amazon S3 quand elle stocke les résultats des requêtes. Le préfixe est basé sur l’identité de l’utilisateur IAM Identity Center.
    Publier les métriques des requêtes sur CloudWatch Ce champ est sélectionné par défaut. Publier des métriques de requête dans CloudWatch. veuillez consulter Surveillance des requêtes Athena à l'aide de métriques CloudWatch .
    Remplacer les paramètres côté client Ce champ n'est pas sélectionné par défaut. Si vous sélectionnez cette option, les paramètres du groupe de travail s'appliquent à toutes les requêtes dans le groupe de travail et remplacent les paramètres côté client. Pour de plus amples informations, veuillez consulter Les paramètres du groupe de travail remplacent les paramètres côté client.
    Compartiments S3 de type Paiement par le demandeur

    Facultatif. Choisissez Turn on queries on requester pays buckets in Amazon S3 (Activation des requêtes sur les compartiments de type Paiement par le demandeur dans Amazon S3) si les utilisateurs du groupe de travail exécutent des requêtes sur les données stockées dans des compartiments Amazon S3 configurés comme des compartiments de type Paiement par le demandeur. Le compte de l'utilisateur exécutant la requête est facturé pour les frais d'accès aux données et de transfert de données associés à la requête. Pour plus d'informations, consultez la section Compartiments de type Paiement par le demandeur dans le Guide de l'utilisateur d'Amazon Simple Storage Service.
    Gestion du contrôle de l'utilisation des données par requête Facultatif. Définit la limite de la quantité maximale de données qu'une requête est autorisée à analyser. Vous ne pouvez définir qu'une seule limite par requête pour un groupe de travail. La limite s'applique à toutes les requêtes dans le groupe de travail. Si la requête dépasse la limite, elle sera annulée. Pour de plus amples informations, veuillez consulter Définition des limites pour le contrôle d'utilisation des données.
    Workgroup data usage alerts (Alertes d'utilisation des données de groupe de travail Facultatif. Définissez plusieurs seuils d'alerte lorsque des requêtes exécutées dans ce groupe de travail analysent une quantité de données spécifiée au cours d'une période donnée. Les alertes sont mises en œuvre à l'aide des CloudWatch alarmes Amazon et s'appliquent à toutes les requêtes du groupe de travail. Pour plus d'informations, consultez la section Utilisation des CloudWatch alarmes Amazon dans le guide de CloudWatch l'utilisateur Amazon.
    Balises Facultatif. Ajoutez une ou plusieurs identifications à un groupe de travail. une identification est une étiquette que vous affectez à une ressource d'un groupe de travail Athena. Elle se compose d'une clé et d'une valeur. Utilisez AWS les meilleures pratiques en matière de balisage pour créer un ensemble cohérent de balises et classer les groupes de travail par objectif, propriétaire ou environnement. Vous pouvez également utiliser des identifications dans des politiques IAM et contrôler les coûts de facturation. N'utilisez pas de clés d'identification dupliquées pour le même groupe de travail. Pour de plus amples informations, veuillez consulter Étiquetage des ressources Athena.

  5. Choisissez Create workgroup (Créer un groupe de travail). Le groupe de travail s'affiche sur la liste de la page Workgroups (Groupes de travail).

Vous pouvez également utiliser l'opération CreateWorkGroupAPI pour créer un groupe de travail.

Important

Après avoir créé des groupes de travail, créez des Politiques IAM pour l'accès aux groupes de travail IAM qui vous permettent d'exécuter des actions liées aux groupes de travail.

Modifier un groupe de travail

Modifier un groupe de travail nécessite les autorisations requises pour les opérations d'API UpdateWorkgroup. Consultez Accès aux groupes de travail et identifications et Politiques IAM pour l'accès aux groupes de travail. Si vous ajoutez ou modifiez des identifications, vous devez également avoir des autorisations pour TagResource. veuillez consulter Exemples de politique d'identification pour les groupes de travail.

Pour modifier un groupe de travail dans la console

  1. Dans le panneau de navigation de la console Athena, choisissez Workgroups (Groupes de travail).

  2. Sur la page Workgroups (Groupes de travail), sélectionnez le bouton du groupe de travail à modifier.

  3. Choisissez Actions, Edit (Modifier).

  4. Modifiez les champs si nécessaire. Pour obtenir la liste des champs, consultez Créer un groupe de travail. Vous pouvez modifier tous les champs à l'exception du nom du groupe de travail. Si vous devez modifier le nom, créez un autre groupe de travail avec le nouveau nom et les mêmes paramètres.

  5. Sélectionnez Enregistrer les modifications. Le groupe de travail mis à jour s'affiche sur la liste de la page Workgroups (Groupes de travail).

Afficher les détails du groupe de travail

Vous pouvez afficher les détails de chaque groupe de travail. Les détails comprennent le nom du groupe de travail, sa description, le fait qu'il soit activé ou désactivé, et les paramètres utilisés pour les requêtes qui s'exécutent dans le groupe de travail, qui comprennent l'emplacement des résultats de la requête, le propriétaire attendu du compartiment, le chiffrement et le contrôle des objets écrits dans le compartiment des résultats de la requête. Si un groupe de travail a des limites d'utilisation des données, elles sont également affichées.

Pour afficher les détails du groupe de travail

  1. Dans le panneau de navigation de la console Athena, choisissez Workgroups (Groupes de travail).

  2. Sur la page Workgroups (Groupes de travail), choisissez le lien du groupe de travail à consulter. La page Overview Details (Détails de présentation) pour le groupe de travail s'affiche.

Supprimer un groupe de travail

Vous pouvez supprimer un groupe de travail si vous en avez l'autorisation. Le groupe de travail principal ne peut pas être supprimé.

Si vous disposez des autorisations, vous pouvez supprimer un groupe de travail vide à tout moment. Vous pouvez également supprimer un groupe de travail qui contient des requêtes enregistrées. Dans ce cas, avant de procéder à la suppression d'un groupe de travail, Athena vous avertit que les requêtes enregistrées sont supprimées.

Si vous supprimez un groupe de travail pendant que vous vous y trouvez, la console se concentre sur le groupe de travail principal. Si vous y avez accès, vous pouvez exécuter des requêtes et afficher ses paramètres.

Si vous supprimez un groupe de travail, ses paramètres et ses contrôles de limite de données par requête sont supprimés. Les contrôles de limite de données à l'échelle du groupe de travail restent CloudWatch actifs et vous pouvez les supprimer si nécessaire.

Important

Avant de supprimer un groupe de travail, assurez-vous que ses utilisateurs ont également accès à d'autres groupes de travail dans lesquels ils peuvent continuer à exécuter des requêtes. Si les politiques IAM des utilisateurs leur permettaient d'exécuter des requêtes uniquement dans ce groupe de travail et que vous le supprimez, ils n'ont plus l'autorisation d'exécuter des requêtes. Pour de plus amples informations, veuillez consulter Example policy for running queries in the primary workgroup.

Pour supprimer un groupe de travail dans la console

  1. Dans le panneau de navigation de la console Athena, choisissez Workgroups (Groupes de travail).

  2. Sur la page Workgroups (Groupes de travail), sélectionnez le bouton du groupe de travail à supprimer.

  3. Sélectionnez Actions, Supprimer.

  4. Lorsque l'invite de confirmation Delete workgroup (Supprimer le groupe de travail) s'affiche, saisissez le nom du groupe de travail, puis choisissez Delete (Supprimer).

Pour supprimer un groupe de travail avec l'opération d'API, utilisez l'action DeleteWorkGroup.

Changer de groupe de travail

Vous pouvez passer d'un groupe de travail à un autre si vous avez les autorisations pour chacun d'entre eux.

Vous pouvez ouvrir jusqu'à dix onglets de requête au sein de chaque groupe de travail. Lorsque vous basculez entre des groupes de travail, vos onglets de requête restent ouverts pour un maximum de trois groupes de travail.

Changement de groupe de travail

  1. Dans la console Athena, choisissez l'option Workgroup (Groupe de travail) en haut à droite pour choisir un groupe de travail.

  2. Si la boite de dialogue WorkGroup workgroup-name settings (Paramètres du groupe de travail workgroup-name) s'affiche, choisissez Acknowledge (Confirmer).

L'option Workgroup (Groupe de travail) indique le nom du groupe de travail vers lequel vous avez basculé. Vous pouvez désormais exécuter des requêtes dans ce groupe de travail.

Copier une requête enregistrée entre les groupes de travail

Actuellement, la console Athena ne dispose pas d'une option permettant de copier directement une requête enregistrée d'un groupe de travail à un autre, mais vous pouvez effectuer la même tâche manuellement en utilisant la procédure suivante.

Copier une requête enregistrée entre groupes de travail

  1. Dans la console Athena, depuis le groupe de travail à partir duquel vous souhaitez copier la requête, choisissez l'onglet Saved queries (Requêtes enregistrées).

  2. Choisissez le lien de la requête enregistrée à copier. Athena ouvre la requête dans l'éditeur de requêtes.

  3. Dans l'éditeur de requêtes, sélectionnez le texte de la requête, puis appuyez sur Ctrl+C pour le copier.

  4. Passez au groupe de travail de destination ou créez un groupe de travail, puis passez-y.

  5. Ouvrez un nouvel onglet dans l'éditeur de requêtes, puis appuyez sur Ctrl+V pour coller le texte dans le nouvel onglet.

  6. Dans l'éditeur de requêtes, choisissez Save as (Enregistrer sous) pour enregistrer la requête dans le groupe de travail de destination.

  7. Dans la boîte de dialogue Choose a name (Choisir un nom), saisissez un nom pour la requête et une description facultative.

  8. Choisissez Enregistrer.

Activer et désactiver un groupe de travail

Si vous avez les autorisations nécessaires, vous pouvez activer ou désactiver des groupes de travail dans la console, en utilisant les opérations d'API, ou les pilotes JDBC et ODBC.

Pour activer ou désactiver un groupe de travail

  1. Dans le panneau de navigation de la console Athena, choisissez Workgroups (Groupes de travail).

  2. Sur la page Workgroups (Groupes de travail), choisissez le lien du groupe de travail.

  3. Dans le coin supérieur droit, choisissez Enable workgroup (Activer le groupe de travail) ou Disable workgroup (Désactiver le groupe de travail).

  4. Lorsque l'invite de confirmation s'affiche, choisissez Enable (Activer) ou Disable (Désactiver). Si vous désactivez un groupe de travail, ses utilisateurs ne peuvent pas y exécuter de requêtes ou y créer de nouvelles requêtes nommées. Si vous activez un groupe de travail, les utilisateurs peuvent l'utiliser pour exécuter des requêtes.

Spécifier un groupe de travail dans lequel exécuter des requêtes

Pour spécifier un groupe de travail à utiliser, vous devez avoir les autorisations nécessaires sur le groupe de travail.

Spécification du groupe de travail à utiliser

  1. Assurez-vous que vos autorisations vous permettent d'exécuter des requêtes dans le groupe de travail que vous prévoyez d'utiliser. Pour de plus amples informations, veuillez consulter Politiques IAM pour l'accès aux groupes de travail.

  2. Pour spécifier le groupe de travail, utilisez l'une des options suivantes :

    • Si vous utilisez la console Athena, définissez le groupe de travail en changeant de groupes de travail.

    • Si vous utilisez les opérations d'API Athena, spécifiez le nom du groupe de travail dans l'action d'API. Par exemple, vous pouvez définir le nom du groupe de StartQueryExecutiontravail comme suit : 

      StartQueryExecutionRequest startQueryExecutionRequest = new StartQueryExecutionRequest()
              .withQueryString(ExampleConstants.ATHENA_SAMPLE_QUERY)
              .withQueryExecutionContext(queryExecutionContext)
              .withWorkGroup(WorkgroupName)

    • Si vous utilisez le pilote JDBC ou ODBC, définissez le nom du groupe de travail dans la chaîne de connexion à l'aide du paramètre de configuration Workgroup. Le pilote transmet le nom du groupe de travail à Athena. Spécifiez le paramètre du groupe de travail dans la chaîne de connexion, comme dans l'exemple suivant : 

      jdbc:awsathena://AwsRegion=<AWSREGION>;UID=<ACCESSKEY>;
PWD=<SECRETKEY>;S3OutputLocation=s3://<athena-output>-<AWSREGION>/;
Workgroup=<WORKGROUPNAME>;

Configuration du chiffrement minimal pour un groupe de travail

En tant qu'administrateur d'un groupe de travail Athena SQL, vous pouvez appliquer un niveau de chiffrement minimal dans Amazon S3 pour tous les résultats de requêtes du groupe de travail. Vous pouvez utiliser cette fonctionnalité pour vous assurer que les résultats des requêtes ne sont jamais stockés dans un compartiment Amazon S3 à l'état non chiffré.

Lorsque les utilisateurs d'un groupe de travail où le chiffrement minimal est activé soumettent une requête, ils peuvent uniquement définir le niveau de chiffrement au niveau minimum que vous avez configuré, ou à un niveau supérieur s'il est disponible. Athena chiffre les résultats de la requête soit au niveau spécifié lorsque l'utilisateur exécute la requête, soit au niveau défini dans le groupe de travail.

Les niveaux disponibles sont les suivants :

  • Basique – Chiffrement côté serveur Amazon S3 avec des clés gérées par Amazon S3 (SSE-S3).

  • Intermédiaire – Chiffrement côté serveur avec des clés gérées par KMS (SSE_KMS)

  • Avancé – Chiffrement côté client avec des clés gérées par KMS (CSE-KMS).

Considérations et restrictions

  • La fonctionnalité de chiffrement minimal n'est pas disponible pour les groupes de travail compatibles avec Apache Spark.

  • La fonctionnalité de chiffrement minimal ne fonctionne que lorsque le groupe de travail n'active pas l'option Remplacer les paramètres côté client.

  • Si l'option Remplacer les paramètres côté client est activée dans le groupe de travail, le paramètre de chiffrement du groupe de travail prévaut et le paramètre de chiffrement minimal n'a aucun effet.

  • L'activation de cette fonctionnalité est gratuite.

Activation du chiffrement minimal pour un groupe de travail

Vous pouvez activer un niveau de chiffrement minimal pour les résultats des requêtes provenant de votre groupe de travail Athena SQL lorsque vous créez ou mettez à jour le groupe de travail. Pour ce faire, vous pouvez utiliser la console Athena, l'API Athena ou. AWS CLI

Utilisation de la console Athena pour activer le chiffrement minimal

Pour commencer à créer ou à modifier votre groupe de travail à l'aide de la console Athena, consultez Créer un groupe de travail ou Modifier un groupe de travail. Lors de la configuration de votre groupe de travail, suivez les étapes ci-dessous pour activer le chiffrement minimal.

Pour configurer le niveau de chiffrement minimal pour les résultats des requêtes des groupes de travail

  1. Dans la section Configurations supplémentaires, développez Paramètres.

  2. Désactivez l'option Remplacer les paramètres côté client ou vérifiez qu'elle n'est pas sélectionnée.

  3. Dans la section Configurations supplémentaires, développez Configuration des résultats des requêtes.

  4. Sélectionnez l'option Chiffrer les résultats des requêtes.

  5. Dans Type de chiffrement, sélectionnez la méthode de chiffrement que vous souhaitez qu'Athena utilise pour les résultats des requêtes de votre groupe de travail (SSE_S3, SSE_KMS ou CSE_KMS). Ces types de chiffrement correspondent aux niveaux de sécurité basique, intermédiaire et avancé.

  6. Pour appliquer la méthode de chiffrement que vous avez choisie comme niveau de chiffrement minimal pour tous les utilisateurs, sélectionnez Définir encryption_method comme niveau de chiffrement minimal.

    Lorsque vous sélectionnez cette option, un tableau indique la hiérarchie de chiffrement et les niveaux de chiffrement autorisés aux utilisateurs lorsque le type de chiffrement que vous choisissez devient le minimum.

  7. Après avoir créé votre groupe de travail ou mis à jour la configuration de votre groupe de travail, choisissez Créer un groupe de travail ou Enregistrer les modifications.

À l'aide de l'API Athena ou AWS CLI pour activer un chiffrement minimal

Lorsque vous utilisez l'UpdateWorkGroupAPI CreateWorkGroupor pour créer ou mettre à jour un groupe de travail Athena SQL, définissez EnforceWorkGroupConfigurationsur falsetrue, EnableMinimumEncryptionConfigurationet utilisez le EncryptionOptionpour spécifier le type de chiffrement.

Dans le AWS CLI, utilisez la update-work-groupcommande create-work-groupou avec les --configuration-updates paramètres --configuration or et spécifiez les options correspondant à celles de l'API.