Configuration du chiffrement minimal pour un groupe de travail

En tant qu'administrateur d'un SQL groupe de travail Athena, vous pouvez appliquer un niveau de chiffrement minimal dans Amazon S3 pour tous les résultats de requêtes du groupe de travail. Vous pouvez utiliser cette fonctionnalité pour vous assurer que les résultats des requêtes ne sont jamais stockés dans un compartiment Amazon S3 à l'état non chiffré.

Lorsque les utilisateurs d'un groupe de travail où le chiffrement minimal est activé soumettent une requête, ils peuvent uniquement définir le niveau de chiffrement au niveau minimum que vous avez configuré, ou à un niveau supérieur s'il est disponible. Athena chiffre les résultats de la requête soit au niveau spécifié lorsque l'utilisateur exécute la requête, soit au niveau défini dans le groupe de travail.

Les niveaux disponibles sont les suivants :

• Basique : chiffrement côté serveur Amazon S3 avec des clés gérées par Amazon S3 (SSE_S3).

• Intermédiaire — Chiffrement côté serveur avec clés KMS gérées (SSE_ KMS).

• Avancé — Chiffrement côté client avec clés KMS gérées (CSE_ KMS).

Considérations et restrictions

• La fonctionnalité de chiffrement minimal n'est pas disponible pour les groupes de travail compatibles avec Apache Spark.

• La fonctionnalité de chiffrement minimal ne fonctionne que lorsque le groupe de travail n'active pas l'option Remplacer les paramètres côté client.

• Si l'option Remplacer les paramètres côté client est activée dans le groupe de travail, le paramètre de chiffrement du groupe de travail prévaut et le paramètre de chiffrement minimal n'a aucun effet.

• L'activation de cette fonctionnalité est gratuite.

Activer le chiffrement minimal pour un groupe de travail

Vous pouvez activer un niveau de cryptage minimal pour les résultats des requêtes de votre groupe de SQL travail Athena lorsque vous créez ou mettez à jour le groupe de travail. Pour ce faire, vous pouvez utiliser la console Athena, Athena ou API AWS CLI.

Utiliser la console Athena pour activer le chiffrement minimal

Pour commencer à créer ou à modifier votre groupe de travail à l'aide de la console Athena, consultez Créer un groupe de travail ou Modifier un groupe de travail. Lors de la configuration de votre groupe de travail, suivez les étapes ci-dessous pour activer le chiffrement minimal.

Pour configurer le niveau de chiffrement minimal pour les résultats des requêtes des groupes de travail

1. Désactivez l'option Remplacer les paramètres côté client ou vérifiez qu'elle n'est pas sélectionnée.

2. Sélectionnez l'option Chiffrer les résultats des requêtes.

3. Pour Type de chiffrement, sélectionnez la méthode de chiffrement que vous souhaitez qu'Athena utilise pour les résultats des requêtes de votre groupe de travail (SSE_S3KMS, SSE_ ou _). CSE KMS Ces types de chiffrement correspondent aux niveaux de sécurité basique, intermédiaire et avancé.

4. Pour appliquer la méthode de chiffrement que vous avez choisie comme niveau de chiffrement minimal pour tous les utilisateurs, sélectionnez Définir encryption_method comme chiffrement minimal.

   Lorsque vous sélectionnez cette option, un tableau indique la hiérarchie de chiffrement et les niveaux de chiffrement autorisés aux utilisateurs lorsque le type de chiffrement que vous choisissez devient le minimum.

5. Après avoir créé votre groupe de travail ou mis à jour la configuration de votre groupe de travail, choisissez Créer un groupe de travail ou Enregistrer les modifications.

Utilisez l'Athéna ou API AWS CLI pour activer le chiffrement minimal

Lorsque vous utilisez le CreateWorkGroupou UpdateWorkGroupAPIpour créer ou mettre à jour un SQL groupe de travail Athena, définissez EnforceWorkGroupConfigurationsur falsetrue, EnableMinimumEncryptionConfigurationet utilisez le EncryptionOptionpour spécifier le type de chiffrement.

Dans le volet AWS CLI, utilisez la update-work-groupcommande create-work-groupou avec les --configuration-updates paramètres --configuration or et spécifiez les options correspondant à celles duAPI.