Crittografa i risultati delle query gestite - Amazon Athena

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografa i risultati delle query gestite

Athena offre le seguenti opzioni per la crittografia. Risultati delle query gestite

Crittografa utilizzando una chiave proprietaria AWS

Questa è l'opzione predefinita quando si utilizzano i risultati delle query gestite. Questa opzione indica che si desidera crittografare i risultati delle query utilizzando una chiave AWS proprietaria. AWS le chiavi di proprietà non sono memorizzate nel tuo AWS account e fanno parte di una raccolta di chiavi KMS che AWS possiede. Non ti viene addebitata alcuna commissione quando utilizzi chiavi AWS di proprietà e queste non vengono conteggiate nelle AWS KMS quote relative al tuo account.

Crittografa utilizzando una chiave gestita AWS KMS dal cliente

Le chiavi gestite dal cliente sono le chiavi KMS del tuo AWS account che crei, possiedi e gestisci. Hai il pieno controllo su queste chiavi KMS, il che include la definizione e la manutenzione delle relative politiche chiave, delle politiche e delle concessioni IAM, l'attivazione e la disabilitazione, la rotazione del materiale crittografico, l'aggiunta di tag, la creazione di alias che vi fanno riferimento e la pianificazione per l'eliminazione. Per ulteriori informazioni, consulta Customer managed keys.

In che modo Athena utilizza la chiave gestita dal cliente per crittografare i risultati

Quando si specifica una chiave gestita dal cliente, Athena la utilizza per crittografare i risultati della query quando vengono archiviati nei risultati delle query gestite. La stessa chiave viene utilizzata per decrittografare i risultati quando si chiama. GetQueryResults Quando imposti lo stato della chiave gestita dal cliente su disabilitato o ne pianifichi l'eliminazione, si impedisce ad Athena e a tutti gli utenti di crittografare o decrittografare i risultati con quella chiave.

Athena utilizza la crittografia a busta e la gerarchia delle chiavi per crittografare i dati. La chiave di AWS KMS crittografia viene utilizzata per generare e decrittografare la chiave principale di questa gerarchia di chiavi.

Ogni risultato viene crittografato utilizzando la chiave gestita dal cliente configurata nel gruppo di lavoro al momento della crittografia. Il passaggio della chiave a una chiave gestita dal cliente diversa o a una chiave AWS di proprietà non cripta nuovamente i risultati esistenti con la nuova chiave. L'eliminazione e la disabilitazione di una particolare chiave gestita dal cliente influiscono solo sulla decrittografia dei risultati crittografati dalla chiave.

Athena ha bisogno dell'accesso alla chiave di crittografia per eseguire kms:Decrypt kms:DescribeKey operazioni di crittografia e decrittografia dei risultati. kms:GenerateDataKey Per ulteriori informazioni, consulta Autorizzazioni di accesso a dati crittografati in Amazon S3.

Il responsabile che invia la query utilizzando l'StartQueryExecutionAPI e legge i risultati utilizzando GetQueryResults deve inoltre disporre dell'autorizzazione alla chiave gestita dal cliente e alle kms:DescribeKey operazioni oltre alle autorizzazioni Athena e Amazon S3. kms:Decrypt kms:GenerateDataKey Per ulteriori informazioni, consulta la sezione Politiche chiave in. AWS KMS