Crittografia a riposo

Puoi eseguire query su Amazon Athena su dati crittografati in Amazon S3 nella stessa Regione e in un numero limitato di Regioni. Puoi anche crittografare i risultati delle query in Amazon S3 e i dati nel Data Catalog AWS Glue .

È possibile crittografare le seguenti risorse in Athena:

• I risultati di tutte le query in Amazon S3, che Athena archivia in un percorso noto, ad esempio la posizione dei risultati in Amazon S3. È possibile crittografare i risultati delle query archiviati in Amazon S3, indipendentemente dal fatto che il set di dati sottostante sia crittografato in Amazon S3 o meno. Per informazioni, consulta Crittografia dei risultati di query Athena archiviati in Amazon S3.

• I dati nel Data AWS Glue Catalog. Per informazioni, consulta Autorizzazioni di accesso ai metadati crittografati nel catalogo dati di AWS Glue.

Nota

Quando si utilizza Athena per leggere una tabella crittografata, Athena utilizza le opzioni di crittografia specificate per i dati della tabella, non l'opzione di crittografia per i risultati della query. Se sono configurati metodi o chiavi di crittografia separati per i risultati delle query e i dati della tabella, Athena legge i dati della tabella senza utilizzare l'opzione di crittografia e la chiave utilizzate per crittografare o decrittografare i risultati della query.

Tuttavia, se si utilizza Athena per inserire dati in una tabella con dati crittografati, Athena utilizza la configurazione di crittografia specificata per i risultati della query per crittografare i dati inseriti. Ad esempio, se si specifica la CSE_KMS crittografia per i risultati delle query, Athena utilizza lo stesso ID AWS KMS chiave utilizzato per la crittografia dei risultati delle query per crittografare i dati della tabella inseriti. CSE_KMS

Argomenti

• Opzioni di crittografia supportate da Amazon S3
• Autorizzazioni di accesso a dati crittografati in Amazon S3
• Autorizzazioni di accesso ai metadati crittografati nel catalogo dati di AWS Glue
• Crittografia dei risultati di query Athena archiviati in Amazon S3
• Creazione di tabelle basate su set di dati crittografati in Amazon S3

Opzioni di crittografia supportate da Amazon S3

Athena supporta le seguenti opzioni di crittografia per set di dati e risultati di query in Amazon S3.

Tipo di crittografia	Descrizione	Supporto tra regioni
SSE-S3	Crittografia lato server (SSE) con una chiave gestita da Amazon S3.	Sì
SSE-KMS	Crittografia lato server (SSE) con una chiave gestita dal cliente. AWS Key Management Service Nota Con questo tipo di crittografia, Athena non richiede di indicare che i dati vengono crittografati durante la creazione di una tabella.	Sì
CSE-KMS	Crittografia lato client (CSE) con chiave gestita dal cliente. AWS KMS In Athena, questa opzione richiede l'utilizzo di un'istruzione CREATE TABLE con una clausola TBLPROPERTIES che specifica 'has_encrypted_data'='true'. Per ulteriori informazioni, consulta Creazione di tabelle basate su set di dati crittografati in Amazon S3.	No

Per ulteriori informazioni sulla AWS KMS crittografia con Amazon S3, consulta What is AWS Key Management Service and How Amazon Simple Storage Service (Amazon S3) nella Developer Guide AWS KMS.AWS Key Management Service Per ulteriori informazioni sull'utilizzo di SSE-KMS o CSE-KMS con Athena, consulta Lancio: Amazon Athena aggiunge il supporto per le query dei dati crittografati nel blog AWS Big Data.

Opzioni non supportate

Le seguenti opzioni di crittografia non sono supportate:

• SSE con chiavi fornite dal cliente (SSE-C)

• File crittografato lato client con una chiave gestita lato client

• Chiavi asimmetriche.

Per confrontare le opzioni di crittografia Amazon S3, consulta Protezione dei dati con la crittografia nella Guida per l'utente di Amazon Simple Storage Service.

Strumenti per la crittografia lato client

Per il file crittografato lato client, sono disponibili due strumenti:

• Client di crittografia Amazon S3: crittografa i dati solo per Amazon S3 ed è supportato da Athena.

• AWS Encryption SDK— L'SDK può essere utilizzato per crittografare i dati ovunque, AWS ma non è supportato direttamente da Athena.

Questi strumenti non sono compatibili e i dati crittografati con uno strumento non possono essere decrittati dall'altro. Athena supporta solo il client di crittografia Amazon S3. Se si utilizza l'SDK per crittografare i dati, è possibile eseguire query da Athena, ma i dati vengono restituiti come testo crittografato.

Se si desidera utilizzare Athena per interrogare i dati che sono stati crittografati con l'SDK di crittografia AWS , è necessario scaricare e decrittare i dati e quindi crittografarli nuovamente utilizzando il client di crittografia Amazon S3.

Autorizzazioni di accesso a dati crittografati in Amazon S3

A seconda del tipo di crittografia utilizzato in Amazon S3, potrebbe essere necessario aggiungere delle autorizzazioni, note anche come operazioni "Consenti", per le tue policy utilizzate in Athena:

• SSE-S3: se utilizzi SSE-S3 per la crittografia, gli utenti Athena non devono disporre di ulteriori autorizzazioni nelle loro policy. È sufficiente disporre delle autorizzazioni Amazon S3 adeguate per il percorso Amazon S3 corretto e per le operazioni Athena. Per ulteriori informazioni sulle policy che consentono di disporre delle autorizzazioni Athena e Amazon S3 adeguate, consulta le sezioni AWS politiche gestite per Amazon Athena e Accedere ad Amazon S3.

• AWS KMS— Se si utilizza AWS KMS per la crittografia, gli utenti di Athena devono essere autorizzati a eseguire AWS KMS azioni particolari oltre alle autorizzazioni Athena e Amazon S3. Consenti queste azioni modificando la policy chiave per le CMK gestite dal AWS KMS cliente utilizzate per crittografare i dati in Amazon S3. Per aggiungere utenti chiave alle politiche AWS KMS chiave appropriate, puoi utilizzare la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms. Per informazioni su come aggiungere un utente a una policy AWS KMS chiave, consulta Permette agli utenti chiave di utilizzare la CMK nella AWS Key Management Service Developer Guide.

  Nota

  Gli amministratori di livello avanzato delle policy di chiavi possono modificare le policy stesse. kms:Decrypt è il livello minimo di operazioni consentite per un utente Athena affinché possa lavorare con un set di dati crittografato. Per utilizzare i risultati di query crittografati, i livelli minimi di operazioni consentite sono kms:GenerateDataKey e kms:Decrypt.

  Quando si utilizza Athena per interrogare set di dati in Amazon S3 con un gran numero di oggetti crittografati con AWS KMS, AWS KMS può limitare i risultati delle query. Questo è più probabile che ciò accada quando è presente un numero elevato di piccoli oggetti. Athena esegue il backoff delle richieste di nuovi tentativi, tuttavia potrebbe comunque verificarsi un errore di limitazione. Se stai lavorando con un numero elevato di oggetti crittografati e riscontri questo problema, un'opzione è quella di abilitare le chiavi bucket Amazon S3 per ridurre il numero di chiamate a KMS. Per ulteriori informazioni, consulta Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service. Un'altra opzione è aumentare le quote di servizio per AWS KMS. Per ulteriori informazioni, consulta Quote nella Guida per gli sviluppatori di AWS Key Management Service .

Per informazioni sulla risoluzione dei problemi relativi alle autorizzazioni quando si utilizza Amazon S3 con Athena, consulta la sezione Autorizzazioni dell'argomento Risoluzione dei problemi in Athena.

Autorizzazioni di accesso ai metadati crittografati nel catalogo dati di AWS Glue

Se si crittografano i metadati in AWS Glue Data Catalog, è necessario aggiungere "kms:GenerateDataKey" e "kms:Encrypt" azioni alle politiche utilizzate per accedere ad Athena. "kms:Decrypt" Per informazioni, consulta Accesso da Athena ai metadati crittografati nel AWS Glue Data Catalog.