Protezione dei dati in Athena

Il AWS modello di responsabilità condivisa modello di di si applica alla protezione dei dati in Amazon Athena. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutte le Cloud AWS. L'utente è responsabile del mantenimento del controllo sui contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile delle attività di configurazione e gestione della sicurezza per Servizi AWS che usi. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione Privacy dei dati FAQ. Per informazioni sulla protezione dei dati in Europa, consulta la AWS Modello di responsabilità condivisa e post sul GDPR blog sul AWS Blog sulla sicurezza.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS credenziali e configura singoli utenti con AWS IAM Identity Center oppure AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

• Usa l'autenticazione a più fattori (MFA) con ogni account.

• UsaSSL/TLSper comunicare con AWS risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.

• Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per l'acquisizione AWS attività, vedi Lavorare con i CloudTrail sentieri in AWS CloudTrail Guida per l'utente.

• Utilizzo AWS soluzioni di crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

• Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

• Se sono necessari FIPS 140-3 moduli crittografici convalidati per l'accesso AWS tramite un'interfaccia a riga di comando o unAPI, utilizza un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori con Athena o altri Servizi AWS utilizzando la console, API AWS CLI, oppure AWS SDKs. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.

Come ulteriore passaggio di sicurezza, puoi utilizzare il aws:CalledViachiave di contesto globale per limitare le richieste solo a quelle fatte da Athena. Per ulteriori informazioni, consulta Usa le chiavi di CalledVia contesto per Athena.

Proteggi più tipi di dati

Quando si utilizza Athena per la creazione di database e di tabelle, sono coinvolti vari tipi di dati. Questi tipi di dati includono dati di origine archiviati in Amazon S3, metadati per database e tabelle che crei quando esegui query o AWS Glue Scansiona i dati, i risultati delle query e la cronologia delle query. Questa sezione illustra ciascun tipo di dati e fornisce linee guida su come proteggerli.

• Dati origine: i dati dei database e delle tabelle vengono archiviati in Amazon S3 e Athena non li modifica. Per ulteriori informazioni, consulta Protezione dei dati in Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service. È possibile controllare l'accesso ai dati di origine ed è possibile crittografarli in Amazon S3. È possibile utilizzare Athena per creare tabelle in base ai set di dati crittografati in Amazon S3.

• Metadati di database e tabelle (schema): Athena schema-on-read utilizza la tecnologia, il che significa che le definizioni delle tabelle vengono applicate ai dati in Amazon S3 quando Athena esegue le query. Qualsiasi schema creato viene salvato automaticamente, a meno che non venga esplicitamente eliminato. In Athena, puoi modificare i metadati del Data Catalog utilizzando le istruzioni. DDL È possibile eliminare definizioni delle tabelle e schemi senza alcun impatto sui dati sottostanti archiviati in Amazon S3. I metadati per i database e le tabelle utilizzati in Athena sono archiviati nel AWS Glue Data Catalog.

  È possibile definire politiche di accesso granulari ai database e alle tabelle registrati nel AWS Glue Data Catalog utilizzo di AWS Identity and Access Management (). IAM È inoltre possibile crittografare i metadati in AWS Glue Data Catalog. Se crittografate i metadati, utilizzate le autorizzazioni per crittografare i metadati per l'accesso.

• Risultati delle query e cronologia delle query, incluse le query salvate: i risultati delle query vengono archiviati in una posizione in Amazon S3 che puoi specificare a livello globale o per ciascun gruppo di lavoro. Se non è specificata, Athena utilizza la posizione predefinita in ogni caso. Puoi controllare l'accesso ai bucket Amazon S3 in cui si archiviano i risultati delle query e le query salvate. Inoltre, è possibile scegliere di crittografare i risultati delle query archiviate in Amazon S3. Gli utenti devono disporre delle autorizzazioni adeguate per accedere alle posizioni in Amazon S3 e decrittare i file. Per ulteriori informazioni, consulta la sezione Crittografa i risultati delle query Athena archiviati in Amazon S3 riportata di seguito in questo documento.

  Athena conserva la cronologia delle query per 45 giorni. È possibile visualizzare la cronologia delle query utilizzando AthenaAPIs, nella console e con AWS CLI. Per archiviare le interrogazioni per più di 45 giorni, salvale. Per proteggere l'accesso alle query salvate, è possibile usare i gruppi di lavoro in Athena, limitando l'accesso alle query salvate solo agli utenti che sono autorizzati a visualizzarle.

Argomenti

• Crittografia a riposo
• Crittografia in transito
• Gestione delle chiavi
• Riservatezza del traffico Internet