Amazon S3 に保存されたクエリ結果の暗号化 - Amazon Athena

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon S3 に保存されたクエリ結果の暗号化

Athena コンソールを使用して、クエリ結果の暗号化を設定します。ワークグループを使用すると、クエリ結果の暗号化を強制できます。

JDBC または ODBC ドライバーを使用して接続する場合は、ドライバーオプションの設定で、使用する暗号化のタイプと Amazon S3 ステージングディレクトリの場所を指定します。Athena がサポートする暗号化プロトコルのいずれかを使用してクエリ結果を暗号化するように JDBC または ODBC ドライバーを設定するには、「ODBC および JDBC ドライバーを使用した Amazon Athena への接続」を参照してください。

クエリ結果の暗号化は、以下の 2 つの方法で設定できます。

  • [Client-side settings (クライアント側設定)] – コンソールまたは API オペレーションで [Settings (設定)] を使用してクエリ結果を暗号化することを示す場合、これはクライアント側設定の使用と呼ばれます。クライアント側設定には、クエリ結果の場所と暗号化が含まれます。指定した場合は、ワークグループの設定によって上書きされない限り、それらの設定が使用されます。

  • [Workgroup settings (ワークグループ設定)] – ワークグループを作成または編集して [Override client-side settings (クライアント側の設定の上書き)] フィールドを選択すると、このワークグループで実行されるすべてのクエリでワークグループ設定が使用されます。詳細については、「ワークグループ設定がクライアント側の設定を上書きする」を参照してください。ワークグループ設定には、クエリ結果の場所と暗号化が含まれます。

コンソールを使用して Amazon S3 に保存されているクエリ結果を暗号化するには

重要

ワークグループで [Override client-side settings (クライアント側設定の上書き)] フィールドを選択している場合、クエリではワークグループ設定が使用されます。[Settings (設定)] に一覧表示されている暗号化設定およびクエリ結果の場所、API オペレーション、ドライバーは使用されません。詳細については、「ワークグループ設定がクライアント側の設定を上書きする」を参照してください。

  1. Athena コンソールで、[設定] を選択します。

  2. [Query result location] で、カスタム値を入力するか、デフォルト値を受け入れます。これは、クエリ結果が保存される Amazon S3 ステージングディレクトリです。

  3. [Encrypt query results] を選択します。

  4. [Encryption type] で、[CSE-KMS]、[SSE-KMS]、[SSE-S3] のいずれかを選択します。

  5. [SSE-KMS] または [CSE-KMS] を選択した場合は、[暗号化キー] を指定します。

    • アカウントに既存の AWS KMS カスタマー管理キー (CMK) がある場合は、そのエイリアスを選択するか、[KMS キー ARN を入力] を選択して ARN を入力します。

    • アカウントに既存の AWS KMS カスタマー管理キー (CMK) へのアクセス権限がない場合は、[KMS キーの作成] を選択し、[AWS KMS コンソール] を開きます。ナビゲーションペインで、[AWS managed keys (AWS 管理型のキー)] を選択します。詳細については、『https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html』の「AWS Key Management Service Developer Guideキーの作成」を参照してください。

      注記

      Athena は、データの読み書き用の対称キーのみをサポートします。

  6. Athena コンソールに戻り、前のステップで説明しているように、エイリアスまたは ARN 別にキーを指定します。

  7. [Save] を選択します。