キー管理

Amazon Athena では、Amazon S3 のデータセットと Athena のクエリ結果を暗号化する AWS Key Management Service (AWS KMS) がサポートされています。AWS KMS では Amazon S3 オブジェクトの暗号化にカスタマー管理キー (CMK) を使用しており、エンベロープ暗号化に依存しています。

AWS KMS で、以下のアクションを実行できます。

• キーを作成する

• 新しい CMK の独自のキーマテリアルをインポートする

注記

Athena は、データの読み書きに対称キーのみをサポートします。

詳細については、「Amazon Simple Storage Service が AWS KMS を使用する方法」と「AWS Key Management Service デベロッパーガイド」の「AWS Key Management Service とは」を参照してください。AWS によって作成および管理されるアカウントのキーを表示するには、ナビゲーションペインで [AWS マネージドキー] を選択します。

SSE-KMS で暗号化されたオブジェクトをアップロードしたり、それらへアクセスしたりする場合は、セキュリティを強化するために AWS 署名バージョン 4 を使用します。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「リクエスト認証での署名バージョンの指定」を参照してください。

Athena ワークロードが大量のデータを暗号化する場合は、Amazon S3 バケットキーを使用してコストを削減できます。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 バケットキーを使用した SSE-KMS のコストの削減」を参照してください。