저장 데이터 암호화 - Amazon Athena

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

저장 데이터 암호화

Amazon Athena 동일한 리전과 제한된 수의 리전에서 Amazon S3 암호화된 데이터에 대해 쿼리를 실행할 수 있습니다. Amazon S3 에서 쿼리 결과와 AWS Glue 데이터 카탈로그에 있는 데이터를 암호화할 수도 있습니다.

Athena 나에서 다음과 같은 자산을 암호화할 수 있습니다.

참고

Amazon S3 에서 암호화된 데이터 세트를 쿼리하는 설정과 쿼리 결과를 암호화하는 Athena 옵션은 서로 독립적입니다. 각 옵션은 별도로 활성화되고 구성됩니다. 각 옵션에 서로 다른 암호화 방법이나 키를 사용할 수 있습니다. 즉 Amazon S3에서 암호화된 데이터를 읽어도 Amazon S3 에서 Athena 쿼리 결과를 자동으로 암호화하지 않습니다. 반대의 경우도 마찬가지입니다. Amazon S3에서 Athena 쿼리 결과를 암호화해도 Amazon S3 기본 데이터 세트는 암호화되지 않습니다.

Amazon S3 암호화 옵션

Athena Amazon S3 에서 데이터 세트 및 쿼리 결과에 대해 다음과 같은 암호화 옵션을 지원합니다. 지역 간 지원은 특정 지역으로 제한됩니다. 자세한 내용은 리전 간 쿼리 섹션을 참조하세요.

암호화 유형 설명 교차 리전 지원
SSE-S3 Amazon S3 관리형 키를 사용한 서버 측 암호화 (SSE).
SSE-KMS AWS Key Management Service 고객 관리형 키를 사용한 서버 측 암호화 (SSE).
참고

이 암호화 유형을 사용하면 테이블을 생성할 때 Athena 데이터 암호화 표시를 요구하지 않습니다.

CSE-KMS

AWS KMS 고객 관리형 키를 사용한 클라이언트 측 암호화 (CSE). Athena 에서이 옵션을 사용하려면CREATE TABLE문을 사용하여TBLPROPERTIES지정 절'has_encrypted_data'='true'. 자세한 내용은 Amazon S3 에서 암호화된 데이터 세트를 기반으로 테이블 생성 섹션을 참조하세요.

아니요

Amazon S3 를 사용한 AWS KMS 암호화에 대한 자세한 내용은 단원을 참조하세요.AWS Key Management Service 란 무엇입니까Amazon Simple Storage Service (Amazon S3) AWS KMS 사용하는 방법AWS Key Management Service 개발자 가이드. Athena 함께 SSE-KMS 또는 CSE-KMS를 사용하는 방법에 대한 자세한 내용은출시: Amazon Athena 암호화된 데이터 쿼리에 대한 지원을 추가합니다.( 사용)AWS 빅 데이터 블로그.

지원되지 않는 옵션

다음 암호화 옵션은 지원되지 않습니다.

  • 고객 제공 키가 있는 SSE(SSE-C).

  • 클라이언트 측 마스터 키를 사용한 클라이언트 측 암호화.

  • 비대칭 키.

Amazon S3 암호화 옵션을 비교하려면 단원을 참조하십시오.암호화를 사용하여 데이터 보호Amazon Simple Storage Service 개발자 안내서.

클라이언트 측 암호화를 위한 암호화 도구

클라이언트 측 암호화의 경우 다음 두 가지 도구를 사용할 수 있습니다.

  • Amazon S3 암호화 클라이언트— Amazon S3 대한 데이터만 암호화하며 Athena 가 지원합니다.

  • AWS 암호화 SDK— SDK는 AWS 전체에서 데이터를 암호화하는 데 사용할 수 있지만 Athena 에서는 직접 지원하지 않습니다.

이러한 도구는 호환되지 않으며 한 도구를 사용하여 암호화된 데이터는 다른 도구에서 해독할 수 없습니다. Athena Amazon S3 Encryption Client (Amazon S3 Encryption SDK를 사용하여 데이터를 암호화하는 경우 Athena a에서 쿼리를 실행할 수 있지만 데이터는 암호화된 텍스트로 반환됩니다.

Athena 를 사용하여 AWS 암호화 SDK로 암호화된 데이터를 쿼리하려면 데이터를 다운로드하고 해독한 다음 Amazon S3 암호화 클라이언트를 사용하여 데이터를 다시 암호화해야 합니다.

Amazon S3 암호화된 데이터에 대한 권한

Amazon S3 에서 사용하는 암호화 유형에 따라 Athena a에서 사용한 정책에 “허용” 작업이라고 하는 권한을 추가해야 할 수도 있습니다.

  • SSE-S3— 암호화에 SSE-S3 을 (를) 사용하면 Athena 사용자는 정책에 추가 권한이 필요하지 않습니다. 적절한 Amazon S3 위치 및 Athena 작업에 대해 적절한 Amazon S3 권한을 갖는 것으로 충분합니다. 적절한 Athena 및 Amazon S3 권한을 허용하는 정책에 대한 자세한 내용은 단원을 참조하세요.사용자 액세스를 위한 IAM 정책Amazon S3 권한.

  • AWS KMS— 암호화에 AWS KMS를 사용하는 경우 Athena 사용자는 Athena와 Amazon S3 권한 외에 특정 AWS KMS 작업을 수행할 수 있는 권한을 허용해야 합니다. Amazon S3 에서 데이터를 암호화하는 데 사용되는 AWS KMS 고객 관리형 CMK의 주요 정책을 편집하여 이러한 작업을 허용합니다. 적절한 AWS KMS 키 정책에 주요 사용자를 추가하려면 AWS KMS 콘솔 (https://console.aws.amazon.com/kms. AWS KMS 키 정책에 사용자를 추가하는 방법에 대한 자세한 내용은 단원을 참조하세요.키 사용자가 CMK를 사용하도록 허용AWS Key Management Service 개발자 가이드.

    참고

    고급 키 정책 관리자는 키 정책을 조정할 수 있습니다.kms:DecryptAthena 사용자가 암호화된 데이터 세트로 작업할 때 허용되는 최소 작업입니다. 암호화된 쿼리 결과로 작업할 때 허용되는 최소 작업은 kms:GenerateDataKeykms:Decrypt입니다.

    Athena a를 사용하여 AWS KMS 로 암호화된 객체가 다수 포함되어 있는 Amazon S3 에서 데이터 세트를 쿼리한다면 AWS KMS는 쿼리 결과를 제한할 수 있습니다. 작은 객체가 많으면 이런 현상이 발생할 가능성이 높습니다. Athena 재시도 요청을 취소해도 조절 오류가 계속 발생할 수 있습니다. 이 경우 AWS KMS 에 대한 서비스 할당량을 늘릴 수 있습니다. 자세한 내용은 단원을 참조하십시오.할당량AWS Key Management Service 개발자 가이드.

Athena 와 함께 Amazon S3 를 사용할 때의 권한에 대한 문제 해결 정보는Permissions의 단원Athena주제를 참조하십시오.

AWS Glue 데이터 카탈로그에서 암호화된 메타데이터에 대한 권한

만약AWS Glue 데이터 카탈로그에서 메타데이터를 암호화하려면에 추가해야 합니다."kms:GenerateDataKey","kms:Decrypt", 및"kms:Encrypt"작업을 Athena 에 액세스하는 데 사용하는 정책에 적용할 수 있습니다. 자세한 정보는 단원을 참조하십시오.AWS Glue 데이터 카탈로그에서 암호화된 메타데이터에 대한 액세스.