저장 데이터 암호화 - Amazon Athena

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

저장 데이터 암호화

동일한 리전과 제한된 리전에서 Amazon Athena의 암호화된 데이터에 대해 Amazon S3에서 쿼리를 실행할 수 있습니다. Amazon S3의 쿼리 결과와 AWS Glue Data Catalog의 데이터를 암호화할 수도 있습니다.

다음과 같은 Athena의 자산을 암호화할 수 있습니다.

참고

Amazon S3의 암호화된 데이터 세트를 쿼리하는 설정과 쿼리 결과를 암호화하는 Athena의 옵션은 서로 독립적입니다. 각 옵션은 별도로 활성화되고 구성됩니다. 각 옵션에 서로 다른 암호화 방법이나 키를 사용할 수 있습니다. 즉 Amazon S3에서 암호화된 데이터를 읽어도 Amazon S3에서 Athena 쿼리 결과를 자동으로 암호화하지 않습니다. 반대의 경우도 마찬가지입니다. Amazon S3에서 Athena 쿼리 결과를 암호화해도 Amazon S3의 기본 데이터 세트는 암호화되지 않습니다.

지원하는 Amazon S3 암호화 옵션

Athena에서는 Amazon S3의 데이터 세트 및 쿼리 결과에 대해 다음과 같은 암호화 옵션을 지원합니다. 교차 리전 지원은 특정 리전으로 제한됩니다. 자세한 내용은 리전 간 쿼리 단원을 참조하십시오.

암호화 유형 설명 교차 리전 지원
SSE-S3 Amazon S3 관리형 키를 사용한 서버 측 암호화(SSE).
SSE-KMS AWS Key Management Service 고객 관리형 키를 사용한 서버 측 암호화(SSE).
참고

이 암호화 유형을 사용하면 테이블을 생성할 때 Athena에서 데이터 암호화 표시를 요구하지 않습니다.

CSE-KMS

고객 관리형 키를 사용한 클라이언트 측 암호화(CSE).AWS KMS 에서 이 옵션을 사용하려면 Athena를 지정하는 CREATE TABLE 절과 함께 TBLPROPERTIES 문을 사용해야 합니다.'has_encrypted_data'='true' 자세한 내용은 Amazon S3의 암호화된 데이터 세트에 기반한 테이블 생성 단원을 참조하십시오.

아니요

를 사용한 AWS KMS 암호화에 대한 자세한 내용은 Amazon S3AWS Key Management Service란 무엇입니까?Amazon Simple Storage Service(Amazon S3)의 AWS KMS 활용 방식을 참조하십시오.AWS Key Management Service Developer Guide 에서 SSE-KMS 또는 CSE-KMS를 사용하는 방법에 대한 자세한 내용은 Athena시작:을 참조하십시오. Amazon Athena는 빅 데이터 블로그AWS의 암호화된 데이터 쿼리에 대한 지원을 추가합니다.

지원되지 않는 옵션

다음 암호화 옵션은 지원되지 않습니다.

  • 고객 제공 키가 있는 SSE(SSE-C).

  • 클라이언트 측 마스터 키를 사용한 클라이언트 측 암호화.

  • 비대칭 키.

암호화 옵션을 비교하려면 Amazon S3https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html암호화를 사용하여 데이터 보호Amazon Simple Storage Service 개발자 가이드를 참조하십시오.

Amazon S3의 암호화 데이터 권한

Amazon S3에서 사용한 암호화 유형에 따라, Athena에서 사용한 정책에 "허용" 작업이라고 하는 권한을 추가해야 할 수도 있습니다.

  • SSE-S3 – 암호화에 SSE-S3를 사용하면 Athena 사용자는 정책에 추가 권한이 필요하지 않습니다. 적절한 Amazon S3 위치(및 Athena 작업)에 대해 적절한 Amazon S3 권한을 갖는 것으로 충분합니다. 적절한 Athena 및 Amazon S3 권한을 허용하는 정책에 대한 자세한 정보는 사용자 액세스 관련 IAM 정책Amazon S3 권한을 참조하십시오.

  • AWS KMS – 암호화에 AWS KMS을(를) 사용한다면, Athena 사용자에게 Athena 및 Amazon S3 권한 외에 특정 AWS KMS 작업을 수행할 수 있는 권한을 허용해야 합니다. 에서 데이터를 암호화하는 데 사용되는 AWS KMS 고객 관리형 CMKs에 대한 키 정책을 편집하여 이러한 작업을 허용합니다.Amazon S3 적절한 AWS KMS 키 정책에 키 사용자를 추가하려면 AWS KMS의 https://console.aws.amazon.com/kms 콘솔을 사용하면 됩니다. 키 정책에 사용자를 추가하는 방법에 대한 자세한 내용은 AWS KMS키 사용자가 CMK를 사용하도록 허용을 참조하십시오.AWS Key Management Service Developer Guide

    참고

    고급 키 정책 관리자는 키 정책을 조정할 수 있습니다. kms:Decrypt는 Athena 사용자가 암호화된 데이터 세트로 작업할 수 있는 최소 허용 작업입니다. 암호화된 쿼리 결과로 작업할 때 허용되는 최소 작업은 kms:GenerateDataKeykms:Decrypt입니다.

    AWS KMS(으)로 암호화된 객체가 다수 포함되어 있는 Amazon S3에서 Athena을(를) 사용해 데이터 세트를 쿼리한다면 AWS KMS이(가) 쿼리 결과를 제한할 수 있습니다. 작은 객체가 많으면 이런 현상이 발생할 가능성이 높습니다. Athena이(가) 재시도 요청을 취소해도 조절 오류가 계속 발생할 수 있습니다. 이 경우 AWS KMS에 대한 서비스 할당량을 늘릴 수 있습니다. 자세한 내용은 https://docs.aws.amazon.com/kms/latest/developerguide/limits.html#requests-per-second할당량AWS Key Management Service Developer Guide을 참조하십시오.

AWS Glue 데이터 카탈로그에 저장된 암호화된 메타데이터 권한

AWS Glue 데이터 카탈로그의 메타데이터를 암호화한다면, Athena 액세스에 사용한 정책에 "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt" 작업을 추가해야 합니다. 자세한 정보는 AWS Glue 데이터 카탈로그에 저장된 암호화된 메타데이터 액세스를 참조하십시오.