Athena 中的資料保護 - Amazon Athena
保護多種資料類型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Athena 中的資料保護

AWS 共同責任模型適用於 Amazon Athena 的資料保護。如此模型所述, AWS 負責保護執行所有 AWS 雲端. 您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱資料隱私權常見問答集如需有關歐洲資料保護的相關資訊,請參閱 AWS 安全性部落格上的 AWS 共同的責任模型和 GDPR 部落格文章。

基於資料保護目的,我們建議您使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 保護 AWS 帳戶 登入資料並設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:

  • 每個帳戶均要使用多重要素驗證 (MFA)。

  • 使用 SSL/TLS 與 AWS 資源進行通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。

  • 使用設定 API 和使用者活動記錄 AWS CloudTrail。

  • 使用 AWS 加密解決方案以及其中的所有默認安全控制 AWS 服務。

  • 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。

  • 如果透過命令列介面或 API 存取時需要經 AWS 過 FIPS 140-2 驗證的加密模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2 概觀

我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如名稱欄位。這包括當您 AWS 服務 使用主控台、API 或 AWS SDK 與 Athena 或其他 AWS CLI人合作時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。

作為額外的安全步驟,您也能使用 aws:CalledVia 全域條件內容索引鍵來限制僅能有從 Athena 進行的請求。如需詳細資訊,請參閱搭配 CalledVia 內容金鑰使用 Athena

保護多種資料類型

使用 Athena 建立資料庫和資料表時,涉及多種類型的資料。這些資料類型包括存放在 Amazon S3 中的來源資料、執行查詢時建立的資料庫和表格的中繼資料,或是用於探索資料的 AWS Glue 爬蟲、查詢結果資料和查詢歷史記錄。本節討論每個類型的資料,並提供如何保護它的相關指導。

  • Source data (來源資料) – 您將資料庫和資料表的資料存放在 Simple Storage Service (Amazon S3) 中,而且 Athena 不會修改它。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的 Amazon S3 中的資料保護。您可以控制來源資料的存取,並可在 Simple Storage Service (Amazon S3) 中將其加密。您可以使用 Athena,根據 Simple Storage Service (Amazon S3) 中的加密資料集建立資料表

  • 資料庫和表格中繼資料 (結構描述) — Athena 使用 schema-on-read 技術,這表示當 Athena 執行查詢時,您的表格定義會套用至 Amazon S3 中的資料。您定義的所有結構描述都會自動儲存,除非您確實將其刪除。在 Athena 中,您可以使用 DDL 陳述式來修改資料目錄中繼資料。您也可以刪除資料表定義和結構描述,不會影響存放在 Simple Storage Service (Amazon S3) 中的基礎資料。您在 Athena 中使用之資料庫和資料表的中繼資料會存放在 AWS Glue Data Catalog中。

    您可以針對在 using AWS Identity and Access Management (IAM) 中註冊的資料庫和表格定義精細的 AWS Glue Data Catalog 存取政策。您也可以加密 AWS Glue Data Catalog的中繼資料。如果您加密中繼資料,請使用加密中繼資料的許可進行存取。

  • 查詢結果和查詢歷史記錄,包括儲存的查詢 – 查詢結果存放在 Simple Storage Service (Amazon S3) 中您可以選擇來全域指定,或針對每個工作群組指定的位置。如果未指定,Athena 會在每個案例中使用預設位置。您可以控制 Simple Storage Service (Amazon S3) 儲存貯體的存取,而您可在這些儲存貯體中存放查詢結果和已儲存的查詢。此外,您還可以選擇加密您存放在 Simple Storage Service (Amazon S3) 中的查詢結果。您的使用者必須擁有適當的許可,才能存取 Simple Storage Service (Amazon S3) 位置和解密檔案。如需詳細資訊,請參閱本文件的加密 Amazon S3 中存放的 Athena 查詢結果

    Athena 會將查詢歷史記錄保留 45 天。您可以在主控台中使用 Athena API 檢視查詢歷史記錄,並使用 AWS CLI. 若要存放查詢超過 45 天,請將其儲存。若要保護對已儲存查詢的存取權限,請在 Athena 中使用工作群組,限制僅有權檢視已儲存查詢的使用者可存取這些查詢。

主題