規劃工作群組的最低加密

身為 Athena SQL 工作群組的管理員，您可以在 Amazon S3 對工作群組的所有查詢結果強制執行最低層級的加密。您可以使用此功能，確保查詢結果絕不會儲存在處於未加密狀態的 Amazon S3 儲存貯體中。

若使用者位於啟用最低加密的工作群組中，則當其提交查詢時，只能將加密設定為您設定的最低層級，或將加密設定為較高層級 (如果有的話)。Athena 會在使用者執行查詢時，指定的層級或工作群組中設定的層級加密查詢結果。

以下為可用的層級：

• 基本 — 使用 Amazon S3 受管金鑰 (SSE_ S3) 進行 Amazon S3 伺服器端加密。

• 中級 — 使用KMS受管理金鑰 (SSE_ KMS) 進行伺服器端加密。

• 進階 — 使用KMS受管理金鑰 (CSE_ KMS) 進行用戶端加密。

考量與限制

• 最低加密功能不適用於已啟用 Apache Spark 的工作群組。

• 只有當工作群組未啟用覆寫用戶端設定選項時，最低加密功能才能正常運作。

• 如果工作群組已啟用覆寫用戶端設定選項，則會採用工作群組加密設定，且最低加密設定不會造成任何影響。

• 啟用此功能無需付費。

為工作群組啟用最低加密

您可以在建立或更新SQL工作群組時，為 Athena 工作群組的查詢結果啟用最低加密層級。若要這麼做，您可以使用 Athena 主機、AthenaAPI，或 AWS CLI.

使用 Athena 主控台啟用最低加密

若要開始使用 Athena 主控台建立或編輯工作群組，請參閱建立工作群組或編輯工作群組。設定工作群組時，請使用下列步驟來啟用最低加密。

若要為工作群組查詢結果設定最低加密層級

1. 清除覆寫用戶端設定選項，或確認未選取該選項。

2. 選取加密查詢結果選項。

3. 針對加密類型，選取您希望 Athena 用於工作群組查詢結果的加密方法 (SSE_S3 KMS、SSE_ 或 CSE_ KMS)。這些加密類型對應至基本、中級和進階安全層級。

4. 若要對所有使用者強制執行您選擇作為最低加密層級的加密方法，請選取 [設定] encryption_method 作為最低加密。

   選取此選項時，資料表會顯示，當您選擇的加密類型變為最低時，使用者將允許的加密階層和加密層級。

5. 建立工作群組或更新工作群組組態後，請選擇建立工作群組或儲存變更。

使用 Athena API 或 AWS CLI 啟用最低加密

當您使用CreateWorkGroup或UpdateWorkGroupAPI建立或更新 Athena SQL 工作群組時false，請EnforceWorkGroupConfiguration將設定EnableMinimumEncryptionConfiguration為true、並使用EncryptionOption來指定加密類型。

在 AWS CLI，將或指update-work-group令與create-work-group--configuration或--configuration-updates參數搭配使用，並指定與中的參數相對應的選項API。