从 Athena 访问 Amazon Glue Data Catalog 中的加密元数据 - Amazon Athena
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

从 Athena 访问 Amazon Glue Data Catalog 中的加密元数据

如果您将 Amazon Glue Data Catalog 与 Amazon Athena 一起使用,您可以使用 Amazon Glue 控制台或 API在 Amazon Glue Data Catalog 中启用加密。想要了解有关信息,请参阅《Amazon Glue 开发人员指南》中的 加密数据目录

如果对 Amazon Glue Data Catalog 加密,则必须将以下操作添加到用于访问 Athena 的所有策略:

{
 "Version": "2012-10-17",
 "Statement": {
 "Effect": "Allow",
     "Action": [
           "kms:GenerateDataKey",
           "kms:Decrypt",  
           "kms:Encrypt"
      ],
     "Resource": "(arn of the key used to encrypt the catalog)"
   }
}

每当您使用 IAM 策略时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅《IAM 用户指南》中的 IAM 安全最佳实践