加密存储在 Amazon S3 中的查询结果 - Amazon Athena
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

加密存储在 Amazon S3 中的查询结果

使用 Athena 控制台设置查询结果加密。使用工作组可以强制对查询结果实施加密。

如果您使用 JDBC 或 ODBC 驱动程序进行连接,请配置驱动程序选项来指定要使用的加密类型以及 Amazon S3 暂存目录位置。要配置 JDBC 或 ODBC 驱动程序以使用 Athena 支持的任何加密协议加密查询结果,请参阅使用 ODBC 和 JDBC 驱动程序连接到 Amazon Athena

您可以通过两种方式配置对查询结果加密的设置:

  • 客户端设置 – 当您在控制台中使用 Settings (设置) 或者 API 操作来指示您希望加密查询结果时,这称为使用客户端设置。客户端设置包括查询结果位置和加密。如果您指定这些内容,则除非工作组设置进行覆盖,否则将使用它们。

  • 工作组设置 – 当您创建或编辑工作组并选择 Override client-side settings (覆盖客户端设置) 字段时,此工作组中运行的所有查询均使用工作组设置。有关更多信息,请参阅工作组设置覆盖客户端设置。工作组设置包括查询结果位置和加密。

使用控制台加密存储在 Amazon S3 中的查询结果

重要

如果您的工作组选中了 Override client-side settings (覆盖客户端设置) 字段,则查询使用工作组设置。不使用在 Settings (设置) 中列出的加密配置和查询结果位置、API 操作及驱动程序。有关更多信息,请参阅工作组设置覆盖客户端设置

  1. 在 Athena 控制台中,选择 Settings (设置)

  2. 对于 Query result location,输入自定义值或保留默认值。这是存储查询结果的 Amazon S3 暂存目录。

  3. 选择 Encrypt query results

  4. 对于 Encryption type,选择 CSE-KMSSSE-KMSSSE-S3

  5. 如果您选择了 SSE-KMSCSE-KMS,则指定 Encryption key (加密密钥)

    • 如果您的账户有权访问现有 AWS KMS 客户管理的密钥 (CMK),请选择其别名,或选择 Enter a KMS key ARN (输入 KMS 密钥 ARN),然后输入 ARN。

    • 如果您的账户无权访问现有 AWS KMS 客户托管密钥 (CMK),请选择 Create KMS key (创建 KMS 密钥),然后打开 AWS KMS console (AWS KMS 控制台)。在导航窗格中,选择 AWS managed keys (AWS 托管密钥)。有关更多信息,请参阅 https://docs.amazonaws.cn/kms/latest/developerguide/create-keys.html 中的创建密钥AWS Key Management Service Developer Guide。

      注意

      Athena 仅支持读取和写入数据的对称密钥。

  6. 返回 Athena 控制台,按别名或 ARN 指定密钥,如上一步中所述。

  7. 选择 Save