加密在 Amazon S3 中存储的查询结果 - Amazon Athena
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

加密在 Amazon S3 中存储的查询结果

使用 Athena 控制台设置查询结果加密。使用工作组可以强制对查询结果实施加密。

如果您使用 JDBC 或 ODBC 驱动程序进行连接,请配置驱动程序选项来指定要使用的加密类型以及 Amazon S3 暂存目录位置。要配置 JDBC 或 ODBC 驱动程序以使用 Athena 支持的任何加密协议加密查询结果,请参阅通过 ODBC 和 JDBC 驱动程序连接到 Amazon Athena

您可以通过两种方式配置对查询结果加密的设置:

  • 客户端设置— 当您使用设置或者 API 操作来指示您希望加密查询结果,这称为使用客户端设置。客户端设置包括查询结果位置和加密。如果您指定这些内容,则除非工作组设置进行覆盖,否则将使用它们。

  • 工作组设置— 当您创建或编辑工作组并选择Override client-side settings (覆盖客户端设置)字段,则此工作组中运行的所有查询使用工作组设置。有关更多信息,请参阅工作组设置覆盖客户端设置。工作组设置包括查询结果位置和加密。

使用控制台加密在 Amazon S3 中存储的查询结果

重要

如果您的工作组选中了 Override client-side settings (覆盖客户端设置) 字段,则查询使用工作组设置。不使用在 Settings (设置) 中列出的加密配置和查询结果位置、API 操作及驱动程序。有关更多信息,请参阅工作组设置覆盖客户端设置

  1. 在 Athena 控制台中,选择设置

  2. 对于 Query result location,输入自定义值或保留默认值。这是存储查询结果的 Amazon S3 暂存目录。

  3. 选择 Encrypt query results

  4. 对于 Encryption type,选择 CSE-KMSSSE-KMSSSE-S3

  5. 如果您选择了 SSE-KMSCSE-KMS,则指定 Encryption key (加密密钥)

    • 如果您的账户有权访问现有 Amazon KMS 客户管理的密钥 (CMK),请选择其别名,或选择 Enter a KMS key ARN (输入 KMS 密钥 ARN),然后输入 ARN。

    • 如果您的账户无权访问现有Amazon KMS客户管理的密钥 (CMK),请选择创建 KMS 密钥,然后打开Amazon KMS控制台。在导航窗格中,选择Amazon托管密钥。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的创建密钥

      注意

      Athena 仅支持读取和写入数据的对称密钥。

  6. 返回 Athena 控制台,按别名或 ARN 指定密钥,如上一步中所述。

  7. 选择 Save