加密在 Amazon S3 中存储的 Athena 查询结果
使用 Athena 控制台或使用 JDBC 或 ODBC 时设置查询结果加密。使用工作组可以强制对查询结果实施加密。
注意
加密查询结果时,Athena 会加密由查询写入的所有对象。这包括 INSERT INTO
和 UPDATE
等语句以及对 Iceberg 或其他格式数据的查询结果。
在控制台中,您可以通过两种方式配置对查询结果加密的设置:
-
客户端设置 - 当您在控制台中使用 Settings(设置) 或者 API 操作来指示您希望加密查询结果时,这称为使用客户端设置。客户端设置包括查询结果位置和加密。如果您指定这些内容,则除非工作组设置进行覆盖,否则将使用它们。
-
Workgroup settings(工作组设置)– 当您创建或编辑工作组并选择 Override client-side settings(覆盖客户端设置)字段时,此工作组中运行的所有查询均使用工作组设置和查询结果位置设置。有关更多信息,请参阅 Override client-side settings (覆盖客户端设置)。
使用控制台加密在 Amazon S3 中存储的查询结果
重要
如果工作组中的 Override client-side settings(覆盖客户端设置)字段已被选中,则工作组中的所有查询均使用工作组设置。不使用在 Athena 控制台中的 Settings(设置)选项卡上通过 API 操作及通过 JDBC 和 ODBC 驱动程序指定的加密配置和查询结果位置。有关更多信息,请参阅 Override client-side settings (覆盖客户端设置)。
-
在 Athena 控制台中,选择 Settings(设置)。
-
选择管理。
-
在 Location of query result(查询结果位置)中,输入或选择 Amazon S3 路径。这是存储查询结果的 Amazon S3 位置。
-
选择 Encrypt query results。
-
对于 Encryption type,选择 CSE-KMS、SSE-KMS 或 SSE-S3。在这三者中,CSE-KMS 提供的加密级别最高,SSE-S3 提供的加密级别最低。
-
如果您选择了 SSE-KMS 或 CSE-KMS,则指定 Amazon KMS 密钥。
-
对于选择 Amazon KMS 键,如果您的账户有权访问某个现有的 Amazon KMS 客户自主管理型密钥(CMK),则选择其别名,或输入一个 Amazon KMS 键 ARN。
-
如果您的账户无权访问任何现有的客户自主管理型密钥(CMK),则选择创建 Amazon KMS 键,然后打开 Amazon KMS 控制台
。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的创建密钥。 注意
Athena 仅支持读取和写入数据的对称密钥。
-
-
返回 Athena 控制台,选择您通过别名或 ARN 创建的密钥。
-
选择保存。
使用 JDBC 或 ODBC 时对 Athena 查询结果进行加密
如果您使用 JDBC 或 ODBC 驱动程序进行连接,请配置驱动程序选项来指定要使用的加密类型以及 Amazon S3 暂存目录位置。要配置 JDBC 或 ODBC 驱动程序以使用 Athena 支持的任何加密协议加密查询结果,请参阅通过 ODBC 和 JDBC 驱动程序连接到 Amazon Athena。