本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加密存储在 Amazon S3 中的查询结果
使用 Athena 控制台设置查询结果加密。使用工作组可以强制对查询结果实施加密。
如果您使用 JDBC 或 ODBC 驱动程序进行连接,请配置驱动程序选项来指定要使用的加密类型以及 Amazon S3 暂存目录位置。要配置 JDBC 或 ODBC 驱动程序以使用 Athena 支持的任何加密协议加密查询结果,请参阅使用 ODBC 和 JDBC 驱动程序连接到 Amazon Athena。
您可以通过两种方式配置对查询结果加密的设置:
-
客户端设置 – 当您在控制台中使用 Settings (设置) 或者 API 操作来指示您希望加密查询结果时,这称为使用客户端设置。客户端设置包括查询结果位置和加密。如果您指定这些内容,则除非工作组设置进行覆盖,否则将使用它们。
-
工作组设置 – 当您创建或编辑工作组并选择 Override client-side settings (覆盖客户端设置) 字段时,此工作组中运行的所有查询均使用工作组设置。有关更多信息,请参阅工作组设置覆盖客户端设置。工作组设置包括查询结果位置和加密。
使用控制台加密存储在 Amazon S3 中的查询结果
如果您的工作组选中了 Override client-side settings (覆盖客户端设置) 字段,则查询使用工作组设置。不使用在 Settings (设置) 中列出的加密配置和查询结果位置、API 操作及驱动程序。有关更多信息,请参阅工作组设置覆盖客户端设置。
-
在 Athena 控制台中,选择 Settings (设置)。
-
对于 Query result location,输入自定义值或保留默认值。这是存储查询结果的 Amazon S3 暂存目录。
-
选择 Encrypt query results。
-
对于 Encryption type,选择 CSE-KMS、SSE-KMS 或 SSE-S3。
-
如果您选择了 SSE-KMS 或 CSE-KMS,则指定 Encryption key (加密密钥)。
-
如果您的账户有权访问现有 AWS KMS 客户管理的密钥 (CMK),请选择其别名,或选择 Enter a KMS key ARN (输入 KMS 密钥 ARN),然后输入 ARN。
-
如果您的账户无权访问现有 AWS KMS 客户托管密钥 (CMK),请选择 Create KMS key (创建 KMS 密钥),然后打开 AWS KMS console (AWS KMS 控制台)
。在导航窗格中,选择 AWS managed keys (AWS 托管密钥)。有关更多信息,请参阅 https://docs.amazonaws.cn/kms/latest/developerguide/create-keys.html 中的创建密钥AWS Key Management Service Developer Guide。 注意 Athena 仅支持读取和写入数据的对称密钥。
-
-
返回 Athena 控制台,按别名或 ARN 指定密钥,如上一步中所述。
-
选择 Save。