加密存储在 Amazon S3 中的查询结果 - Amazon Athena
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

加密存储在 Amazon S3 中的查询结果

使用 Athena 控制台设置查询结果加密。使用工作组可以强制对查询结果实施加密。

如果您使用 JDBC 或 ODBC 驱动程序进行连接,请配置驱动程序选项来指定要使用的加密类型以及 Amazon S3 暂存目录位置。要配置 JDBC 或 ODBC 驱动程序以使用 Athena 支持的任何加密协议加密查询结果,请参阅使用 ODBC 和 JDBC 驱动程序连接到 Amazon Athena

您可以通过两种方式配置对查询结果加密的设置:

  • 客户端设置 – 当您在控制台中使用 Settings (设置) 或者 API 操作来指示您希望加密查询结果时,这称为使用客户端设置。客户端设置包括查询结果位置和加密。如果您指定这些内容,则除非工作组设置进行覆盖,否则将使用它们。

  • 工作组设置 – 当您创建或编辑工作组并选择 Override client-side settings (覆盖客户端设置) 字段时,此工作组中运行的所有查询均使用工作组设置。有关更多信息,请参阅工作组设置覆盖客户端设置。工作组设置包括查询结果位置和加密。

使用控制台加密存储在 Amazon S3 中的查询结果

重要

如果您的工作组选中了 Override client-side settings (覆盖客户端设置) 字段,则查询使用工作组设置。不使用在 Settings (设置) 中列出的加密配置和查询结果位置、API 操作及驱动程序。有关更多信息,请参阅工作组设置覆盖客户端设置

  1. 在 Athena 控制台中,选择 Settings (设置)

  2. 对于 Query result location,输入自定义值或保留默认值。这是存储查询结果的 Amazon S3 暂存目录。

  3. 选择 Encrypt query results

  4. 对于 Encryption type,选择 CSE-KMSSSE-KMSSSE-S3

  5. 如果您选择了 SSE-KMSCSE-KMS,则指定 Encryption key (加密密钥)

    • 如果您的账户有权访问现有 AWS KMS 客户管理的密钥 (CMK),请选择其别名,或选择 Enter a KMS key ARN (输入 KMS 密钥 ARN),然后输入 ARN。

    • 如果您的帐户无权访问现有 AWS KMS 客户管理密钥(CMK),选择 创建KMS密钥,然后打开 AWSKMS控制台。 在导航窗格中,选择 AWS managed keys (AWS 托管密钥)。有关详细信息,请参阅 创建密钥AWS Key Management Service Developer Guide.

      注意

      Athena 仅支持读取和写入数据的对称密钥。

  6. 返回 Athena 控制台,按别名或 ARN 指定密钥,如上一步中所述。

  7. 选择 Save (保存)