加密在 Amazon S3 中存储的 Athena 查询结果 - Amazon Athena
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

加密在 Amazon S3 中存储的 Athena 查询结果

使用 Athena 控制台或使用 JDBC 或 ODBC 时设置查询结果加密。使用工作组可以强制对查询结果实施加密。

注意

加密查询结果时,Athena 会加密由查询写入的所有对象。这包括 INSERT INTOUPDATE 等语句以及对 Iceberg 或其他格式数据的查询结果。

在控制台中,您可以通过两种方式配置对查询结果加密的设置:

  • 客户端设置 - 当您在控制台中使用 Settings(设置) 或者 API 操作来指示您希望加密查询结果时,这称为使用客户端设置。客户端设置包括查询结果位置和加密。如果您指定这些内容,则除非工作组设置进行覆盖,否则将使用它们。

  • Workgroup settings(工作组设置)– 当您创建或编辑工作组并选择 Override client-side settings(覆盖客户端设置)字段时,此工作组中运行的所有查询均使用工作组设置和查询结果位置设置。有关更多信息,请参阅 Override client-side settings (覆盖客户端设置)

使用控制台加密在 Amazon S3 中存储的查询结果
重要

如果工作组中的 Override client-side settings(覆盖客户端设置)字段已被选中,则工作组中的所有查询均使用工作组设置。不使用在 Athena 控制台中的 Settings(设置)选项卡上通过 API 操作及通过 JDBC 和 ODBC 驱动程序指定的加密配置和查询结果位置。有关更多信息,请参阅 Override client-side settings (覆盖客户端设置)

  1. 在 Athena 控制台中,选择 Settings(设置)。

    Athena 查询编辑器的设置选项卡。
  2. 选择管理

  3. Location of query result(查询结果位置)中,输入或选择 Amazon S3 路径。这是存储查询结果的 Amazon S3 位置。

  4. 选择 Encrypt query results

    Athena 控制台管理设置页面上的加密查询结果选项。
  5. 对于 Encryption type,选择 CSE-KMSSSE-KMSSSE-S3。在这三者中,CSE-KMS 提供的加密级别最高,SSE-S3 提供的加密级别最低。

  6. 如果您选择了 SSE-KMSCSE-KMS,则指定 Amazon KMS 密钥。

    • 对于选择 Amazon KMS 键,如果您的账户有权访问某个现有的 Amazon KMS 客户自主管理型密钥(CMK),则选择其别名,或输入一个 Amazon KMS 键 ARN。

    • 如果您的账户无权访问任何现有的客户自主管理型密钥(CMK),则选择创建 Amazon KMS 键,然后打开 Amazon KMS 控制台。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的创建密钥

      注意

      Athena 仅支持读取和写入数据的对称密钥。

  7. 返回 Athena 控制台,选择您通过别名或 ARN 创建的密钥。

  8. 选择保存

使用 JDBC 或 ODBC 时对 Athena 查询结果进行加密

如果您使用 JDBC 或 ODBC 驱动程序进行连接,请配置驱动程序选项来指定要使用的加密类型以及 Amazon S3 暂存目录位置。要配置 JDBC 或 ODBC 驱动程序以使用 Athena 支持的任何加密协议加密查询结果,请参阅通过 ODBC 和 JDBC 驱动程序连接到 Amazon Athena