# 密钥管理
<a name="key-management"></a>

Amazon Athena 支持使用 Amazon Key Management Service (Amazon KMS) 来加密 Amazon S3 和 Athena 查询结果中的数据集。Amazon KMS 使用客户自主管理型密钥加密 Amazon S3 对象，并依赖于[信封加密](https://docs.amazonaws.cn/kms/latest/developerguide/concepts.html#enveloping)。

在 Amazon KMS 中，您可以执行以下操作：
+  [创建密钥](https://docs.amazonaws.cn/kms/latest/developerguide/create-keys.html) 
+  [为新的客户自主管理型密钥导入您自己的密钥材料](https://docs.amazonaws.cn/kms/latest/developerguide/importing-keys.html) 

**注意**  
Athena 仅支持读取和写入数据的对称密钥。

有关更多信息，请参阅《Amazon Key Management Service 开发人员指南**》中的[什么是 Amazon Key Management Service](https://docs.amazonaws.cn/kms/latest/developerguide/overview.html) 和 [Amazon Simple Storage Service 如何使用 Amazon KMS](https://docs.amazonaws.cn/kms/latest/developerguide/services-s3.html)。要查看账户中 Amazon 为您创建和管理的密钥，请在导航窗格中选择 **Amazon 托管式密钥**。

如果您要上载或访问使用 SSE-KMS 加密的对象，请使用 Amazon 签名版本 4 来提高安全性。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南**》中的 [在请求身份验证中指定签名版本](https://docs.amazonaws.cn/AmazonS3/latest/userguide/UsingAWSSDK.html#specify-signature-version)。

如果您的 Athena 工作负载加密大量数据，您可以使用 Amazon S3 存储桶密钥来降低成本。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南**》中的 [使用 Amazon S3 存储桶密钥降低 SSE-KMS 的成本](https://docs.amazonaws.cn/AmazonS3/latest/userguide/bucket-key.html)。