Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
从 CSE-KMS 迁移到 SSE-KMS
您可以通过以下两种方式指定 CSE-KMS 加密:在工作组查询结果加密配置过程中以及在客户端设置中。有关更多信息,请参阅 加密在 Amazon S3 中存储的 Athena 查询结果。在迁移过程中,务必要审计读写 CSE-KMS 数据的现有工作流,确定配置了 CSE-KMS 的工作组,并找到通过客户端参数设置了 CSE-KMS 的实例。
更新工作组查询结果加密设置
- Console
在 Athena 控制台中更新加密设置
-
从 https://console.aws.amazon.com/athena/ 打开 Athena 控制台。
-
在 Athena 控制台导航窗格中,选择 Workgroups(工作组)。
在 Workgroups(工作组)页面上,选择要编辑的工作组的按钮。
-
选择 Actions(操作)和 Edit(编辑)。
打开查询结果配置,然后选择加密查询结果。
对于加密类型部分,选择 SSE_KMS 加密选项。
-
在选择其他 Amazon KMS 密钥(高级)下,输入您的 KMS 密钥。
-
选择 Save changes(保存更改)。已更新的工作组显示在 Workgroups (工作组)页面上的列表中。
- CLI
运行以下命令,将查询结果加密配置更新为工作组中的 SSE-KMS。
aws athena update-work-group \
--work-group "my-workgroup" \
--configuration-updates '{
"ResultConfigurationUpdates": {
"EncryptionConfiguration": {
"EncryptionOption": "SSE_KMS",
"KmsKey": "<my-kms-key>"
}
}
}'
更新客户端查询结果加密设置
- Console
要将客户端查询结果加密设置从 CSE-KMS 更新为 SSE-KMS,请参阅加密在 Amazon S3 中存储的 Athena 查询结果。
- CLI
您只能使用 start-query-execution 命令在客户端设置中指定查询结果加密配置。如果您运行此 CLI 命令并覆盖您在工作组中使用 CSE-KMS 指定的查询结果加密配置,请按如下所示,更改命令以使用 SSE_KMS 加密查询结果。
aws athena start-query-execution \
--query-string "SELECT * FROM <my-table>;" \
--query-execution-context "Database=<my-database>,Catalog=<my-catalog>" \
--result-configuration '{
"EncryptionConfiguration": {
"EncryptionOption": "SSE_KMS",
"KmsKey": "<my-kms-key>"
}
}' \
--work-group "<my-workgroup>"