Athena 中的数据保护 - Amazon Athena
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

Athena 中的数据保护

当您使用 Athena 创建数据库和表时,涉及多种类型的数据。这些数据类型包括 Amazon S3 中存储的源数据、在运行查询或 AWS Glue Crawler 以发现数据时创建的数据库和表的元数据、查询结果数据,以及查询历史记录。本部分介绍每种类型的数据并提供有关保护数据的指导。

  • 源数据 – 您在 Amazon S3 中存储数据库和表的数据,并且 Athena 不修改这些数据。有关详细信息,请参阅 数据保护 Amazon S3Amazon Simple Storage Service 开发人员指南. 您可以控制对您的源数据的访问并在 Amazon S3 中加密这些数据。您可以使用 Athena,在 Amazon S3 中根据加密的数据集创建表

  • 数据库和表元数据(架构)– Athena 使用基于读取的架构技术,这意味着当 Athena 运行查询时,表定义将应用于 Amazon S3 中的数据。您定义的任何架构都会自动保存,除非明确将其删除。在 Athena 中,您可以使用 DDL 语句修改 Data Catalog 元数据。您还可以删除表定义和架构,这不会影响存储在 Amazon S3 上的基础数据。

    注意

    在 Athena 中使用的数据库和表元数据存储在 AWS Glue 数据目录 中。我们强烈建议您升级以便将 AWS Glue 数据目录 与 Athena 结合使用。有关使用 AWS Glue 数据目录,参见 常见问题: 升级到AWS上胶数据目录.

    您可以使用 AWS Identity and Access Management (IAM) 定义对 AWS Glue 数据目录 中注册的数据库和表的精细访问策略。您还可以对 AWS Glue 数据目录中的元数据进行加密。如果您加密元数据,请使用对加密元数据的权限进行访问。

  • 查询结果和查询历史记录,包括保存的查询 – 查询结果存储在 Amazon S3 位置中,您可以选择全局指定该位置,或者为每个工作组指定该位置。如果未指定,Athena 在每个案例中使用默认位置。您可以控制对 Amazon S3 存储桶的访问,您在这些存储桶中存储查询结果和保存的查询。此外,您可以选择加密在 Amazon S3 中存储的查询结果。您的用户必须拥有适当的权限,才能访问 Amazon S3 位置并解密文件。有关更多信息,请参阅本文中的对 Amazon S3 中存储的查询结果进行加密

    Athena 保留查询历史记录 45 天。您可以使用 Athena API、在控制台中以及使用 AWS CLI 查看查询历史记录。要将查询存储超过 45 天时间,请保存查询。要保护对保存的查询的访问,请在 Athena 中使用工作组,仅限只有有权查看保存的查询的用户才能访问它们。