# 为工作组配置最低加密
<a name="workgroups-minimum-encryption"></a>

作为 Athena SQL 工作组的管理员，您可以在 Amazon S3 中对该工作组的所有查询结果强制执行最低级别的加密。您可以使用此功能确保查询结果永远不会以未加密状态存储在 Amazon S3 存储桶中。

当启用最低加密功能的工作组中的用户提交查询时，他们只能将加密设置为您配置的最低级别，或者如果有更高的加密级别，则只能设置为更高的级别。Athena 在用户运行查询时指定的级别或工作组中设置的级别对查询结果进行加密。

可用级别如下：
+ **基础**：使用 Amazon S3 托管式密钥（**SSE\_S3**）的 Amazon S3 服务器端加密。
+ **中级** – 使用 KMS 托管式密钥（**SSE\_KMS**）的服务器端加密。
+ **高级** - 使用 KMS 托管式密钥（**CSE\_KMS**）的客户端加密。

## 注意事项和限制
<a name="workgroups-minimum-encryption-considerations-and-limitations"></a>
+ 最低加密功能不适用于启用 Apache Spark 的工作组。
+ 只有当工作组未启用**[覆盖客户端设置](https://docs.amazonaws.cn/athena/latest/ug/workgroups-settings-override.html)**选项时，最低加密功能才起作用。
+ 如果工作组启用了**覆盖客户端设置**选项，则以工作组加密设置为准，最低加密设置无效。
+ 启用此功能不收取任何费用。

## 为工作组启用最低加密
<a name="workgroups-minimum-encryption-enabling"></a>

在创建或更新工作组时，您可以为 Athena SQL 工作组的查询结果启用最低加密级别。为此，您可以使用 Athena 控制台、Athena API 或 Amazon CLI。

### 使用 Athena 控制台启用最低加密
<a name="workgroups-minimum-encryption-enabling-using-the-athena-console"></a>

要开始使用 Athena 控制台创建或编辑工作组，请参阅[创建工作组](https://docs.amazonaws.cn/athena/latest/ug/workgroups-create-update-delete.html#creating-workgroups)或[编辑工作组](https://docs.amazonaws.cn/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups)。配置工作组时，请使用以下步骤启用最低加密。

**为工作组查询结果配置最低加密级别**

1. 清除**覆盖客户端设置**选项，或者确认该选项未被选中。

1. 选择**加密查询结果**选项。

1. 对于**加密类型**，选择您希望 Athena 用于工作组查询结果的加密方法（**SSE\_S3**、**SSE\_KMS** 或 **CSE\_KMS**）。这些加密类型对应于基础、中级和高级安全级别。

1. 要对所有用户强制使用您选择的最低加密级别的加密方法，请选择**将 {{encryption\_method}} 设置为最低加密**。

   当您选择此选项时，系统将显示一个表格，显示在您选择的加密类型变为最低加密类型时允许用户使用的加密层次结构和加密级别。

1. 创建工作组或更新工作组配置后，选择**创建工作组**或**保存更改**。

### 使用 Athena API 或 Amazon CLI 启用最低加密
<a name="workgroups-minimum-encryption-enabling-using-the-athena-api-or-cli"></a>

当您使用 [CreateWorkGroup](https://docs.amazonaws.cn/athena/latest/APIReference/API_CreateWorkGroup.html) 或 [UpdateWorkGroup](https://docs.amazonaws.cn/athena/latest/APIReference/API_UpdateWorkGroup.html) API 创建或更新 Athena SQL 工作组时，请将 [EnforceWorkGroupConfiguration](https://docs.amazonaws.cn/athena/latest/APIReference/API_WorkGroupConfiguration.html#athena-Type-WorkGroupConfiguration-EnforceWorkGroupConfiguration) 设置为 `false`，将 [EnableMinimumEncryptionConfiguration](https://docs.amazonaws.cn/athena/latest/APIReference/API_WorkGroupConfiguration.html#athena-Type-WorkGroupConfiguration-EnableMinimumEncryptionConfiguration) 设置为 `true`，并使用 [EncryptionOption](https://docs.amazonaws.cn/athena/latest/APIReference/API_EncryptionConfiguration.html#athena-Type-EncryptionConfiguration-EncryptionOption) 指定加密类型。

在 Amazon CLI 中，使用带有 `--configuration` 或 `--configuration-updates` 参数的 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/create-work-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/create-work-group.html) 或 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/update-work-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/athena/update-work-group.html) 命令，并指定与 API 对应的选项。