Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltete Abfrageergebnisse
Mit verwalteten Abfrageergebnissen können Sie SQL-Abfragen ausführen, ohne einen Amazon-S3-Bucket für die Speicherung von Abfrageergebnissen bereitzustellen. Dies erspart Ihnen die Bereitstellung, Verwaltung, Steuerung des Zugriffs auf und Bereinigung Ihrer eigenen S3-Buckets. Erstellen Sie zunächst eine neue Arbeitsgruppe oder bearbeiten Sie eine bestehende Arbeitsgruppe. Wählen Sie unter **Konfiguration der Abfrageergebnisse** die Option **verwaltet von Athena** aus.
**Schlüssel-Features**
+ Vereinfacht Ihren Arbeitsablauf, da es nicht mehr erforderlich ist, vor dem Ausführen von Abfragen einen S3-Bucket-Speicherort auszuwählen.
+ Keine zusätzlichen Kosten für die Verwendung verwalteter Abfrageergebnisse und das automatische Löschen von Abfrageergebnissen reduziert den Verwaltungsaufwand und die Notwendigkeit separater Bereinigungsprozesse für S3-Buckets.
+ Einfacher Einstieg: neue und bereits bestehende Arbeitsgruppen können einfach konfiguriert werden, um verwaltete Abfrageergebnisse zu verwenden. Sie können eine Mischung aus von Athena verwalteten und von Kunden verwalteten Abfrageergebnissen in Ihrem AWS Konto haben.
+ Optimierte IAM-Berechtigungen mit Zugriff auf das Durchlesen von Ergebnissen über `GetQueryResults` und `GetQueryResultsStream`, die an einzelne Arbeitsgruppen gebunden sind.
+ Die Abfrageergebnisse werden automatisch mit AWS eigenen Schlüsseln Ihrer Wahl oder kundeneigenen Schlüsseln verschlüsselt.
## Überlegungen und Einschränkungen
****
+ Der Zugriff auf Abfrageergebnisse wird auf Arbeitsgruppenebene in Athena verwaltet. Dazu benötigen Sie explizite Berechtigungen für `GetQueryResults` und `GetQueryResultsStream` IAM-Aktionen für die jeweilige Arbeitsgruppe. Die `GetQueryResults`-Aktion bestimmt, wer die Ergebnisse einer abgeschlossenen Abfrage in einem paginierten Format abrufen kann, während die `GetQueryResultsStream`-Aktion bestimmt, wer die Ergebnisse einer abgeschlossenen Abfrage streamen kann (häufig von Athena-Treibern verwendet).
+ Sie können keine Abfrageergebnisdateien, die größer als 200 MB sind, von der Konsole herunterladen. Verwenden Sie die `UNLOAD`-Anweisung, um Ergebnisse, die größer als 200 MB sind, an einen Speicherort zu schreiben, den Sie separat herunterladen können.
+ Die Feature für verwaltete Abfrageergebnisse unterstützt die [Wiederverwendung von Abfrageergebnissen](reusing-query-results.md) nicht.
+ Abfrageergebnisse sind 24 Stunden lang verfügbar. Die Abfrageergebnisse werden während dieses Zeitraums kostenlos für Sie gespeichert. Nach Ablauf dieses Zeitraums werden die Abfrageergebnisse automatisch gelöscht.
## Arbeitsgruppe mit verwalteten Abfrageergebnissen erstellen oder bearbeiten
Um über die Konsole eine Arbeitsgruppe zu erstellen oder eine bestehende Arbeitsgruppe mit verwalteten Abfrageergebnissen zu aktualisieren:
1. Öffnen Sie die Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/).
1. Wählen Sie im linken Navigationsbereich **Arbeitsgruppen** aus.
1. Wählen Sie **Arbeitsgruppe erstellen**, um eine neue Arbeitsgruppe zu erstellen oder eine bestehende Arbeitsgruppe aus der Liste zu bearbeiten.
1. Wählen Sie unter **Konfiguration der Abfrageergebnisse** die Option **verwaltet von Athena** aus.
![\[Das Konfigurationsmenü für Abfrageergebnisse.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/athena-managed.png)
1. Wählen Sie unter **Abfrageergebnisse verschlüsseln** die gewünschte Verschlüsselungsoption aus. Weitere Informationen finden Sie unter [Verschlüsselung der Abfrageergebnisse auswählen](#managed-query-results-encryption-at-rest).
1. Geben Sie alle anderen erforderlichen Details ein und wählen Sie **Änderungen speichern**.
## Verschlüsselung der Abfrageergebnisse auswählen
Es gibt zwei Optionen für die Verschlüsselungskonfiguration:
+ **Mit einem AWS eigenen Schlüssel verschlüsseln** — Dies ist die Standardoption, wenn Sie verwaltete Abfrageergebnisse verwenden. Wählen Sie diese Option, wenn Sie möchten, dass Abfrageergebnisse mit einem AWS eigenen Schlüssel verschlüsselt werden.
+ **Mit einem vom Kunden verwalteten Schlüssel verschlüsseln** – Wählen Sie diese Option, wenn Sie Abfrageergebnisse mit einem vom Kunden verwalteten Schlüssel ver- und entschlüsseln möchten. Um einen vom Kunden verwalteten Schlüssel zu verwenden, fügen Sie den Athena-Service zum Prinzipal-Element des Abschnitts der Schlüsselrichtlinie hinzu. Weitere Informationen finden Sie unter [Richten Sie eine AWS KMS Schlüsselrichtlinie für verwaltete Abfrageergebnisse ein](#managed-query-results-set-up). Um Abfragen erfolgreich auszuführen, benötigt der Benutzer, der Abfragen ausführt, die Berechtigung, auf den AWS KMS Schlüssel zuzugreifen.
## Richten Sie eine AWS KMS Schlüsselrichtlinie für verwaltete Abfrageergebnisse ein
Der `Principal`-Abschnitt über die Schlüsselrichtlinie gibt an, wer diesen Schlüssel verwenden kann. Mit der Feature für verwaltete Abfrageergebnisse wird der Prinzipal `encryption.athena.amazonaws.com` eingeführt, den Sie in dem `Principal`-Abschnitt angeben müssen. Dieser Service-Principal ist speziell für den Zugriff auf Schlüssel vorgesehen, die nicht Athena gehören. Sie müssen auch die `kms:Decrypt`, `kms:GenerateDataKey` und `kms:DescribeKey`-Aktionen zur Schlüsselrichtlinie hinzufügen, die Sie für den Zugriff auf verwaltete Ergebnisse verwenden. Diese drei Aktionen sind die minimal zulässigen Aktionen.
Verwaltete Abfrageergebnisse verwenden Ihren Arbeitsgruppen-ARN für den [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context). Da es sich bei dem `Principal` Abschnitt um einen AWS Dienst handelt, müssen Sie auch die wichtigsten Richtlinienbedingungen hinzufügen `aws:sourceArn` und `aws:sourceAccount` ergänzen. Das folgende Beispiel zeigt eine AWS KMS wichtige Richtlinie mit Mindestberechtigungen für eine einzelne Arbeitsgruppe.
```
{
"Sid": "Allow athena service principal to use the key",
"Effect": "Allow",
"Principal": {
"Service": "encryption.athena.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:{account-id}:key/{key-id}",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:athena:arn": "arn:aws:athena:us-east-1:{account-id}:workgroup/{workgroup-name}",
"aws:SourceArn": "arn:aws:athena:us-east-1:{account-id}:workgroup/{workgroup-name}"
},
"StringEquals": {
"aws:SourceAccount": "{account-id}"
}
}
```
Das folgende Beispiel für eine AWS KMS Schlüsselrichtlinie ermöglicht es allen Arbeitsgruppen innerhalb desselben Kontos*account-id*, denselben Schlüssel zu verwenden. AWS KMS
```
{
"Sid": "Allow athena service principal to use the key",
"Effect": "Allow",
"Principal": {
"Service": "encryption.athena.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:account-id:key/{key-id}",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:athena:arn": "arn:aws:athena:us-east-1:account-id:workgroup/*",
"aws:SourceArn": "arn:aws:athena:us-east-1:account-id:workgroup/*"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
}
}
}
```
Zusätzlich zu den Athena- und Amazon S3-Berechtigungen benötigen Sie auch Durchführungs `kms:GenerateDataKey` - und `kms:Decrypt` Aktionsberechtigungen. Weitere Informationen finden Sie unter [Berechtigungen für verschlüsselte Daten in Amazon S3](encryption.md#permissions-for-encrypting-and-decrypting-data).
Weitere Informationen zur Verschlüsselung verwalteter Abfrageergebnisse finden Sie unter [Verwaltete Abfrageergebnisse verschlüsseln](encrypting-managed-results.md).
# Verwaltete Abfrageergebnisse verschlüsseln
Athena bietet die folgenden Optionen für die Verschlüsselung von [Verwaltete Abfrageergebnisse](managed-results.md) an.
## Verschlüsseln Sie mit einem eigenen Schlüssel AWS
Das ist die Standardoption bei Verwendung von verwalteten Abfrageergebnissen. Diese Option gibt an, dass Sie Abfrageergebnisse mit einem AWS eigenen Schlüssel verschlüsseln möchten. AWS Eigene Schlüssel werden nicht in Ihrem AWS Konto gespeichert und sind Teil einer Sammlung von KMS-Schlüsseln, die AWS Eigentümer sind. Wenn Sie AWS eigene Schlüssel verwenden, wird Ihnen keine Gebühr berechnet, und sie werden nicht auf die AWS KMS Kontingente für Ihr Konto angerechnet.
## Verschlüsseln Sie mit einem vom AWS KMS Kunden verwalteten Schlüssel
Vom Kunden verwaltete Schlüssel sind die KMS-Schlüssel in Ihrem AWS Konto, die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel, einschließlich der Festlegung und Pflege ihrer wichtigsten Richtlinien, IAM-Richtlinien und Unterstützungen. Aktivieren und Deaktivieren; Drehen ihres kryptographischen Materials; Hinzufügen von Tags; Erstellen von Aliasen, die auf sie verweisen; und sie zum Löschen planen. Weitere Informationen finden Sie unter [Kundenseitig verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
## So verwendet Athena vom Kunden verwalteten Schlüssel zur Verschlüsselung von Ergebnissen
Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, verwendet Athena ihn, um die Abfrageergebnisse zu verschlüsseln, wenn sie in verwalteten Abfrageergebnissen gespeichert werden. Derselbe Schlüssel wird verwendet, um die Ergebnisse zu entschlüsseln, wenn Sie `GetQueryResults` aufrufen. Wenn Sie den Status des vom Kunden verwalteten Schlüssels auf deaktiviert setzen oder dessen Löschung planen, verhindert dies, dass Athena und alle Benutzer Ergebnisse mit diesem Schlüssel verschlüsseln oder entschlüsseln können.
Athena verwendet Umschlagverschlüsselung und Schlüsselhierarchie, um Daten zu verschlüsseln. Ihr AWS KMS -Verschlüsselungsschlüssel wird verwendet, um den Stammschlüssel dieser Schlüsselhierarchie zu erzeugen und zu verschlüsseln.
Jedes Ergebnis wird mit dem vom Kunden verwalteten Schlüssel verschlüsselt, der zum Zeitpunkt der Verschlüsselung in der Arbeitsgruppe konfiguriert war. Wenn Sie den Schlüssel auf einen anderen vom Kunden verwalteten Schlüssel oder auf einen AWS eigenen Schlüssel ändern, werden die vorhandenen Ergebnisse nicht erneut mit dem neuen Schlüssel verschlüsselt. Das Löschen und Deaktivieren eines bestimmten vom Kunden verwalteten Schlüssels wirkt sich nur auf die Entschlüsselung der Ergebnisse aus, die mit dem Schlüssel verschlüsselt wurden.
Athena benötigt Zugriff auf Ihren Verschlüsselungsschlüssel, um `kms:Decrypt`, `kms:GenerateDataKey` und `kms:DescribeKey`-Operationen zum Verschlüsseln und Entschlüsseln von Ergebnissen durchzuführen. Weitere Informationen finden Sie unter [Berechtigungen für verschlüsselte Daten in Amazon S3](encryption.md#permissions-for-encrypting-and-decrypting-data).
Der Prinzipal, der die Abfrage über die `StartQueryExecution`-API einreicht und Ergebnisse liest mithilfen von `GetQueryResults`, muss zusätzlich zu den Berechtigungen Athena und Amazon S3 auch über Berechtigungen für den vom Kunden verwalteten Schlüssel für `kms:Decrypt`, `kms:GenerateDataKey` und `kms:DescribeKey`-Operationen verfügen. Weitere Informationen finden Sie unter [Wichtige Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) unter. AWS KMS