Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrement au repos
Vous pouvez exécuter des requêtes dans Amazon Athena sur des données chiffrées dans Simple Storage Service (Amazon S3) dans la même région et dans un nombre limité de régions. Vous pouvez également chiffrer les résultats des requêtes dans Amazon S3 et les données du catalogue de AWS Glue données.
Vous pouvez chiffrer les ressources suivantes dans Athena :
+ Les résultats de toutes les requêtes dans Simple Storage Service (Amazon S3), que Athena stocke dans un emplacement appelé emplacement des résultats Simple Storage Service (Amazon S3). Vous pouvez chiffrer les résultats des requêtes stockés dans Simple Storage Service (Amazon S3), que le jeu de données sous-jacent soit chiffré dans Simple Storage Service (Amazon S3) ou non. Pour plus d'informations, consultez [Chiffrement des résultats de requêtes Athena stockés dans Amazon S3](encrypting-query-results-stored-in-s3.md).
+ Les données du catalogue AWS Glue de données. Pour plus d'informations, consultez [Autorisations d'accès aux métadonnées chiffrées dans le AWS Glue Catalogue de données](#glue-encryption).
**Note**
Lorsque vous lisez une table chiffrée à l’aide d’Athena, ce service n’utilise pas l’option de chiffrement des résultats des requêtes, mais les options de chiffrement spécifiées pour les données de la table. Si des méthodes ou des clés de chiffrement distinctes sont configurées pour les résultats des requêtes et les données des tables, Athena lit les données des tables sans utiliser l’option de chiffrement et la clé utilisées pour chiffrer ou déchiffrer les résultats des requêtes.
Toutefois, si vous utilisez Athena pour insérer des données dans une table contenant des données chiffrées, les données insérées sont chiffrées à l’aide de la configuration de chiffrement spécifiée pour les résultats des requêtes. Par exemple, si vous spécifiez le `CSE_KMS` chiffrement pour les résultats de requête, Athena utilise le même identifiant de AWS KMS clé que celui que vous avez utilisé pour le chiffrement des résultats de requête pour chiffrer les données de table insérées. `CSE_KMS`
**Topics**
+ [Options de chiffrement Simple Storage Service (Amazon S3) prises en charge](#encryption-options-S3-and-Athena)
+ [Autorisations pour les données chiffrées dans Simple Storage Service (Amazon S3)](#permissions-for-encrypting-and-decrypting-data)
+ [Autorisations d'accès aux métadonnées chiffrées dans le AWS Glue Catalogue de données](#glue-encryption)
+ [Migrer de CSE-KMS vers SSE-KMS](migrating-csekms-ssekms.md)
+ [Chiffrement des résultats de requêtes Athena stockés dans Amazon S3](encrypting-query-results-stored-in-s3.md)
+ [Création de tables basées sur des jeux de données chiffrés dans Amazon S3](creating-tables-based-on-encrypted-datasets-in-s3.md)
## Options de chiffrement Simple Storage Service (Amazon S3) prises en charge
Athena prend en charge les options de chiffrement suivantes pour les jeux de données et les résultats des requêtes dans Simple Storage Service (Amazon S3).
| Type de chiffrement | Description | Cross-Region soutien |
| --- | --- | --- |
| [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) | Chiffrement côté serveur (SSE) avec une S3-managed clé Amazon. | Oui |
| [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) (Recommandé) | Server-side chiffrement (SSE) avec une clé gérée par AWS Key Management Service le client. | Oui |
| [CSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-kms-managed-master-key-intro) | Client-side chiffrement (CSE) avec une clé gérée par AWS KMS le client. Dans Athena, cette option nécessite que vous utilisiez une `CREATE TABLE` instruction avec une `TBLPROPERTIES` clause qui spécifie `'has_encrypted_data'='true'` ou `'encryption_option'='CSE_KMS'` avec. `'kms_key'='kms_key_arn'` Pour de plus amples informations, veuillez consulter [Création de tables basées sur des jeux de données chiffrés dans Amazon S3](creating-tables-based-on-encrypted-datasets-in-s3.md). | Non |
Pour plus d'informations sur AWS KMS le chiffrement avec Amazon S3, consultez [What is AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) and [how Amazon Simple Storage Service (Amazon S3) AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-s3.html) uses dans *AWS Key Management Service le manuel du* développeur. *Pour plus d'informations sur l'utilisation SSE-KMS ou CSE-KMS avec Athena, consultez [Launch : Amazon Athena ajoute la prise en charge de l'interrogation de données chiffrées à partir du AWS blog](https://aws.amazon.com/blogs/aws/launch-amazon-athena-adds-support-for-querying-encrypted-data/) Big Data.*
### Recommandations relatives au chiffrement
Lorsque vous chiffrez et déchiffrez des données de table et des résultats de requêtes à l'aide de clés KMS gérées par le client, nous vous recommandons d'utiliser le chiffrement ou des méthodes de SSE-KMS chiffrement. SSE-S3 CSE-KMS SSE-KMS offre un équilibre entre contrôle, simplicité et performances qui en fait une méthode recommandée lorsque vous utilisez des clés KMS gérées pour le chiffrement des données.
**Avantages de SSE-KMS plus de SSE-S3**
+ SSE-KMS vous permet de spécifier et de gérer vos propres clés, offrant ainsi un meilleur contrôle. Vous pouvez définir des stratégies de clé, superviser les cycles de vie des clés et surveiller l’utilisation des clés.
**Avantages de SSE-KMS plus de CSE-KMS**
+ SSE-KMS élimine le besoin d'une infrastructure supplémentaire pour chiffrer et déchiffrer les données, contrairement à CSE-KMS ce qui nécessite la maintenance continue d'un client de chiffrement S3.
+ CSE-KMS peut rencontrer des problèmes de compatibilité entre les nouveaux et les anciens clients de chiffrement S3 en raison de l'évolution des algorithmes de chiffrement, ce qui permet d' SSE-KMS éviter un problème.
+ SSE-KMS effectue moins d'appels d'API vers le service KMS pour récupérer les clés pendant les processus de chiffrement et de déchiffrement, ce qui se traduit par de meilleures performances par rapport à. CSE-KMS
### Options non prises en charge
Les options de chiffrement suivantes ne sont pas prises en charge :
+ SSE avec les clés fournies par le client ()SSE-C.
+ Client-side chiffrement à l'aide d'une clé gérée côté client.
+ Clés asymétriques.
Pour comparer les options de chiffrement Simple Storage Service (Amazon S3), consultez la section [Protection des données à l'aide d'un chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) dans le *Guide de l'utilisateur Amazon Simple Storage Service*.
### Outils de chiffrement côté client
Pour le chiffrement côté client, deux outils sont disponibles :
+ [Client de chiffrement Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AWSJavaSDK/latest/javadoc/com/amazonaws/services/s3/AmazonS3EncryptionClient.html) : cet outil permet de chiffrer les données pour Simple Storage Service (Amazon S3) uniquement et est pris en charge par Athena.
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)— Le SDK peut être utilisé pour chiffrer des données n'importe où, AWS mais il n'est pas directement pris en charge par Athena.
Ces outils ne sont pas compatibles, et les données chiffrées à l’aide de l’un des outils ne peuvent pas être déchiffrées avec l’autre. Athena ne prend en charge directement que le client de chiffrement Simple Storage Service (Amazon S3). Si vous utilisez le kit SDK pour chiffrer vos données, vous pouvez exécuter des requêtes depuis Athena, mais les données sont renvoyées sous forme de texte chiffré.
Si vous souhaitez utiliser Athena pour interroger des données qui ont été chiffrées à l'aide du kit SDK de chiffrement AWS , vous devez télécharger et déchiffrer vos données, puis les chiffrer à nouveau à l'aide du client de chiffrement Simple Storage Service (Amazon S3).
## Autorisations pour les données chiffrées dans Simple Storage Service (Amazon S3)
Selon le type de chiffrement utilisé dans Amazon S3, vous devrez peut-être ajouter des autorisations, également appelées actions « Autoriser », aux politiques utilisées dans Athena :
+ **SSE-S3**— Si vous l'utilisez SSE-S3 pour le chiffrement, les utilisateurs d'Athena n'ont besoin d'aucune autorisation supplémentaire dans leurs politiques. Il suffit de disposer des autorisations Simple Storage Service (Amazon S3) appropriées pour l'emplacement Simple Storage Service (Amazon S3) approprié et pour les actions Athena. Pour plus d'informations sur les politiques qui accordent les autorisations Athena et Amazon S3 appropriées, consultez [AWS politiques gérées pour Amazon Athena](security-iam-awsmanpol.md) et [Contrôle de l’accès à Amazon S3 depuis Athena](s3-permissions.md).
+ **AWS KMS**— Si vous l'utilisez AWS KMS pour le chiffrement, les utilisateurs d'Athena doivent être autorisés à effectuer des AWS KMS actions spécifiques en plus des autorisations Athena et Amazon S3. Vous pouvez autoriser ces actions en modifiant la stratégie de clé applicable aux clés gérées par le client utilisées pour chiffrer les données dans Amazon S3. Pour ajouter des utilisateurs clés aux politiques AWS KMS clés appropriées, vous pouvez utiliser la AWS KMS console à l'adresse [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms). Pour plus d'informations sur la façon d'ajouter un utilisateur à une politique AWS KMS clé, voir [Autoriser les utilisateurs clés à utiliser la clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) dans le *Guide du AWS Key Management Service développeur*.
**Note**
Les administrateurs de politiques de clés avancées peuvent adapter les politiques de clés. `kms:Decrypt` est l'action minimale autorisée pour qu'un utilisateur d'Athena puisse travailler avec un jeu de données chiffrées. Pour utiliser des résultats de requête chiffrés, les actions minimales autorisées sont `kms:GenerateDataKey` et `kms:Decrypt`.
Lorsque vous utilisez Athena pour interroger des ensembles de données dans Amazon S3 contenant un grand nombre d'objets chiffrés AWS KMS, cela AWS KMS peut limiter les résultats des requêtes. Ceci est plus probable lorsqu'il y a un grand nombre de petits objets. Athena collecte les requêtes de nouvelles tentatives, mais une erreur de limitation peut encore se produire. Si vous travaillez avec un grand nombre d'objets chiffrés et que vous rencontrez ce problème, une option consiste à activer les clés de compartiment Simple Storage Service (Amazon S3) pour réduire le nombre d'appels vers KMS. Pour plus d'informations, consultez la section [Réduction du coût SSE-KMS des clés de compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*. Une autre option consiste à augmenter vos quotas de service pour AWS KMS. Pour de plus amples informations, veuillez consulter [Quotas](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html#requests-per-second) dans le *Guide du développeur AWS Key Management Service *.
Pour obtenir des informations de dépannage sur les autorisations lors de l'utilisation de Simple Storage Service (Amazon S3) avec Athena, voir la section [Permissions](troubleshooting-athena.md#troubleshooting-athena-permissions) de la rubrique [Résolution des problèmes dans Athena](troubleshooting-athena.md).
## Autorisations d'accès aux métadonnées chiffrées dans le AWS Glue Catalogue de données
Si vous [chiffrez des métadonnées dans le AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/encrypt-glue-data-catalog.html), vous devez ajouter `"kms:GenerateDataKey"``"kms:Decrypt"`, et des `"kms:Encrypt"` actions aux politiques que vous utilisez pour accéder à Athena. Pour plus d'informations, consultez [Configurez l'accès depuis Athena aux métadonnées chiffrées dans AWS Glue Data Catalog](access-encrypted-data-glue-data-catalog.md).