Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Protection des données dans Athena
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
Une étape de sécurité supplémentaire consiste à utiliser la clé contextuelle de condition globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia) pour limiter les requêtes à celles effectuées à partir d'Athena. Pour de plus amples informations, veuillez consulter [Utiliser des clés CalledVia contextuelles pour Athena](security-iam-athena-calledvia.md).
## Protection de plusieurs types de données
Plusieurs types de données sont impliqués lorsque vous utilisez Athena pour créer des bases de données et des tables. Ces types de données incluent les données sources stockées dans Amazon S3, les métadonnées pour les bases de données et les tables que vous créez lorsque vous exécutez des requêtes ou le AWS Glue Crawler pour découvrir des données, les données des résultats des requêtes et l'historique des requêtes. Cette section décrit chaque type de données et fournit des conseils sur sa protection.
+ **Données sources** : vous stockez les données des bases de données et des tables dans Amazon S3 et Athena ne les modifie pas. Pour de plus amples informations, consultez la section [Protection des données dans Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html) dans le *Guide de l'utilisateur Amazon Simple Storage Service*. Vous contrôlez l'accès à vos données source et pouvez les chiffrer dans Simple Storage Service (Amazon S3). Vous pouvez utiliser Athena pour [créer des tables en fonction des ensembles de données chiffrés dans Simple Storage Service (Amazon S3)](creating-tables-based-on-encrypted-datasets-in-s3.md).
+ **Métadonnées de base de données et de table (schéma)** : Athena utilise schema-on-read la technologie, ce qui signifie que les définitions de vos tables sont appliquées à vos données dans Amazon S3 lorsqu'Athena exécute des requêtes. Tous les schémas que vous définissez sont automatiquement enregistrés, sauf si vous les supprimez de manière explicite. Dans Athena, vous pouvez modifier les métadonnées du catalogue de données à l'aide d'instructions DDL. Vous pouvez supprimer les définitions de table et les schémas sans affecter les données sous-jacentes stockées dans Simple Storage Service (Amazon S3). Les métadonnées des bases de données et des tables que vous utilisez dans Athena sont stockées dans le catalogue AWS Glue Data Catalog.
Vous pouvez [définir des politiques d'accès précises aux bases de données et aux tables](fine-grained-access-to-glue-resources.md) enregistrées auprès de l'utilisateur Gestion des identités et des accès AWS ( AWS Glue Data Catalog IAM). Vous pouvez également [chiffrer les métadonnées dans le AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/encrypt-glue-data-catalog.html). Si vous chiffrez les métadonnées, utilisez des [autorisations d'accès aux métadonnées chiffrées](encryption.md#glue-encryption).
+ **Résultats de requête et historique des requêtes, y compris les requêtes enregistrées** : les résultats de requête sont stockés dans un emplacement dans Simple Storage Service (Amazon S3) que vous pouvez choisir de spécifier globalement ou pour chaque groupe de travail. En l'absence de spécification, Athena utilise l'emplacement par défaut dans chaque cas. Vous contrôlez l'accès aux compartiments Simple Storage Service (Amazon S3) où vous stockez les résultats des requêtes et les requêtes enregistrées. De plus, vous pouvez choisir de chiffrer les résultats de requête que vous stockez dans Simple Storage Service (Amazon S3). Les utilisateurs doivent avoir les autorisations appropriées pour accéder aux emplacements Simple Storage Service (Amazon S3) et déchiffrer les fichiers. Pour plus d'informations, consultez [Chiffrement des résultats de requêtes Athena stockés dans Amazon S3](encrypting-query-results-stored-in-s3.md) dans ce document.
Athena conserve l'historique des requêtes pendant 45 jours. Vous pouvez [consulter l'historique des requêtes](queries-viewing-history.md) à l'aide d'Athena APIs, dans la console et avec. AWS CLI Pour stocker les requêtes pendant plus de 45 jours, enregistrez-les. Pour protéger l'accès aux requêtes enregistrées, [utilisez les groupes de travail](workgroups-manage-queries-control-costs.md) dans Athena, en limitant l'accès aux requêtes enregistrées uniquement aux utilisateurs qui sont autorisés à les consulter.
**Topics**
+ [Protection de plusieurs types de données](#security-data-protection-types-of-data)
+ [Chiffrement au repos](encryption.md)
+ [Chiffrement en transit](encryption-in-transit.md)
+ [Gestion des clés](key-management.md)
+ [Confidentialité du trafic inter-réseau](internetwork-traffic-privacy.md)
# Chiffrement au repos
Vous pouvez exécuter des requêtes dans Amazon Athena sur des données chiffrées dans Simple Storage Service (Amazon S3) dans la même région et dans un nombre limité de régions. Vous pouvez également chiffrer les résultats des requêtes dans Amazon S3 et les données du catalogue de AWS Glue données.
Vous pouvez chiffrer les ressources suivantes dans Athena :
+ Les résultats de toutes les requêtes dans Simple Storage Service (Amazon S3), que Athena stocke dans un emplacement appelé emplacement des résultats Simple Storage Service (Amazon S3). Vous pouvez chiffrer les résultats des requêtes stockés dans Simple Storage Service (Amazon S3), que le jeu de données sous-jacent soit chiffré dans Simple Storage Service (Amazon S3) ou non. Pour plus d'informations, consultez [Chiffrement des résultats de requêtes Athena stockés dans Amazon S3](encrypting-query-results-stored-in-s3.md).
+ Les données du catalogue AWS Glue de données. Pour plus d'informations, consultez [Autorisations d'accès aux métadonnées chiffrées dans le catalogue AWS Glue de données](#glue-encryption).
**Note**
Lorsque vous lisez une table chiffrée à l’aide d’Athena, ce service n’utilise pas l’option de chiffrement des résultats des requêtes, mais les options de chiffrement spécifiées pour les données de la table. Si des méthodes ou des clés de chiffrement distinctes sont configurées pour les résultats des requêtes et les données des tables, Athena lit les données des tables sans utiliser l’option de chiffrement et la clé utilisées pour chiffrer ou déchiffrer les résultats des requêtes.
Toutefois, si vous utilisez Athena pour insérer des données dans une table contenant des données chiffrées, les données insérées sont chiffrées à l’aide de la configuration de chiffrement spécifiée pour les résultats des requêtes. Par exemple, si vous spécifiez le `CSE_KMS` chiffrement pour les résultats de requête, Athena utilise le même identifiant de AWS KMS clé que celui que vous avez utilisé pour le chiffrement des résultats de requête pour chiffrer les données de table insérées. `CSE_KMS`
**Topics**
+ [Options de chiffrement Simple Storage Service (Amazon S3) prises en charge](#encryption-options-S3-and-Athena)
+ [Autorisations pour les données chiffrées dans Simple Storage Service (Amazon S3)](#permissions-for-encrypting-and-decrypting-data)
+ [Autorisations d'accès aux métadonnées chiffrées dans le catalogue AWS Glue de données](#glue-encryption)
+ [Migration de CSE-KMS vers SSE-KMS](migrating-csekms-ssekms.md)
+ [Chiffrement des résultats de requêtes Athena stockés dans Amazon S3](encrypting-query-results-stored-in-s3.md)
+ [Création de tables basées sur des jeux de données chiffrés dans Amazon S3](creating-tables-based-on-encrypted-datasets-in-s3.md)
## Options de chiffrement Simple Storage Service (Amazon S3) prises en charge
Athena prend en charge les options de chiffrement suivantes pour les jeux de données et les résultats des requêtes dans Simple Storage Service (Amazon S3).
| Type de chiffrement | Description | Prise en charge entre régions |
| --- | --- | --- |
| [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) | Chiffrement côté serveur (SSE) avec une clé gérée par Simple Storage Service (Amazon S3). | Oui |
| [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) (recommandé) | Chiffrement côté serveur (SSE) avec une clé gérée par AWS Key Management Service le client. | Oui |
| [CSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-kms-managed-master-key-intro) | Chiffrement côté client (CSE) à l'aide d'une clé gérée par AWS KMS le client. Dans Athena, cette option nécessite que vous utilisiez une `CREATE TABLE` instruction avec une `TBLPROPERTIES` clause qui spécifie `'has_encrypted_data'='true'` ou `'encryption_option'='CSE_KMS'` avec. `'kms_key'='kms_key_arn'` Pour de plus amples informations, veuillez consulter [Création de tables basées sur des jeux de données chiffrés dans Amazon S3](creating-tables-based-on-encrypted-datasets-in-s3.md). | Non |
Pour plus d'informations sur AWS KMS le chiffrement avec Amazon S3, consultez [What is AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) and [how Amazon Simple Storage Service (Amazon S3) AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-s3.html) uses dans *AWS Key Management Service le manuel du* développeur. Pour de plus amples informations sur l'utilisation de SSE-KMS ou CSE-KMS avec Athena, consultez la rubrique [Lancement : Amazon Athena prend désormais en charge l'interrogation des données chiffrées](https://aws.amazon.com/blogs/aws/launch-amazon-athena-adds-support-for-querying-encrypted-data/) à partir du *Blog Big Data AWS *.
### Recommandations relatives au chiffrement
Lorsque vous chiffrez et déchiffrez des données de table et des résultats de requêtes à l’aide de clés KMS gérées par le client, il est préférable d’utiliser le chiffrement SSE-KMS plutôt que les méthodes SSE-S3 ou CSE-KMS. SSE-KMS, qui permet de combiner contrôle, simplicité et performances, est recommandé lorsque vous utilisez des clés KMS gérées pour le chiffrement des données.
**Avantages de SSE-KMS par rapport à SSE-S3**
+ SSE-KMS vous permet de spécifier et de gérer vos propres clés, ce qui assure un meilleur contrôle. Vous pouvez définir des stratégies de clé, superviser les cycles de vie des clés et surveiller l’utilisation des clés.
**Avantages de SSE-KMS par rapport à CSE-KMS**
+ SSE-KMS permet de se passer d’une infrastructure supplémentaire pour chiffrer et déchiffrer les données, contrairement à CSE-KMS qui nécessite la maintenance continue d’un client de chiffrement S3.
+ CSE-KMS peut rencontrer des problèmes de compatibilité entre les clients de chiffrement S3 nouveaux et plus anciens en raison de l’évolution des algorithmes de chiffrement. Ce type de problème ne se pose pas avec SSE-KMS.
+ SSE-KMS effectue moins d’appels d’API au service KMS pour récupérer les clés pendant les processus de chiffrement et de déchiffrement, ce qui se traduit par des performances supérieures à celles de CSE-KMS.
### Options non prises en charge
Les options de chiffrement suivantes ne sont pas prises en charge :
+ SSE avec les clés fournies par le client (SSE-C).
+ Chiffrement côté client à l'aide d'une clé gérée côté client.
+ Clés asymétriques.
Pour comparer les options de chiffrement Simple Storage Service (Amazon S3), consultez la section [Protection des données à l'aide d'un chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) dans le *Guide de l'utilisateur Amazon Simple Storage Service*.
### Outils de chiffrement côté client
Pour le chiffrement côté client, deux outils sont disponibles :
+ [Client de chiffrement Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AWSJavaSDK/latest/javadoc/com/amazonaws/services/s3/AmazonS3EncryptionClient.html) : cet outil permet de chiffrer les données pour Simple Storage Service (Amazon S3) uniquement et est pris en charge par Athena.
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)— Le SDK peut être utilisé pour chiffrer des données n'importe où, AWS mais il n'est pas directement pris en charge par Athena.
Ces outils ne sont pas compatibles, et les données chiffrées à l’aide de l’un des outils ne peuvent pas être déchiffrées avec l’autre. Athena ne prend en charge directement que le client de chiffrement Simple Storage Service (Amazon S3). Si vous utilisez le kit SDK pour chiffrer vos données, vous pouvez exécuter des requêtes depuis Athena, mais les données sont renvoyées sous forme de texte chiffré.
Si vous souhaitez utiliser Athena pour interroger des données qui ont été chiffrées à l'aide du kit SDK de chiffrement AWS , vous devez télécharger et déchiffrer vos données, puis les chiffrer à nouveau à l'aide du client de chiffrement Simple Storage Service (Amazon S3).
## Autorisations pour les données chiffrées dans Simple Storage Service (Amazon S3)
Selon le type de chiffrement utilisé dans Amazon S3, vous devrez peut-être ajouter des autorisations, également appelées actions « Autoriser », aux politiques utilisées dans Athena :
+ **SSE-S3** : si vous utilisez SSE-S3 pour le chiffrement, les utilisateurs d'Athena n'ont besoin d'aucune autorisation supplémentaire dans leurs politiques. Il suffit de disposer des autorisations Simple Storage Service (Amazon S3) appropriées pour l'emplacement Simple Storage Service (Amazon S3) approprié et pour les actions Athena. Pour plus d'informations sur les politiques qui accordent les autorisations Athena et Amazon S3 appropriées, consultez [AWS politiques gérées pour Amazon Athena](security-iam-awsmanpol.md) et [Contrôle de l’accès à Amazon S3 depuis Athena](s3-permissions.md).
+ **AWS KMS**— Si vous l'utilisez AWS KMS pour le chiffrement, les utilisateurs d'Athena doivent être autorisés à effectuer des AWS KMS actions spécifiques en plus des autorisations Athena et Amazon S3. Vous pouvez autoriser ces actions en modifiant la stratégie de clé applicable aux clés gérées par le client utilisées pour chiffrer les données dans Amazon S3. Pour ajouter des utilisateurs clés aux politiques AWS KMS clés appropriées, vous pouvez utiliser la AWS KMS console à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms) Pour plus d'informations sur la façon d'ajouter un utilisateur à une politique AWS KMS clé, voir [Autoriser les utilisateurs clés à utiliser la clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) dans le *Guide du AWS Key Management Service développeur*.
**Note**
Les administrateurs de politiques de clés avancées peuvent adapter les politiques de clés. `kms:Decrypt` est l'action minimale autorisée pour qu'un utilisateur d'Athena puisse travailler avec un jeu de données chiffrées. Pour utiliser des résultats de requête chiffrés, les actions minimales autorisées sont `kms:GenerateDataKey` et `kms:Decrypt`.
Lorsque vous utilisez Athena pour interroger des ensembles de données dans Amazon S3 contenant un grand nombre d'objets chiffrés AWS KMS, cela AWS KMS peut limiter les résultats des requêtes. Ceci est plus probable lorsqu'il y a un grand nombre de petits objets. Athena collecte les requêtes de nouvelles tentatives, mais une erreur de limitation peut encore se produire. Si vous travaillez avec un grand nombre d'objets chiffrés et que vous rencontrez ce problème, une option consiste à activer les clés de compartiment Simple Storage Service (Amazon S3) pour réduire le nombre d'appels vers KMS. Pour plus d'informations, consultez la rubrique [Réduction des coûts de SSE-KMS grâce aux clés de compartiment Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) dans le *Guide de l'utilisateur d'Amazon Simple Storage Service*. Une autre option consiste à augmenter vos quotas de service pour AWS KMS. Pour de plus amples informations, veuillez consulter [Quotas](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html#requests-per-second) dans le *Guide du développeur AWS Key Management Service *.
Pour obtenir des informations de dépannage sur les autorisations lors de l'utilisation de Simple Storage Service (Amazon S3) avec Athena, voir la section [Permissions](troubleshooting-athena.md#troubleshooting-athena-permissions) de la rubrique [Résolution des problèmes dans Athena](troubleshooting-athena.md).
## Autorisations d'accès aux métadonnées chiffrées dans le catalogue AWS Glue de données
Si vous [cryptez des métadonnées dans le AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/encrypt-glue-data-catalog.html), vous devez ajouter `"kms:GenerateDataKey"` des `"kms:Encrypt"` actions et ajouter des actions aux politiques que vous utilisez pour accéder à Athena. `"kms:Decrypt"` Pour plus d'informations, consultez [Configurez l'accès depuis Athena aux métadonnées chiffrées dans AWS Glue Data Catalog](access-encrypted-data-glue-data-catalog.md).
# Migration de CSE-KMS vers SSE-KMS
Vous pouvez spécifier le chiffrement CSE-KMS de deux manières : lors de la configuration du chiffrement des résultats des requêtes des groupes de travail et dans les paramètres côté client. Pour de plus amples informations, veuillez consulter [Chiffrement des résultats de requêtes Athena stockés dans Amazon S3](encrypting-query-results-stored-in-s3.md). Lors de la migration, il est important d’auditer vos flux de travail existants qui lisent et écrivent des données CSE-KMS, d’identifier les groupes de travail dans lesquels CSE-KMS est configuré et de localiser les instances dans lesquelles CSE-KMS est défini via des paramètres côté client.
## Mise à jour des paramètres de chiffrement des résultats des requêtes des groupes de travail
------
#### [ Console ]
**Pour mettre à jour les paramètres de chiffrement dans la console Athena**
1. Ouvrez la console à l'adresse [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/).
1. Dans le panneau de navigation de la console Athena, choisissez **Workgroups** (Groupes de travail).
1. Sur la page **Workgroups** (Groupes de travail), sélectionnez le bouton du groupe de travail à modifier.
1. Choisissez **Actions**, **Edit** (Modifier).
1. Ouvrez **Configuration des résultats de requêtes** et choisissez **Chiffrer les résultats de requêtes**.
1. Dans la section **Type de chiffrement**, choisissez l’option de chiffrement **SSE\$1KMS**.
1. Entrez votre clé KMS dans **Choisir une autre clé AWS KMS (avancé)**.
1. Sélectionnez **Enregistrer les modifications**. Le groupe de travail mis à jour s'affiche sur la liste de la page **Workgroups** (Groupes de travail).
------
#### [ CLI ]
Exécutez la commande suivante pour mettre à jour la configuration du chiffrement des résultats des requêtes vers SSE-KMS dans votre groupe de travail.
```
aws athena update-work-group \
--work-group "my-workgroup" \
--configuration-updates '{
"ResultConfigurationUpdates": {
"EncryptionConfiguration": {
"EncryptionOption": "SSE_KMS",
"KmsKey": ""
}
}
}'
```
------
## Mise à jour des paramètres de chiffrement des résultats des requêtes côté client
------
#### [ Console ]
Pour mettre à jour vos paramètres côté client pour le chiffrement des résultats des requêtes de CSE-KMS vers SSE-KMS, consultez [Chiffrement des résultats de requêtes Athena stockés dans Amazon S3](encrypting-query-results-stored-in-s3.md).
------
#### [ CLI ]
La spécification de la configuration du chiffrement des résultats des requêtes dans les paramètres côté client nécessite la commande `start-query-execution`. Si vous exécutez cette commande de l’interface de ligne de commande et que vous remplacez la configuration du chiffrement des résultats des requêtes spécifiée dans votre groupe de travail par CSE-KMS, modifiez la commande afin de chiffrer les résultats des requêtes avec `SSE_KMS` comme indiqué ci-dessous.
```
aws athena start-query-execution \
--query-string "SELECT * FROM ;" \
--query-execution-context "Database=,Catalog=" \
--result-configuration '{
"EncryptionConfiguration": {
"EncryptionOption": "SSE_KMS",
"KmsKey": ""
}
}' \
--work-group ""
```
------
**Note**
Après la mise à jour des paramètres du groupe de travail ou côté client, toutes les nouvelles données que vous insérez par le biais de requêtes d’écriture utilisent le chiffrement SSE-KMS au lieu du chiffrement CSE-KMS. En effet, les configurations du chiffrement des résultats des requêtes s’appliquent également aux nouvelles données de table insérées. Les résultats des requêtes Athena, les métadonnées et les fichiers manifestes sont également chiffrés avec SSE-KMS.
Athena peut toujours lire les tables dotées de la propriété `has_encrypted_data`, même en présence d’une combinaison d’objets chiffrés avec CSE-KMS et avec SSE-S3/SSE-KMS.
# Conversion des données de table CSE-KMS en SSE-KMS
Si vos flux de travail utilisent actuellement CSE-KMS pour le chiffrement des données de table, suivez la procédure ci-dessous pour basculer vers SSE-KMS.
## Prérequis
Si vous continuez à écrire des données à l’aide d’un groupe de travail CSE-KMS ou de paramètres côté client, suivez la procédure décrite dans [Migration de CSE-KMS vers SSE-KMS](migrating-csekms-ssekms.md) pour effectuer la mise à jour vers SSE-KMS. Cela évitera l’ajout de nouvelles données chiffrées avec CSE-KMS depuis tous les autres flux de travail susceptible d’écrire des données dans les tables pendant la migration.
## Migrations des données
1. Vérifiez si la propriété `has_encrypted_data` de la table est définie sur `true`. Cette propriété indique que la table peut contenir des données chiffrées avec CSE-KMS. Notez cependant que cette propriété peut être présente alors que les tables ne contiennent pas de données chiffrées avec CSE-KMS.
------
#### [ Console ]
1. Ouvrez la console à l'adresse [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/).
1. Choisissez **Lancer l’éditeur de requête**.
1. Dans la partie gauche de l’éditeur, dans **Base de données**, choisissez la base de données à interroger.
1. Dans l’éditeur de requête, exécutez la requête suivante pour afficher la valeur définie pour la propriété `has_encrypted_data table`.
```
SHOW TBLPROPERTIES ('has_encrypted_data');
```
------
#### [ CLI ]
Lancez la requête Athena qui affiche la valeur de la propriété `has_encrypted_data` de la table comme illustré dans l’exemple suivant.
```
aws athena start-query-execution \
--query-string "SHOW TBLPROPERTIES ('has_encrypted_data');" \
--work-group ""
```
Récupérez les résultats de la requête pour vérifier la valeur de la propriété `has_encrypted_data` de la table comme illustré dans l’exemple suivant.
```
aws athena get-query-results --query-execution-id
```
------
1. Pour chaque objet de la table chiffré avec CSE-KMS.
1. Téléchargez l’objet depuis S3 à l’aide du client de chiffrement S3 et déchiffrez-le. Voici un exemple avec le SDK AWS Java V2.
**Importations**
```
import software.amazon.awssdk.core.ResponseInputStream;
import software.amazon.awssdk.services.s3.model.GetObjectRequest;
import software.amazon.awssdk.services.s3.model.GetObjectResponse;
import software.amazon.encryption.s3.S3EncryptionClient;
import software.amazon.encryption.s3.materials.Keyring;
import software.amazon.encryption.s3.materials.KmsDiscoveryKeyring;
```
Code
```
final Keyring kmsDiscoveryKeyRing = KmsDiscoveryKeyring.builder()
.enableLegacyWrappingAlgorithms(true)
.build();
final S3EncryptionClient s3EncryptionClient = S3EncryptionClient.builder()
.enableLegacyUnauthenticatedModes(true)
.keyring(kmsDiscoveryKeyRing)
.build();
GetObjectRequest getObjectRequest = GetObjectRequest.builder()
.bucket("amzn-s3-demo-bucket")
.key("")
.build();
ResponseInputStream s3Object = s3EncryptionClient.getObject(getObjectRequest);
```
1. Chargez l’objet sur S3 avec le même nom et le chiffrement SSE-KMS. Voici un exemple avec le SDK AWS Java V2.
**Importations**
```
import software.amazon.awssdk.core.ResponseInputStream;
import software.amazon.awssdk.core.sync.RequestBody;
import software.amazon.awssdk.services.s3.S3Client;
import software.amazon.awssdk.services.s3.model.PutObjectRequest;
import software.amazon.awssdk.services.s3.model.ServerSideEncryption;
```
**Code**
```
final S3Client s3Client = S3Client.builder()
.build();
PutObjectRequest putObjectRequest = PutObjectRequest.builder()
.bucket("amzn-s3-demo-bucket")
.key("")
.serverSideEncryption(ServerSideEncryption.AWS_KMS)
.ssekmsKeyId("")
.build();
s3Client.putObject(putObjectRequest, RequestBody.fromBytes(s3Object.readAllBytes()));
```
## Opérations post-migration
Une fois tous les fichiers CSE-KMS de la table correctement rechiffrés, suivez la procédure ci-dessous.
1. Supprimez la propriété `has_encrypted_data` du tableau.
------
#### [ Console ]
1. Ouvrez la console à l'adresse [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/).
1. Choisissez **Lancer l’éditeur de requête**.
1. Dans la partie gauche de l’éditeur, dans **Base de données**, choisissez la base de données à interroger.
1. Exécutez la requête suivante pour votre table dans l’éditeur de requête.
```
ALTER TABLE . UNSET TBLPROPERTIES ('has_encrypted_data')
```
------
#### [ CLI ]
Exécutez la commande suivante pour supprimer la propriété `has_encrypted_data` de votre table.
```
aws athena start-query-execution \
--query-string "ALTER TABLE . UNSET TBLPROPERTIES ('has_encrypted_data');" \
--work-group ""
```
------
1. Mettez à jour vos flux de travail pour utiliser un client S3 de base au lieu d’un client de chiffrement S3, puis spécifiez le chiffrement SSE-KMS pour les écritures de données.
# Chiffrement des résultats de requêtes Athena stockés dans Amazon S3
Vous pouvez configurer le chiffrement des résultats des requêtes à l'aide de la console Athena ou lors de l'utilisation de JDBC ou ODBC. Les groupes de travail vous permettent d'appliquer le chiffrement des résultats de la requête.
**Note**
Lorsque vous chiffrez les résultats d’une requête, Athena chiffre tous les objets écrits par la requête. Cela concerne les résultats d’instructions telles que `INSERT INTO` et `UPDATE`, ainsi que les requêtes de données Iceberg ou dans d’autres formats.
Dans la console, vous pouvez configurer le paramètre de chiffrement des résultats des requêtes de deux manières :
+ **Paramètres côté client** : lorsque vous utilisez **Settings** (Paramètres) de la console ou les opérations de l'API pour indiquer que vous souhaitez chiffrer les résultats des requêtes, vous utilisez les paramètres côté client. Les paramètres côté client incluent l'emplacement des résultats de requête et le chiffrement. Si vous les spécifiez, ils sont utilisés, sauf s'ils sont remplacés par les paramètres du groupe de travail.
+ **Paramètres de groupe de travail** : lorsque vous [créez ou modifiez un groupe de travail](creating-workgroups.md) et sélectionnez le champ **Override client-side settings** (Remplacer les paramètres côté client), toutes les requêtes s'exécutant dans ce groupe de travail utilisent les paramètres du groupe de travail et d'emplacement des résultats de requête. Pour de plus amples informations, veuillez consulter [Remplacer les paramètres côté client](workgroups-settings-override.md).
**Pour chiffrer les résultats des requêtes stockées dans Simple Storage Service (Amazon S3) à l'aide de la console**
**Important**
Si le champ **Override Client-Side Setting** (Remplacer les paramètres côté client) est sélectionné pour votre groupe de travail, toutes les requêtes dans le groupe de travail utilisent alors les paramètres du groupe de travail. La configuration du chiffrement et l’emplacement des résultats des requêtes définis dans l’onglet **Paramètres** de la console Athena, par des opérations d’API et par les pilotes JDBC et ODBC ne sont pas utilisés. Pour de plus amples informations, veuillez consulter [Remplacer les paramètres côté client](workgroups-settings-override.md).
1. Dans la console Athena, choisissez **Settings** (Paramètres).
![\[L'onglet Paramètres de l'éditeur de requêtes Athena.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/settings.png)
1. Choisissez **Gérer**.
1. Pour **Location of query result** (Emplacement du résultat de la requête), saisissez ou choisissez un chemin Simple Storage Service (Amazon S3). Il s'agit de l'emplacement Simple Storage Service (Amazon S3) où les résultats de votre requête seront stockés.
1. Choisissez **Encrypt query results**.
![\[L'option Chiffrer les résultats de la requête sur la page Gérer les paramètres de la console Athena.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/encrypt-query-results.png)
1. Pour **Encryption type**, choisissez **CSE, KMS**, **SSE-KMS** ou **SSE-S3**. Parmi ces trois solutions, **CSE-KMS** offre le niveau de chiffrement le plus élevé et **SSE-S3** le plus bas.
1. Si vous avez choisi **SSE-KMS ou **CSE-KMS****, spécifiez une clé. AWS KMS
+ Pour **Choisir une AWS KMS clé**, si votre compte a accès à une clé gérée par AWS KMS le client existante, choisissez son alias ou entrez un ARN de AWS KMS clé.
+ Si votre compte n'a pas accès à une clé gérée par le client existante, choisissez **Créer une AWS KMS clé**, puis ouvrez la [AWS KMS console](https://console.aws.amazon.com/kms). Pour plus d'informations, consultez [Création des clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *Guide du développeur AWS Key Management Service *.
**Note**
Athena ne prend en charge que les clés symétriques pour la lecture et l'écriture de données.
1. Revenez à la console Athena et choisissez la clé que vous avez créée par alias ou ARN.
1. Choisissez **Enregistrer**.
## Chiffrement des résultats des requêtes Athena lors de l’utilisation de JDBC ou d’ODBC
Si vous vous connectez à l’aide d’un pilote JDBC ou ODBC, vous devez configurer les options du pilote afin de spécifier le type de chiffrement à utiliser et l’emplacement du répertoire intermédiaire Amazon S3. Pour configurer le pilote JDBC ou ODBC pour qu’il chiffre les résultats de vos requêtes à l’aide de l’un des protocoles de chiffrement pris en charge par Athena, consultez [Connexion à Amazon Athena avec les pilotes ODBC et JDBC](athena-bi-tools-jdbc-odbc.md).
# Création de tables basées sur des jeux de données chiffrés dans Amazon S3
Athena peut lire et écrire dans des tables dont les ensembles de données sous-jacents sont chiffrés par SSE-S3, SSE-KMS ou CSE-KMS. En fonction de l'option de chiffrement utilisée pour les données de la table et du type de requêtes exécutées, il est possible que vous deviez spécifier des propriétés de table supplémentaires afin de lire et d'écrire des données chiffrées.
## Lecture de tables chiffrées SSE-S3/SSE-KMS
Aucune propriété de table supplémentaire n'a besoin d'être spécifiée lors de la création de la table pour lire les ensembles de données chiffrés SSE-S3/SSE-KMS. Amazon S3 gère le déchiffrement automatique des objets SSE.
## Lecture de tables chiffrées CSE-KMS
Il existe deux ensembles différents de propriétés de table qui peuvent être spécifiés afin qu'Athena puisse lire les ensembles de données chiffrés CSE-KMS,
+ Utilisation des propriétés du `kms_key` tableau `encryption_option` et (recommandé)
+ Utilisation de la propriété `has_encrypted_data` table
**Important**
Si vous utilisez Amazon EMR avec EMRFS pour télécharger des fichiers Parquet chiffrés au format CSE-KMS, vous devez désactiver les téléchargements partitionnés en réglant sur. `fs.s3n.multipart.uploads.enabled` `false` Sinon, Athena n'est pas en mesure de déterminer la longueur des fichiers Parquet et une erreur **HIVE\$1CANNOT\$1OPEN\$1SPLIT** se produit. Pour plus d'informations, consultez [Configuration d'un chargement partitionné pour Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-upload-s3.html#Config_Multipart) dans le *Guide de gestion Amazon EMR*.
### Utilisation des propriétés des tables encryption\$1option et kms\$1key
Dans une instruction [CREATE TABLE](create-table.md), utilisez une `TBLPROPERTIES` clause qui spécifie `encryption_option='CSE_KMS'` et`kms_key='aws_kms_key_arn'`, comme dans l'exemple suivant.
```
CREATE EXTERNAL TABLE 'my_encrypted_data' (
`n_nationkey` int,
`n_name` string,
`n_regionkey` int,
`n_comment` string)
ROW FORMAT SERDE
'org.apache.hadoop.hive.ql.io.parquet.serde.ParquetHiveSerDe'
STORED AS INPUTFORMAT
'org.apache.hadoop.hive.ql.io.parquet.MapredParquetInputFormat'
LOCATION
's3://amzn-s3-demo-bucket/folder_with_my_encrypted_data/'
TBLPROPERTIES (
'encryption_option' = 'CSE_KMS',
'kms_key' = 'arn:aws:kms:us-east-1:012345678901:key/my_kms_key')
```
Lorsque ces propriétés sont configurées,
+ Athena peut lire les objets chiffrés CSE-KMS créés par les clients de chiffrement Amazon S3 V1, V2 ou V3.
+ Athena utilisera la AWS KMS clé pour déchiffrer les données `kms_key` CSE-KMS. Si des objets ont été chiffrés avec une AWS KMS clé différente, la requête échouera.
+ Athena peut toujours lire les objets chiffrés SSE-S3 et SSE-KMS, mais il n'est pas recommandé de mélanger des objets chiffrés côté serveur et côté client.
### Utilisation de la propriété de table has\$1encrypted\$1data
Dans une instruction [CREATE TABLE](create-table.md) (CRÉER UNE TABLE), utilisez une clause `TBLPROPERTIES` qui spécifie `has_encrypted_data='true'`, comme dans l'exemple ci-dessous.
```
CREATE EXTERNAL TABLE 'my_encrypted_data' (
`n_nationkey` int,
`n_name` string,
`n_regionkey` int,
`n_comment` string)
ROW FORMAT SERDE
'org.apache.hadoop.hive.ql.io.parquet.serde.ParquetHiveSerDe'
STORED AS INPUTFORMAT
'org.apache.hadoop.hive.ql.io.parquet.MapredParquetInputFormat'
LOCATION
's3://amzn-s3-demo-bucket/folder_with_my_encrypted_data/'
TBLPROPERTIES (
'has_encrypted_data' = 'true')
```
Lorsque la propriété de table has\$1encrypted\$1data est spécifiée,
+ Athena ne peut lire que les objets chiffrés CSE-KMS créés par le client de chiffrement Amazon S3 V1.
+ Athena déduira la AWS KMS clé utilisée pour chiffrer l'objet CSE-KMS à partir des métadonnées de l'objet, puis utilisera cette clé pour déchiffrer l'objet.
+ Athena peut toujours lire les objets chiffrés SSE-S3 et SSE-KMS, mais il n'est pas recommandé de mélanger des objets chiffrés côté serveur et côté client.
**Note**
Lorsque `encryption_option` et `kms_key` sont spécifiés à côté`has_encrypted_data`, les propriétés de la `kms_key` table `encryption_option` et sont prioritaires et `has_encrypted_data` sont ignorées.
Lorsque vous utilisez la console Athena pour [créer une table à l'aide d'un formulaire](data-sources-glue-manual-table.md) et que vous spécifiez l'emplacement de la table, sélectionnez l'option **Ensemble de données chiffrées** pour ajouter la `has_encrypted_data='true'` propriété à la table.
![\[Sélectionnez Encrypted data set (Jeu de données chiffrées) dans le formulaire d'ajout de table.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/add-table-form-encrypted-option.png)
Dans la liste des tables de la console Athena, les tables chiffrées par CSE-KMS `has_encrypted_data='true'` affichent une icône en forme de clé.
![\[Icône de table chiffrée\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/tables-list-encrypted-table-icon.png)
## Écrire des données chiffrées SSE-S3/SSE-KMS/CSE-KMS
Par défaut, les fichiers de données nouvellement insérés seront chiffrés selon la configuration de chiffrement des résultats de requête spécifiée dans le groupe de travail Athena. Pour écrire des données de table avec une configuration de chiffrement différente de celle des résultats de la requête, vous devez ajouter des propriétés de table supplémentaires.
Dans une instruction [CREATE TABLE](create-table.md), utilisez une `TBLPROPERTIES` clause qui spécifie `encryption_option='SSE_S3 | SSE_KMS | CSE_KMS'` et`kms_key='aws_kms_key_arn'`, comme dans l'exemple suivant.
```
CREATE EXTERNAL TABLE 'my_encrypted_data' (
`n_nationkey` int,
`n_name` string,
`n_regionkey` int,
`n_comment` string)
ROW FORMAT SERDE
'org.apache.hadoop.hive.ql.io.parquet.serde.ParquetHiveSerDe'
STORED AS INPUTFORMAT
'org.apache.hadoop.hive.ql.io.parquet.MapredParquetInputFormat'
LOCATION
's3://amzn-s3-demo-bucket/folder_with_my_encrypted_data/'
TBLPROPERTIES (
'encryption_option' = 'SSE_KMS',
'kms_key' = 'arn:aws:kms:us-east-1:012345678901:key/my_kms_key')
```
Toutes les données nouvellement insérées seront chiffrées à l'aide de la configuration de chiffrement spécifiée par les propriétés de la table plutôt qu'à l'aide de la configuration de chiffrement des résultats de la requête dans le groupe de travail.
## Considérations et restrictions
Lorsque vous écrivez et lisez des ensembles de données chiffrés, tenez compte des points suivants.
+ Les propriétés`has_encrypted_data`,`encryption_option`, et de `kms_key` table ne peuvent être utilisées qu'avec les tables Hive.
+ Lorsque vous créez une table contenant des données chiffrées CSE-KMS, nous vous recommandons de vous assurer que toutes les données sont chiffrées avec la même AWS KMS clé.
+ Lorsque vous créez une table contenant des données chiffrées CSE-KMS, nous vous recommandons de vous assurer que toutes les données sont chiffrées par CSE-KMS et qu'il n'y a pas de combinaison d' non-CSE-KMSobjets chiffrés CSE-KMS.
# Chiffrement en transit
Outre le chiffrement de données au repos dans Simple Storage Service (Amazon S3), Amazon Athena utilise le protocole de chiffrement TLS (Transport Layer Security, Sécurité de la couche de transport) pour le chiffrement des données en transit entre Athena et Simple Storage Service (Amazon S3), et entre Athena et les applications clientes y accédant.
Vous devez autoriser uniquement les connexions chiffrées sur HTTPS (TLS) avec [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Boolean](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Boolean) sur les politiques IAM de compartiment Simple Storage Service (Amazon S3).
Les résultats de requête qui diffusent en continu vers les clients JDBC ou ODBC sont chiffrés à l'aide du protocole TLS. Pour de plus amples informations sur les dernières versions des pilotes JDBC et ODBC et leur documentation, veuillez consulter [Connexion à Amazon Athena avec JDBC](connect-with-jdbc.md) et [Connexion à Amazon Athena avec ODBC](connect-with-odbc.md).
Pour les connecteurs de source de données fédérés Athena, la prise en charge du chiffrement en transit à l'aide du protocole TLS dépend du connecteur individuel. Pour plus d'informations, consultez la documentation relative aux [connecteurs de source de données](connectors-available.md) individuels.
# Gestion des clés
Amazon Athena prend en charge AWS Key Management Service (AWS KMS) pour chiffrer les ensembles de données dans Amazon S3 et les résultats des requêtes Athena. AWS KMS utilise des clés gérées par le client pour chiffrer vos objets Amazon S3 et s'appuie sur le [chiffrement des enveloppes](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping).
Dans AWS KMS, vous pouvez effectuer les actions suivantes :
+ [Créer des clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)
+ [Importer vos propres éléments de clé pour les nouvelles clés gérées par les clients](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html)
**Note**
Athena ne prend en charge que les clés symétriques pour la lecture et l'écriture de données.
Pour de plus amples informations, consultez la rubrique [Présentation de AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) dans le *Guide du développeur AWS Key Management Service * et [Comment Amazon Simple Storage Service utilise le service AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-s3.html). Pour afficher les clés de votre compte qui AWS crée et gère pour vous, dans le volet de navigation, choisissez **les clés AWS gérées**.
Si vous téléchargez ou accédez à des objets chiffrés par SSE-KMS, utilisez AWS Signature Version 4 pour plus de sécurité. Pour plus d'informations, consultez la section [Spécification de la version de la signature dans l'authentification des requêtes](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingAWSSDK.html#specify-signature-version) dans le *Guide de l'utilisateur d'Amazon Simple Storage Service*.
Si vos charges de travail Athena chiffrent une grande quantité de données, vous pouvez utiliser des clés de compartiment Simple Storage Service (Amazon S3) pour réduire les coûts. Pour plus d'informations, consultez la rubrique [Réduction des coûts de SSE-KMS grâce aux clés de compartiment Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) dans le *Guide de l'utilisateur d'Amazon Simple Storage Service*.
# Confidentialité du trafic inter-réseau
Le trafic est protégé à la fois entre Athena et les applications sur site et entre Athena et Simple Storage Service (Amazon S3). Le trafic entre Athena et d'autres services, tels que AWS Glue et AWS Key Management Service, utilise le protocole HTTPS par défaut.
+ **Pour le trafic entre et les clients sur site et les applications**, les résultats des requêtes diffusés vers JDBC ou ODBC sont chiffrés à l'aide du protocole TLS (Transport Layer Security, Sécurité de la couche de transport).
Vous pouvez utiliser l'une des options de connectivité entre votre réseau privé et AWS :
+ Une Site-to-Site VPN connexion Site-to-Site VPN. Pour plus d'informations, consultez la section [Qu'est-ce qu' Site-to-Siteun VPN Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) dans le *guide de AWS Site-to-Site VPN l'utilisateur*.
+ Une Direct Connect connexion. Pour plus d’informations, consultez [Présentation de Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) dans le *Guide de l’utilisateur Direct Connect *.
+ **Pour le trafic entre Athena et les compartiments Simple Storage Service (Amazon S3)**, le protocole TLS (Transport Layer Security, Sécurité de la couche de transport) chiffre les objets qui se déplacent entre Athena et Simple Storage Service (Amazon S3), et entre Athena et les applications y accédant, vous devez autoriser uniquement les connexions chiffrées sur HTTPS (TLS) à l'aide de la [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Boolean](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Boolean) sur les politiques IAM de compartiment Simple Storage Service (Amazon S3). Bien qu’Athena utilise actuellement le point de terminaison public pour accéder aux données des compartiments Amazon S3, cela ne signifie pas que les données passent par l’Internet public. Tout le trafic entre Athena et Amazon S3 est acheminé sur le AWS réseau et chiffré à l'aide du protocole TLS.
+ **Programmes de conformité** : Amazon Athena est conforme à de nombreux programmes de AWS conformité, notamment SOC, PCI, FedRAMP, etc. Pour de plus amples informations, veuillez consulter les [Services AWS concernés par le programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).