Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Hasil kueri terkelola
Dengan hasil kueri terkelola, Anda dapat menjalankan kueri SQL tanpa menyediakan bucket Amazon S3 untuk penyimpanan hasil kueri. Ini menyelamatkan Anda dari keharusan menyediakan, mengelola, mengontrol akses ke, dan membersihkan bucket S3 Anda sendiri. Untuk memulai, buat workgroup baru atau edit workgroup yang sudah ada. Di bawah **Konfigurasi hasil kueri**, pilih **Athena** yang dikelola.
**Fitur utama**
+ Menyederhanakan alur kerja Anda dengan menghapus persyaratan untuk memilih lokasi bucket S3 sebelum Anda menjalankan kueri.
+ Tidak ada biaya tambahan untuk menggunakan hasil kueri terkelola dan penghapusan otomatis hasil kueri mengurangi overhead administrasi dan kebutuhan akan proses pembersihan bucket S3 yang terpisah.
+ Mudah untuk memulai: kelompok kerja baru dan yang sudah ada sebelumnya dapat dengan mudah dikonfigurasi untuk menggunakan hasil kueri terkelola. Anda dapat memiliki campuran hasil kueri terkelola Athena dan yang dikelola pelanggan di akun Anda AWS .
+ Izin IAM yang disederhanakan dengan akses untuk membaca hasil `GetQueryResults` dan `GetQueryResultsStream` terkait dengan kelompok kerja individu.
+ Hasil kueri secara otomatis dienkripsi dengan pilihan kunci AWS milik Anda atau kunci milik pelanggan.
## Pertimbangan dan batasan
****
+ Akses ke hasil kueri dikelola di tingkat workgroup di Athena. Untuk ini, Anda memerlukan izin eksplisit untuk `GetQueryResults` dan tindakan `GetQueryResultsStream` IAM pada workgroup tertentu. `GetQueryResults`Tindakan menentukan siapa yang dapat mengambil hasil kueri yang telah selesai dalam format paginasi, sementara `GetQueryResultsStream` tindakan menentukan siapa yang dapat mengalirkan hasil kueri yang telah selesai (biasanya digunakan oleh driver Athena).
+ Anda tidak dapat mengunduh file hasil kueri yang lebih besar dari 200 MB dari konsol. Gunakan `UNLOAD` pernyataan untuk menulis hasil yang lebih besar dari 200 MB ke lokasi yang dapat Anda unduh secara terpisah.
+ Fitur hasil kueri terkelola tidak mendukung [penggunaan kembali hasil Kueri](reusing-query-results.md).
+ Hasil kueri tersedia selama 24 jam. Hasil kueri disimpan tanpa biaya kepada Anda selama periode ini. Setelah periode ini, hasil kueri dihapus secara otomatis.
## Membuat atau mengedit grup kerja dengan hasil kueri terkelola
Untuk membuat grup kerja atau memperbarui grup kerja yang ada dengan hasil kueri terkelola dari konsol:
1. Buka konsol Athena di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/).
1. Dari navigasi kiri, pilih **Workgroups**.
1. Pilih **Buat Workgroup** untuk membuat workgroup baru atau mengedit workgroup yang ada dari daftar.
1. Di bawah **Konfigurasi hasil kueri**, pilih **Athena** yang dikelola.
![\[Menu konfigurasi hasil Query.\]](http://docs.aws.amazon.com/id_id/athena/latest/ug/images/athena-managed.png)
1. Untuk **hasil kueri Enkripsi**, pilih opsi enkripsi yang Anda inginkan. Untuk informasi selengkapnya, lihat [Pilih enkripsi hasil kueri](#managed-query-results-encryption-at-rest).
1. Isi semua detail lain yang diperlukan dan pilih **Simpan perubahan**.
## Pilih enkripsi hasil kueri
Ada dua opsi untuk konfigurasi enkripsi:
+ **Enkripsi menggunakan kunci yang AWS dimiliki** — Ini adalah opsi default saat Anda menggunakan hasil kueri terkelola. Pilih opsi ini jika Anda ingin hasil kueri dienkripsi oleh kunci yang AWS dimiliki.
+ **Enkripsi menggunakan kunci yang dikelola pelanggan** — Pilih opsi ini jika Anda ingin mengenkripsi dan mendekripsi hasil kueri dengan kunci yang dikelola pelanggan. Untuk menggunakan kunci yang dikelola pelanggan, tambahkan layanan Athena di elemen Utama bagian kebijakan utama. Untuk informasi selengkapnya, lihat [Menyiapkan kebijakan AWS KMS kunci untuk hasil kueri terkelola](#managed-query-results-set-up). Agar berhasil menjalankan kueri, pengguna yang menjalankan kueri memerlukan izin untuk mengakses kunci. AWS KMS
## Menyiapkan kebijakan AWS KMS kunci untuk hasil kueri terkelola
`Principal`Bagian pada kebijakan kunci menentukan siapa yang dapat menggunakan kunci ini. Fitur hasil kueri terkelola memperkenalkan prinsipal `encryption.athena.amazonaws.com` yang harus Anda tentukan di `Principal` bagian. Prinsipal layanan ini khusus untuk mengakses kunci yang tidak dimiliki oleh Athena. Anda juga harus menambahkan`kms:Decrypt`,`kms:GenerateDataKey`, dan `kms:DescribeKey` tindakan ke kebijakan utama yang Anda gunakan untuk mengakses hasil terkelola. Ketiga tindakan ini adalah tindakan minimum yang diizinkan.
Hasil kueri terkelola menggunakan ARN workgroup Anda [untuk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) konteks enkripsi. Karena `Principal` bagian ini adalah AWS layanan, Anda juga perlu menambahkan `aws:sourceArn` dan `aws:sourceAccount` ke kondisi kebijakan utama. Contoh berikut menunjukkan kebijakan AWS KMS kunci yang memiliki izin minimum pada satu grup kerja.
```
{
"Sid": "Allow athena service principal to use the key",
"Effect": "Allow",
"Principal": {
"Service": "encryption.athena.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:{account-id}:key/{key-id}",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:athena:arn": "arn:aws:athena:us-east-1:{account-id}:workgroup/{workgroup-name}",
"aws:SourceArn": "arn:aws:athena:us-east-1:{account-id}:workgroup/{workgroup-name}"
},
"StringEquals": {
"aws:SourceAccount": "{account-id}"
}
}
```
Contoh kebijakan AWS KMS kunci berikut memungkinkan semua kelompok kerja dalam akun yang sama *account-id* untuk menggunakan AWS KMS kunci yang sama.
```
{
"Sid": "Allow athena service principal to use the key",
"Effect": "Allow",
"Principal": {
"Service": "encryption.athena.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:account-id:key/{key-id}",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:athena:arn": "arn:aws:athena:us-east-1:account-id:workgroup/*",
"aws:SourceArn": "arn:aws:athena:us-east-1:account-id:workgroup/*"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
}
}
}
```
Selain izin Athena dan Amazon S3, Anda juga harus mendapatkan izin untuk melakukan dan bertindak. `kms:GenerateDataKey` `kms:Decrypt` Untuk informasi selengkapnya, lihat [Izin untuk data terenkripsi di Amazon S3](encryption.md#permissions-for-encrypting-and-decrypting-data).
Untuk informasi selengkapnya tentang enkripsi hasil kueri terkelola, lihat[Enkripsi hasil kueri terkelola](encrypting-managed-results.md).
# Enkripsi hasil kueri terkelola
Athena menawarkan opsi berikut untuk mengenkripsi. [Hasil kueri terkelola](managed-results.md)
## Enkripsi menggunakan kunci yang AWS dimiliki
Ini adalah opsi default saat Anda menggunakan hasil kueri terkelola. Opsi ini menunjukkan bahwa Anda ingin mengenkripsi hasil kueri menggunakan kunci yang AWS dimiliki. AWS kunci yang dimiliki tidak disimpan di AWS akun Anda dan merupakan bagian dari kumpulan kunci KMS yang AWS dimiliki. Anda tidak dikenakan biaya ketika Anda menggunakan kunci yang AWS dimiliki, dan mereka tidak dihitung terhadap AWS KMS kuota untuk akun Anda.
## Enkripsi menggunakan kunci yang dikelola AWS KMS pelanggan
Kunci yang dikelola pelanggan adalah kunci KMS di AWS akun Anda yang Anda buat, miliki, dan kelola. Anda memiliki kontrol penuh atas kunci KMS ini, yang mencakup menetapkan dan memelihara kebijakan utama mereka, kebijakan dan hibah IAM, mengaktifkan dan menonaktifkannya, memutar materi kriptografi mereka, menambahkan tag, membuat alias yang merujuk kepada mereka, dan menjadwalkannya untuk dihapus. Untuk informasi selengkapnya, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
## Bagaimana Athena menggunakan kunci yang dikelola pelanggan untuk mengenkripsi hasil
Saat Anda menentukan kunci terkelola pelanggan, Athena menggunakannya untuk mengenkripsi hasil kueri saat disimpan dalam hasil kueri terkelola. Kunci yang sama digunakan untuk mendekripsi hasil saat Anda menelepon. `GetQueryResults` Ketika Anda menyetel status kunci yang dikelola pelanggan untuk dinonaktifkan atau menjadwalkannya untuk dihapus, ini mencegah Athena dan semua pengguna mengenkripsi atau mendekripsi hasil dengan kunci itu.
Athena menggunakan enkripsi amplop dan hierarki kunci untuk mengenkripsi data. Kunci AWS KMS enkripsi Anda digunakan untuk menghasilkan dan mendekripsi kunci root dari hierarki kunci ini.
Setiap hasil dienkripsi menggunakan kunci terkelola pelanggan yang dikonfigurasi di workgroup pada saat enkripsi. Mengalihkan kunci ke kunci yang dikelola pelanggan yang berbeda atau ke kunci yang AWS dimiliki tidak mengenkripsi ulang hasil yang ada dengan kunci baru. Menghapus dan menonaktifkan kunci terkelola pelanggan tertentu hanya memengaruhi dekripsi hasil yang dienkripsi oleh kunci tersebut.
Athena membutuhkan akses ke kunci enkripsi Anda untuk melakukan`kms:Decrypt`,`kms:GenerateDataKey`, dan `kms:DescribeKey` operasi untuk mengenkripsi dan mendekripsi hasil. Untuk informasi selengkapnya, lihat [Izin untuk data terenkripsi di Amazon S3](encryption.md#permissions-for-encrypting-and-decrypting-data).
Prinsipal yang mengirimkan kueri menggunakan `StartQueryExecution` API dan membaca hasil menggunakan juga `GetQueryResults` harus memiliki izin ke kunci yang dikelola pelanggan untuk`kms:Decrypt`,`kms:GenerateDataKey`, dan `kms:DescribeKey` operasi selain izin Athena dan Amazon S3. Untuk informasi selengkapnya, lihat [Kebijakan utama di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users).