Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Perlindungan data di Athena
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
Sebagai langkah keamanan tambahan, Anda dapat menggunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia)global untuk membatasi permintaan hanya yang dibuat dari Athena. Untuk informasi selengkapnya, lihat [Gunakan tombol CalledVia konteks untuk Athena](security-iam-athena-calledvia.md).
## Lindungi berbagai jenis data
Beberapa jenis data yang terlibat saat Anda menggunakan Athena untuk membuat basis data dan tabel. Tipe data ini mencakup data sumber yang disimpan di Amazon S3, metadata untuk database, dan tabel yang Anda buat saat menjalankan kueri atau AWS Glue Crawler untuk menemukan data, data hasil kueri, dan riwayat kueri. Bagian ini membahas setiap jenis data dan memberikan panduan tentang melindunginya.
+ **Sumber data** — Anda menyimpan data untuk database dan tabel di Amazon S3, dan Athena tidak memodifikasinya. Untuk informasi selengkapnya, lihat [Perlindungan data di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*. Anda mengontrol akses ke sumber data Anda dan dapat mengenkripsi di Amazon S3. Anda dapat menggunakan Athena untuk[membuat tabel berdasarkan set data terenkripsi di Amazon S3](creating-tables-based-on-encrypted-datasets-in-s3.md).
+ **Database dan metadata tabel (skema) —** Athena menggunakan schema-on-read teknologi, yang berarti bahwa definisi tabel Anda diterapkan ke data Anda di Amazon S3 saat Athena menjalankan kueri. Skema apa pun yang Anda tentukan akan disimpan secara otomatis kecuali Anda menghapusnya secara eksplisit. Di Athena, Anda dapat memodifikasi metadata Katalog Data menggunakan pernyataan DDL. Anda juga dapat menghapus definisi tabel dan skema tanpa mempengaruhi data yang mendasari disimpan di Amazon S3. Metadata untuk basis data dan tabel yang Anda gunakan di Athena disimpan dalam AWS Glue Data Catalog.
Anda dapat [menentukan kebijakan akses berbutir halus ke database dan tabel](fine-grained-access-to-glue-resources.md) yang terdaftar di AWS Glue Data Catalog using AWS Identity and Access Management (IAM). Anda juga dapat[mengenkripsi metadata di AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/encrypt-glue-data-catalog.html). Jika Anda mengenkripsi metadata, gunakan[izin untuk metadata terenkripsi](encryption.md#glue-encryption)Untuk akses.
+ **Hasil kueri dan riwayat kueri, termasuk kueri tersimpan**— Hasil kueri disimpan di lokasi di Amazon S3 yang dapat Anda pilih untuk menentukan secara global, atau untuk setiap grup kerja. Jika tidak ditentukan, Athena menggunakan lokasi default dalam setiap kasus. Anda mengontrol akses ke bucket Amazon S3 tempat Anda menyimpan hasil kueri dan kueri disimpan. Selain itu, Anda dapat memilih untuk mengenkripsi hasil kueri yang Anda simpan di Amazon S3. Pengguna Anda harus memiliki izin yang sesuai untuk mengakses lokasi Amazon S3 dan mendekripsi file. Untuk informasi lebih lanjut, lihat [Enkripsi hasil kueri Athena yang disimpan di Amazon S3](encrypting-query-results-stored-in-s3.md) di dokumen ini.
Athena mengekalkan riwayat pertanyaan selama 45 hari. Anda dapat [melihat riwayat kueri](queries-viewing-history.md) menggunakan Athena APIs, di konsol, dan dengan. AWS CLI Untuk menyimpan pertanyaan selama lebih dari 45 hari, menyimpannya. Untuk melindungi akses ke kueri yang disimpan,[Gunakan grup kerja](workgroups-manage-queries-control-costs.md)di Athena, membatasi akses ke kueri yang disimpan hanya untuk pengguna yang berwenang untuk melihatnya.
**Topics**
+ [Lindungi berbagai jenis data](#security-data-protection-types-of-data)
+ [Enkripsi saat diam](encryption.md)
+ [Enkripsi saat bergerak](encryption-in-transit.md)
+ [Manajemen kunci](key-management.md)
+ [Privasi lalu lintas antarjaringan](internetwork-traffic-privacy.md)
# Enkripsi saat diam
Anda dapat menjalankan kueri di Amazon Athena pada data terenkripsi di Amazon S3 di Wilayah yang sama dan di sejumlah Wilayah. Anda juga dapat mengenkripsi hasil kueri di Amazon S3 dan data di Katalog Data AWS Glue .
Anda dapat mengenkripsi aset berikut di Athena:
+ Hasil dari semua kueri di Amazon S3, yang Athena toko di lokasi yang dikenal sebagai Amazon S3 hasil lokasi. Anda dapat mengenkripsi hasil kueri disimpan di Amazon S3 apakah set data yang mendasari dienkripsi di Amazon S3 atau tidak. Untuk informasi, lihat [Enkripsi hasil kueri Athena yang disimpan di Amazon S3](encrypting-query-results-stored-in-s3.md).
+ Data dalam Katalog AWS Glue Data. Untuk informasi, lihat [Izin untuk metadata terenkripsi dalam Katalog Data AWS Glue](#glue-encryption).
**catatan**
Saat Anda menggunakan Athena untuk membaca tabel terenkripsi, Athena menggunakan opsi enkripsi yang ditentukan untuk data tabel, bukan opsi enkripsi untuk hasil kueri. Jika metode atau kunci enkripsi terpisah dikonfigurasi untuk hasil kueri dan data tabel, Athena membaca data tabel tanpa menggunakan opsi enkripsi dan kunci yang digunakan untuk mengenkripsi atau mendekripsi hasil kueri.
Namun, jika Anda menggunakan Athena untuk menyisipkan data ke dalam tabel yang memiliki data terenkripsi, Athena menggunakan konfigurasi enkripsi yang ditentukan untuk hasil kueri untuk mengenkripsi data yang dimasukkan. Misalnya, jika Anda menentukan `CSE_KMS` enkripsi untuk hasil kueri, Athena menggunakan ID AWS KMS kunci yang sama dengan yang Anda gunakan untuk enkripsi hasil kueri untuk mengenkripsi data tabel yang disisipkan. `CSE_KMS`
**Topics**
+ [Opsi enkripsi Amazon S3 yang didukung](#encryption-options-S3-and-Athena)
+ [Izin untuk data terenkripsi di Amazon S3](#permissions-for-encrypting-and-decrypting-data)
+ [Izin untuk metadata terenkripsi dalam Katalog Data AWS Glue](#glue-encryption)
+ [Migrasi dari CSE-KMS ke SSE-KMS](migrating-csekms-ssekms.md)
+ [Enkripsi hasil kueri Athena yang disimpan di Amazon S3](encrypting-query-results-stored-in-s3.md)
+ [Buat tabel berdasarkan kumpulan data terenkripsi di Amazon S3](creating-tables-based-on-encrypted-datasets-in-s3.md)
## Opsi enkripsi Amazon S3 yang didukung
Athena mendukung opsi enkripsi berikut untuk set data dan hasil kueri di Amazon S3.
| Jenis enkripsi | Deskripsi | Dukungan Lintas Wilayah |
| --- | --- | --- |
| [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) | Enkripsi sisi server dengan kunci yang dikelola Amazon S3 (SSE-S3). | Ya |
| [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) (Direkomendasikan) | Enkripsi sisi server (SSE) dengan kunci yang AWS Key Management Service dikelola pelanggan. | Ya |
| [CSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-kms-managed-master-key-intro) | Enkripsi sisi klien (CSE) dengan kunci yang dikelola AWS KMS pelanggan. Di Athena, opsi ini mengharuskan Anda menggunakan `CREATE TABLE` pernyataan dengan `TBLPROPERTIES` klausa yang menentukan `'has_encrypted_data'='true'` atau dengan. `'encryption_option'='CSE_KMS'` `'kms_key'='kms_key_arn'` Untuk informasi selengkapnya, lihat [Buat tabel berdasarkan kumpulan data terenkripsi di Amazon S3](creating-tables-based-on-encrypted-datasets-in-s3.md). | Tidak |
*Untuk informasi selengkapnya tentang AWS KMS enkripsi dengan Amazon S3, lihat [Apa itu AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) dan Bagaimana Amazon Simple Storage Service ([Amazon S3) menggunakan Simple Storage Service (Amazon S3) AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-s3.html) dalam Panduan Pengembang.AWS Key Management Service * *Untuk informasi selengkapnya tentang penggunaan SSE-KMS atau CSE-KMS dengan Athena, lihat [Peluncuran: Amazon Athena menambahkan dukungan](https://aws.amazon.com/blogs/aws/launch-amazon-athena-adds-support-for-querying-encrypted-data/) untuk kueri data terenkripsi dari Big Data Blog.AWS *
### Rekomendasi enkripsi
Saat Anda mengenkripsi dan mendekripsi data tabel dan hasil kueri dengan kunci KMS yang dikelola pelanggan, kami sarankan Anda menggunakan enkripsi SSE-KMS melalui metode enkripsi SSE-S3 atau CSE-KMS. SSE-KMS menyediakan keseimbangan kontrol, kesederhanaan, dan kinerja yang menjadikannya metode yang direkomendasikan ketika Anda menggunakan kunci KMS terkelola untuk enkripsi data.
**Manfaat SSE-KMS dibandingkan SSE-S3**
+ SSE-KMS memungkinkan Anda untuk menentukan dan mengelola kunci Anda sendiri, memberikan kontrol yang lebih besar. Anda dapat menentukan kebijakan utama, mengawasi siklus hidup utama, dan memantau penggunaan kunci.
**Manfaat SSE-KMS dibandingkan CSE-KMS**
+ SSE-KMS menghilangkan kebutuhan infrastruktur tambahan untuk mengenkripsi dan mendekripsi data, tidak seperti CSE-KMS yang membutuhkan pemeliharaan berkelanjutan dari klien enkripsi S3.
+ CSE-KMS mungkin menghadapi masalah kompatibilitas antara klien enkripsi S3 yang lebih baru dan yang lebih lama karena algoritma enkripsi yang berkembang, masalah yang dihindari SSE-KMS.
+ SSE-KMS membuat lebih sedikit panggilan API ke layanan KMS untuk pengambilan kunci selama proses enkripsi dan dekripsi, menghasilkan kinerja yang lebih baik dibandingkan dengan CSE-KMS.
### Opsi yang tidak didukung
Opsi enkripsi berikut tidak didukung:
+ Kunci yang disediakan pelanggan (SSE-C)
+ Enkripsi sisi klien menggunakan kunci terkelola sisi klien.
+ Kunci asimetris.
Untuk membandingkan opsi enkripsi Amazon S3, lihat [Melindungi data menggunakan enkripsi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
### Alat untuk enkripsi sisi klien
Untuk enkripsi sisi klien, perhatikan bahwa dua alat yang tersedia:
+ [Klien enkripsi Amazon S3](https://docs.aws.amazon.com/AWSJavaSDK/latest/javadoc/com/amazonaws/services/s3/AmazonS3EncryptionClient.html) — Ini mengenkripsi data hanya untuk Amazon S3 dan didukung oleh Athena.
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)SDK dapat digunakan untuk mengenkripsi data di mana saja AWS tetapi tidak secara langsung didukung oleh Athena.
Alat-alat ini tidak kompatibel, dan data yang dienkripsi menggunakan satu alat tidak dapat didekripsi oleh yang lain. Athena hanya mendukung Amazon S3 Encryption Client secara langsung. Jika Anda menggunakan SDK untuk mengenkripsi data Anda, Anda dapat menjalankan kueri dari Athena, tetapi data tersebut dikembalikan sebagai teks terenkripsi.
Jika Anda ingin menggunakan Athena untuk mengkueri data yang telah dienkripsi dengan AWS Enkripsi SDK, Anda harus mengunduh dan mendekripsi data Anda, dan kemudian mengenkripsi lagi menggunakan Amazon S3 Encryption Client.
## Izin untuk data terenkripsi di Amazon S3
Bergantung pada jenis enkripsi yang Anda gunakan di Amazon S3, Anda mungkin perlu menambahkan izin, juga dikenal sebagai tindakan “Izinkan”, ke kebijakan yang digunakan di Athena:
+ **SSE-S3**— Jika Anda menggunakan SSE-S3 untuk enkripsi, pengguna Athena tidak memerlukan izin tambahan dalam kebijakan mereka. Ini cukup untuk memiliki izin Amazon S3 yang sesuai untuk lokasi Amazon S3 yang sesuai dan untuk tindakan Athena. Untuk informasi selengkapnya tentang kebijakan yang mengizinkan izin Athena dan Amazon S3 yang sesuai, lihat dan. [AWS kebijakan terkelola untuk Amazon Athena](security-iam-awsmanpol.md) [Kontrol akses ke Amazon S3 dari Athena](s3-permissions.md)
+ **AWS KMS**— Jika Anda menggunakan AWS KMS untuk enkripsi, pengguna Athena harus diizinkan untuk melakukan AWS KMS tindakan tertentu selain izin Athena dan Amazon S3. Anda mengizinkan tindakan ini dengan mengedit kebijakan kunci untuk kunci terkelola pelanggan yang digunakan untuk mengenkripsi data di Amazon S3. Untuk menambahkan pengguna kunci ke kebijakan AWS KMS kunci yang sesuai, Anda dapat menggunakan AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms). Untuk informasi tentang cara menambahkan pengguna ke kebijakan AWS KMS utama, lihat [Mengizinkan pengguna kunci menggunakan kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) di *Panduan AWS Key Management Service Pengembang*.
**catatan**
Advanced key policy administrator dapat menyesuaikan kebijakan kunci. `kms:Decrypt` adalah tindakan minimum yang diizinkan bagi pengguna Athena untuk bekerja dengan set data terenkripsi. Untuk bekerja dengan hasil kueri terenkripsi, tindakan minimum yang diizinkan `kms:GenerateDataKey` dan `kms:Decrypt`.
Saat menggunakan Athena untuk menanyakan kumpulan data di Amazon S3 dengan sejumlah besar objek yang dienkripsi, mungkin menghambat hasil kueri. AWS KMS AWS KMS Ini lebih mungkin terjadi jika ada sejumlah besar objek kecil. Athena mendukung permintaan coba lagi, tetapi kesalahan throttling mungkin masih terjadi. Jika Anda bekerja dengan sejumlah besar objek terenkripsi dan mengalami masalah ini, salah satu opsi adalah mengaktifkan kunci bucket Amazon S3 untuk mengurangi jumlah panggilan ke KMS. Untuk informasi selengkapnya, lihat [Mengurangi biaya SSE-KMS dengan kunci Bucket Amazon S3 di Panduan Pengguna Layanan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) Penyimpanan *Sederhana Amazon*. Pilihan lain adalah meningkatkan kuota layanan Anda untuk AWS KMS. Untuk informasi selengkapnya, lihat [kuota Lambda](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html#requests-per-second) in the *Panduan Developer AWS Key Management Service *.
Untuk informasi pemecahan masalah tentang izin saat menggunakan Amazon S3 dengan Athena, lihat[Izin](troubleshooting-athena.md#troubleshooting-athena-permissions)Bagian dari[Memecahkan masalah di Athena](troubleshooting-athena.md)topik.
## Izin untuk metadata terenkripsi dalam Katalog Data AWS Glue
Jika Anda [mengenkripsi metadata di AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/encrypt-glue-data-catalog.html), Anda harus menambahkan, `"kms:GenerateDataKey"``"kms:Decrypt"`, dan `"kms:Encrypt"` tindakan ke kebijakan yang Anda gunakan untuk mengakses Athena. Untuk informasi, lihat [Konfigurasikan akses dari Athena ke metadata terenkripsi di AWS Glue Data Catalog](access-encrypted-data-glue-data-catalog.md).
# Migrasi dari CSE-KMS ke SSE-KMS
Anda dapat menentukan enkripsi CSE-KMS dengan dua cara — selama konfigurasi enkripsi hasil kueri kelompok kerja dan dalam pengaturan sisi klien. Untuk informasi selengkapnya, lihat [Enkripsi hasil kueri Athena yang disimpan di Amazon S3](encrypting-query-results-stored-in-s3.md). Selama proses migrasi, penting untuk mengaudit alur kerja yang ada yang membaca dan menulis data CSE-KMS, mengidentifikasi kelompok kerja tempat CSE-KMS dikonfigurasi, dan menemukan instance di mana CSE-KMS diatur melalui parameter sisi klien.
## Perbarui pengaturan enkripsi hasil kueri kelompok kerja
------
#### [ Console ]
**Untuk memperbarui pengaturan enkripsi di konsol Athena**
1. Buka konsol Athena di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/).
1. **Di panel navigasi konsol Athena, pilih Workgroups.**
1. Pada halaman **Workgroups**, pilih tombol untuk workgroup yang ingin Anda edit.
1. Pilih **Tindakan**, **Edit**.
1. Buka **konfigurasi hasil Kueri** dan pilih **Enkripsi hasil kueri**.
1. Untuk bagian **jenis Enkripsi**, pilih opsi enkripsi **SSE\$1KMS**.
1. Masukkan kunci KMS Anda di bawah **Pilih tombol AWS KMS yang berbeda (lanjutan)**.
1. Pilih **Simpan perubahan**. Workgroup yang diperbarui muncul dalam daftar di halaman **Workgroups**.
------
#### [ CLI ]
Jalankan perintah berikut untuk memperbarui konfigurasi enkripsi hasil kueri Anda ke SSE-KMS di workgroup Anda.
```
aws athena update-work-group \
--work-group "my-workgroup" \
--configuration-updates '{
"ResultConfigurationUpdates": {
"EncryptionConfiguration": {
"EncryptionOption": "SSE_KMS",
"KmsKey": ""
}
}
}'
```
------
## Perbarui setelan enkripsi hasil kueri sisi klien
------
#### [ Console ]
Untuk memperbarui setelan sisi klien untuk enkripsi hasil kueri dari CSE-KMS ke SSE-KMS, lihat. [Enkripsi hasil kueri Athena yang disimpan di Amazon S3](encrypting-query-results-stored-in-s3.md)
------
#### [ CLI ]
Anda hanya dapat menentukan konfigurasi enkripsi hasil kueri dalam pengaturan sisi klien dengan perintah. `start-query-execution` Jika Anda menjalankan perintah CLI ini dan mengganti konfigurasi enkripsi hasil kueri yang Anda tentukan dalam grup kerja Anda dengan CSE-KMS, ubah perintah untuk mengenkripsi hasil kueri menggunakan sebagai berikut. `SSE_KMS`
```
aws athena start-query-execution \
--query-string "SELECT * FROM ;" \
--query-execution-context "Database=,Catalog=" \
--result-configuration '{
"EncryptionConfiguration": {
"EncryptionOption": "SSE_KMS",
"KmsKey": ""
}
}' \
--work-group ""
```
------
**catatan**
Setelah Anda memperbarui pengaturan workgroup atau sisi klien, data baru apa pun yang Anda masukkan dengan kueri tulis menggunakan enkripsi SSE-KMS, bukan CSE-KMS. Ini karena konfigurasi enkripsi hasil kueri juga berlaku untuk data tabel yang baru dimasukkan. Hasil kueri Athena, metadata, dan file manifes juga dienkripsi dengan SSE-KMS.
Athena masih dapat membaca tabel dengan properti `has_encrypted_data` tabel bahkan ketika ada campuran objek CSE-KMS terenkripsi dan SSE-S3/SSE-KMS.
# Ubah data tabel CSE-KMS ke SSE-KMS
Jika alur kerja Anda saat ini menggunakan CSE-KMS untuk enkripsi data tabel, transisi ke SSE-KMS dengan langkah-langkah berikut.
## Prasyarat
Jika Anda masih menulis data menggunakan grup kerja CSE-KMS atau pengaturan sisi klien, ikuti langkah-langkah untuk memperbaruinya ke SSE-KMS. [Migrasi dari CSE-KMS ke SSE-KMS](migrating-csekms-ssekms.md) Ini mencegah data terenkripsi CSE-KMS baru ditambahkan selama proses migrasi dari alur kerja lain yang mungkin menulis ke tabel.
## Migrasi data
1. Periksa apakah tabel memiliki `has_encrypted_data` properti yang disetel ke`true`. Properti ini menentukan bahwa tabel mungkin berisi data terenkripsi CSE-KMS. Namun, penting untuk dicatat bahwa properti ini dapat hadir bahkan pada tabel tanpa data terenkripsi CSE-KMS yang sebenarnya.
------
#### [ Console ]
1. Buka konsol Athena di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/).
1. Pilih **Luncurkan editor kueri**.
1. Di sisi kiri editor, di bawah **Database**, pilih database yang ingin Anda kueri.
1. Di editor Query, jalankan query berikut untuk melihat nilai yang disetel ke `has_encrypted_data table` properti.
```
SHOW TBLPROPERTIES ('has_encrypted_data');
```
------
#### [ CLI ]
Mulai Athena query yang menunjukkan nilai `has_encrypted_data` properti pada tabel seperti yang ditunjukkan pada contoh berikut.
```
aws athena start-query-execution \
--query-string "SHOW TBLPROPERTIES ('has_encrypted_data');" \
--work-group ""
```
Ambil hasil query untuk memeriksa nilai properti `has_encrypted_data` tabel untuk tabel seperti yang ditunjukkan pada contoh berikut.
```
aws athena get-query-results --query-execution-id
```
------
1. Untuk setiap objek terenkripsi CSE-KMS dalam tabel.
1. Unduh objek dari S3 menggunakan klien enkripsi S3 dan dekripsi. Berikut adalah contoh dengan AWS Java SDK V2.
**Impor**
```
import software.amazon.awssdk.core.ResponseInputStream;
import software.amazon.awssdk.services.s3.model.GetObjectRequest;
import software.amazon.awssdk.services.s3.model.GetObjectResponse;
import software.amazon.encryption.s3.S3EncryptionClient;
import software.amazon.encryption.s3.materials.Keyring;
import software.amazon.encryption.s3.materials.KmsDiscoveryKeyring;
```
Kode
```
final Keyring kmsDiscoveryKeyRing = KmsDiscoveryKeyring.builder()
.enableLegacyWrappingAlgorithms(true)
.build();
final S3EncryptionClient s3EncryptionClient = S3EncryptionClient.builder()
.enableLegacyUnauthenticatedModes(true)
.keyring(kmsDiscoveryKeyRing)
.build();
GetObjectRequest getObjectRequest = GetObjectRequest.builder()
.bucket("amzn-s3-demo-bucket")
.key("")
.build();
ResponseInputStream s3Object = s3EncryptionClient.getObject(getObjectRequest);
```
1. Unggah objek ke S3 dengan nama yang sama dan enkripsi SSE-KMS. Berikut adalah contoh dengan AWS Java SDK V2.
**Impor**
```
import software.amazon.awssdk.core.ResponseInputStream;
import software.amazon.awssdk.core.sync.RequestBody;
import software.amazon.awssdk.services.s3.S3Client;
import software.amazon.awssdk.services.s3.model.PutObjectRequest;
import software.amazon.awssdk.services.s3.model.ServerSideEncryption;
```
**Kode**
```
final S3Client s3Client = S3Client.builder()
.build();
PutObjectRequest putObjectRequest = PutObjectRequest.builder()
.bucket("amzn-s3-demo-bucket")
.key("")
.serverSideEncryption(ServerSideEncryption.AWS_KMS)
.ssekmsKeyId("")
.build();
s3Client.putObject(putObjectRequest, RequestBody.fromBytes(s3Object.readAllBytes()));
```
## Pasca migrasi
Setelah berhasil mengenkripsi ulang semua file CSE-KMS dalam tabel, lakukan langkah-langkah berikut.
1. Hapus `has_encrypted_data` properti dari tabel.
------
#### [ Console ]
1. Buka konsol Athena di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/).
1. Pilih **Luncurkan editor kueri**.
1. Di sisi kiri editor, di bawah **Database**, pilih database yang ingin Anda kueri.
1. Di editor Query, jalankan query berikut untuk tabel Anda.
```
ALTER TABLE . UNSET TBLPROPERTIES ('has_encrypted_data')
```
------
#### [ CLI ]
Jalankan perintah berikut untuk menghapus `has_encrypted_data` properti dari tabel Anda.
```
aws athena start-query-execution \
--query-string "ALTER TABLE . UNSET TBLPROPERTIES ('has_encrypted_data');" \
--work-group ""
```
------
1. Perbarui alur kerja Anda untuk menggunakan klien S3 dasar alih-alih klien enkripsi S3 dan kemudian tentukan enkripsi SSE-KMS untuk penulisan data.
# Enkripsi hasil kueri Athena yang disimpan di Amazon S3
Anda mengatur enkripsi hasil kueri menggunakan konsol Athena atau saat menggunakan JDBC atau ODBC. Grup kerja memungkinkan Anda untuk menegakkan enkripsi hasil kueri.
**catatan**
Saat Anda mengenkripsi hasil kueri, Athena mengenkripsi semua objek yang ditulis oleh kueri. Ini termasuk hasil pernyataan seperti`INSERT INTO`,`UPDATE`, dan kueri data dalam Iceberg atau format lainnya.
Di konsol, Anda dapat mengonfigurasi pengaturan untuk enkripsi hasil kueri dengan dua cara:
+ **Pengaturan sisi klien**— Saat Anda menggunakan**Pengaturan**di konsol atau operasi API untuk menunjukkan bahwa Anda ingin mengenkripsi hasil kueri, ini dikenal sebagai menggunakan pengaturan sisi klien. Pengaturan sisi klien termasuk permintaan hasil lokasi dan enkripsi. Jika Anda menentukan mereka, mereka digunakan, kecuali mereka ditimpa oleh pengaturan grup kerja.
+ **Pengaturan Workgroup** — Bila Anda [membuat atau mengedit workgroup](creating-workgroups.md) dan memilih bidang **Override client-side settings**, maka semua query yang berjalan di workgroup ini menggunakan enkripsi workgroup dan pengaturan lokasi hasil kueri. Untuk informasi selengkapnya, lihat [Ganti pengaturan sisi klien](workgroups-settings-override.md).
**Untuk mengenkripsi hasil kueri yang disimpan di Amazon S3 menggunakan konsol**
**penting**
Jika workgroup Anda memiliki bidang **Override setelan sisi klien yang dipilih, maka semua kueri di workgroup menggunakan pengaturan** workgroup. Konfigurasi enkripsi dan lokasi hasil kueri yang ditentukan pada tab **Pengaturan** di konsol Athena, menurut operasi API dan oleh driver JDBC dan ODBC tidak digunakan. Untuk informasi selengkapnya, lihat [Ganti pengaturan sisi klien](workgroups-settings-override.md).
1. Dalam konsol Athena, pilih **Pengaturan**.
![\[Tab Pengaturan dari editor kueri Athena.\]](http://docs.aws.amazon.com/id_id/athena/latest/ug/images/settings.png)
1. Pilih **Kelola**.
1. Untuk **Lokasi hasil kueri**, masukkan atau pilih jalur Amazon S3. Ini adalah lokasi Amazon S3 tempat hasil kueri disimpan.
1. Pilih **Enkripsi hasil kueri**.
![\[Opsi Enkripsi hasil kueri pada halaman Kelola pengaturan konsol Athena.\]](http://docs.aws.amazon.com/id_id/athena/latest/ug/images/encrypt-query-results.png)
1. Untuk**Jenis enkripsi**, pilih**CSE-KMS**,**SSE-KM**, atau**SSE-S3**. Dari ketiganya, **CSE-KMS** menawarkan tingkat enkripsi tertinggi dan **SSE-S3** terendah.
1. Jika Anda memilih **SSE-KMS atau CSE-KMS****, tentukan** kunci. AWS KMS
+ Untuk **Pilih AWS KMS kunci**, jika akun Anda memiliki akses ke kunci terkelola AWS KMS pelanggan yang ada, pilih aliasnya atau masukkan AWS KMS kunci ARN.
+ Jika akun Anda tidak memiliki akses ke kunci terkelola pelanggan yang sudah ada, pilih **Buat AWS KMS kunci**, lalu buka [AWS KMS konsol](https://console.aws.amazon.com/kms). Untuk informasi selengkapnya, lihat [Membuat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS Key Management Service Pengembang*.
**catatan**
Athena hanya mendukung kunci simetris untuk membaca dan menulis data.
1. Kembali ke konsol Athena dan pilih kunci yang Anda buat dengan alias atau ARN.
1. Pilih **Simpan**.
## Enkripsi hasil kueri Athena saat Anda menggunakan JDBC atau ODBC
Jika Anda terhubung menggunakan driver JDBC atau ODBC, Anda mengonfigurasi opsi driver untuk menentukan jenis enkripsi yang akan digunakan dan lokasi direktori pementasan Amazon S3. Untuk mengonfigurasi driver JDBC atau ODBC untuk mengenkripsi hasil kueri Anda menggunakan salah satu protokol enkripsi yang didukung Athena, lihat. [Connect ke Amazon Athena dengan driver ODBC dan JDBC](athena-bi-tools-jdbc-odbc.md)
# Buat tabel berdasarkan kumpulan data terenkripsi di Amazon S3
Athena dapat membaca dan menulis ke tabel yang dataset dasarnya adalah SSE-S3, SSE-KMS, atau CSE-KMS terenkripsi. Bergantung pada opsi enkripsi yang digunakan untuk data tabel dan jenis kueri yang dijalankan, Anda mungkin harus menentukan beberapa properti tabel tambahan untuk membaca dan menulis data terenkripsi.
## Membaca tabel terenkripsi SSE-S3/SSE-KMS
Tidak ada properti tabel tambahan yang perlu ditentukan pada pembuatan tabel untuk membaca kumpulan data terenkripsi SSE-S3/SSE-KMS. Amazon S3 menangani dekripsi objek SSE secara otomatis.
## Membaca tabel terenkripsi CSE-KMS
Ada dua set properti tabel yang berbeda yang dapat ditentukan agar Athena membaca kumpulan data terenkripsi CSE-KMS,
+ Menggunakan properti `encryption_option` dan `kms_key` tabel (Disarankan)
+ Menggunakan properti `has_encrypted_data` tabel
**penting**
Jika Anda menggunakan Amazon EMR bersama dengan EMRFS untuk mengunggah file Parket terenkripsi CSE-KMS, Anda harus menonaktifkan unggahan multibagian dengan menyetelnya. `fs.s3n.multipart.uploads.enabled` `false` Jika Anda tidak melakukan ini, Athena tidak dapat menentukan panjang file Parquet dan**HIVE\$1CANNOT\$1OPEN\$1SPLIT**Terjadi kesalahan. Untuk informasi lebih lanjut, lihat [Konfigurasi unggahan multipart untuk Amazon S3](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-upload-s3.html#Config_Multipart) di *Amazon EMR*.
### Menggunakan properti tabel encryption\$1option dan kms\$1key
Dalam pernyataan [CREATE TABLE](create-table.md), gunakan `TBLPROPERTIES` klausa yang menentukan `encryption_option='CSE_KMS'` dan`kms_key='aws_kms_key_arn'`, seperti pada contoh berikut.
```
CREATE EXTERNAL TABLE 'my_encrypted_data' (
`n_nationkey` int,
`n_name` string,
`n_regionkey` int,
`n_comment` string)
ROW FORMAT SERDE
'org.apache.hadoop.hive.ql.io.parquet.serde.ParquetHiveSerDe'
STORED AS INPUTFORMAT
'org.apache.hadoop.hive.ql.io.parquet.MapredParquetInputFormat'
LOCATION
's3://amzn-s3-demo-bucket/folder_with_my_encrypted_data/'
TBLPROPERTIES (
'encryption_option' = 'CSE_KMS',
'kms_key' = 'arn:aws:kms:us-east-1:012345678901:key/my_kms_key')
```
Ketika properti ini dikonfigurasi,
+ Athena dapat membaca objek terenkripsi CSE-KMS yang dibuat oleh klien enkripsi Amazon S3 V1, V2, atau V3.
+ Athena akan menggunakan AWS KMS kunci `kms_key` untuk mendekripsi data CSE-KMS. Jika ada objek yang dienkripsi dengan AWS KMS kunci yang berbeda, kueri akan gagal.
+ Athena masih dapat membaca objek terenkripsi SSE-S3 dan SSE-KMS, meskipun mencampur objek terenkripsi sisi server dan sisi klien tidak disarankan.
### Menggunakan properti tabel has\$1encrypted\$1data
Dalam[BUAT TABEL](create-table.md)pernyataan, gunakan`TBLPROPERTIES`Klausul yang menentukan`has_encrypted_data='true'`, seperti dalam contoh berikut.
```
CREATE EXTERNAL TABLE 'my_encrypted_data' (
`n_nationkey` int,
`n_name` string,
`n_regionkey` int,
`n_comment` string)
ROW FORMAT SERDE
'org.apache.hadoop.hive.ql.io.parquet.serde.ParquetHiveSerDe'
STORED AS INPUTFORMAT
'org.apache.hadoop.hive.ql.io.parquet.MapredParquetInputFormat'
LOCATION
's3://amzn-s3-demo-bucket/folder_with_my_encrypted_data/'
TBLPROPERTIES (
'has_encrypted_data' = 'true')
```
Ketika properti tabel has\$1encrypted\$1data ditentukan,
+ Athena hanya dapat membaca objek terenkripsi CSE-KMS yang dibuat oleh klien enkripsi Amazon S3 V1.
+ Athena akan menyimpulkan AWS KMS kunci yang digunakan untuk mengenkripsi objek CSE-KMS dari metadata objek dan kemudian menggunakan kunci itu untuk mendekripsi objek.
+ Athena masih dapat membaca objek terenkripsi SSE-S3 dan SSE-KMS, meskipun mencampur objek terenkripsi sisi server dan sisi klien tidak disarankan.
**catatan**
Kapan `encryption_option` dan `kms_key` ditentukan di samping`has_encrypted_data`, properti `encryption_option` dan `kms_key` tabel diutamakan, dan diabaikan`has_encrypted_data`.
Saat Anda menggunakan konsol Athena untuk [membuat tabel menggunakan formulir](data-sources-glue-manual-table.md) dan menentukan lokasi tabel, pilih opsi **Kumpulan data terenkripsi** untuk menambahkan `has_encrypted_data='true'` properti ke tabel.
![\[Pilih Kumpulan data terenkripsi dalam formulir tambahkan tabel\]](http://docs.aws.amazon.com/id_id/athena/latest/ug/images/add-table-form-encrypted-option.png)
Dalam daftar tabel konsol Athena, tabel terenkripsi CSE-KMS dengan menampilkan ikon berbentuk kunci. `has_encrypted_data='true'`
![\[Ikon tabel terenkripsi\]](http://docs.aws.amazon.com/id_id/athena/latest/ug/images/tables-list-encrypted-table-icon.png)
## Menulis data terenkripsi SSE-S3/SSE-KMS/CSE-KMS
Secara default, file data yang baru dimasukkan akan dienkripsi menggunakan konfigurasi enkripsi hasil kueri yang ditentukan dalam workgroup Athena. Untuk menulis data tabel dengan konfigurasi enkripsi yang berbeda dari konfigurasi enkripsi hasil kueri, Anda harus menambahkan beberapa properti tabel tambahan.
Dalam pernyataan [CREATE TABLE](create-table.md), gunakan `TBLPROPERTIES` klausa yang menentukan `encryption_option='SSE_S3 | SSE_KMS | CSE_KMS'` dan`kms_key='aws_kms_key_arn'`, seperti pada contoh berikut.
```
CREATE EXTERNAL TABLE 'my_encrypted_data' (
`n_nationkey` int,
`n_name` string,
`n_regionkey` int,
`n_comment` string)
ROW FORMAT SERDE
'org.apache.hadoop.hive.ql.io.parquet.serde.ParquetHiveSerDe'
STORED AS INPUTFORMAT
'org.apache.hadoop.hive.ql.io.parquet.MapredParquetInputFormat'
LOCATION
's3://amzn-s3-demo-bucket/folder_with_my_encrypted_data/'
TBLPROPERTIES (
'encryption_option' = 'SSE_KMS',
'kms_key' = 'arn:aws:kms:us-east-1:012345678901:key/my_kms_key')
```
Semua data yang baru dimasukkan akan dienkripsi menggunakan konfigurasi enkripsi yang ditentukan oleh properti tabel daripada menggunakan konfigurasi enkripsi hasil kueri di workgroup.
## Pertimbangan dan batasan
Saat menulis dan membaca kumpulan data terenkripsi, pertimbangkan poin-poin berikut.
+ Properti`has_encrypted_data`,`encryption_option`, dan `kms_key` tabel hanya dapat digunakan dengan tabel Hive.
+ Saat membuat tabel dengan data terenkripsi CSE-KMS, kami sarankan Anda memastikan bahwa semua data dienkripsi dengan kunci yang sama. AWS KMS
+ Saat membuat tabel dengan data terenkripsi CSE-KMS, kami sarankan Anda memastikan bahwa semua data dienkripsi CSE-KMS dan tidak ada campuran objek terenkripsi dan CSE-KMS. non-CSE-KMS
# Enkripsi saat bergerak
Selain mengenkripsi data at rest di Amazon S3, Amazon Athena menggunakan enkripsi Transport Layer Security (TLS) untuk data in-transit antara Athena dan Amazon S3, dan antara Athena dan aplikasi pelanggan yang mengaksesnya.
Anda sebaiknya hanya mengizinkan koneksi terenkripsi melalui HTTPS (TLS) menggunakan [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Boolean](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Boolean) di kebijakan IAM bucket Amazon S3.
Hasil kueri yang streaming ke JDBC atau ODBC klien dienkripsi menggunakan TLS. Untuk informasi tentang versi terbaru dari driver JDBC dan ODBC dan dokumentasi mereka, lihat[Connect ke Amazon Athena dengan JDBC](connect-with-jdbc.md)dan[Connect ke Amazon Athena dengan ODBC](connect-with-odbc.md).
Untuk konektor sumber data federasi Athena, dukungan untuk enkripsi dalam perjalanan menggunakan TLS tergantung pada konektor individu. Untuk informasi, lihat dokumentasi untuk [konektor sumber data](connectors-available.md) individual.
# Manajemen kunci
Amazon Athena mendukung AWS Key Management Service (AWS KMS) untuk mengenkripsi kumpulan data di hasil kueri Amazon S3 dan Athena. AWS KMS [menggunakan kunci yang dikelola pelanggan untuk mengenkripsi objek Amazon S3 Anda dan bergantung pada enkripsi amplop.](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)
Di AWS KMS, Anda dapat melakukan tindakan berikut:
+ [Buat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)
+ [Impor materi kunci Anda sendiri untuk kunci yang dikelola pelanggan baru](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html)
**catatan**
Athena hanya mendukung kunci simetris untuk membaca dan menulis data.
Untuk informasi selengkapnya, lihat [Apa yang ada AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) di *Panduan AWS Key Management Service Pengembang*, dan [Cara Amazon Simple Storage Service menggunakan AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-s3.html). Untuk melihat kunci di akun Anda yang AWS membuat dan mengelola untuk Anda, di panel navigasi, pilih **kunci AWS terkelola**.
Jika Anda mengunggah atau mengakses objek yang dienkripsi oleh SSE-KMS, gunakan AWS Signature Version 4 untuk keamanan tambahan. Untuk informasi selengkapnya, lihat [Menentukan versi tanda tangan dalam autentikasi permintaan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingAWSSDK.html#specify-signature-version) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
Jika beban kerja Athena mengenkripsi sejumlah besar data, Anda dapat menggunakan Amazon S3 Bucket Keys untuk mengurangi biaya. Untuk informasi selengkapnya, lihat [Mengurangi biaya SSE-KMS dengan kunci Bucket Amazon S3 di Panduan Pengguna Layanan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) Penyimpanan *Sederhana Amazon*.
# Privasi lalu lintas antarjaringan
Lalu lintas dilindungi baik antara Athena dan aplikasi on-premise dan antara Athena dan Amazon S3. Lalu lintas antara Athena dan layanan lainnya, seperti AWS Glue dan AWS Key Management Service, menggunakan HTTPS secara default.
+ **Untuk lalu Athena klien dan aplikasi on-premise**, hasil kueri yang streaming ke JDBC atau ODBC klien dienkripsi menggunakan Transport Layer Security (TLS).
Anda memiliki dua opsi konektivitas antara jaringan pribadi Anda dan AWS:
+ Site-to-Site VPN Koneksi Site-to-Site VPN. Untuk informasi selengkapnya, lihat [Apa itu Site-to-Site VPN Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) di *Panduan AWS Site-to-Site VPN Pengguna*.
+ Direct Connect Koneksi. Untuk informasi selengkapnya, lihat [Apa itu Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) dalam * Panduan Pengguna Direct Connect *.
+ **Untuk lalu lintas antara bucket Athena dan Amazon S3**, Transport Layer Security (TLS) mengenkripsi objek di-transit antara Athena dan Amazon S3, dan antara Athena dan aplikasi pelanggan yang mengaksesnya, Anda harus mengizinkan hanya koneksi terenkripsi melalui HTTPS (TLS) menggunakan[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Boolean](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Boolean)pada kebijakan Amazon S3 bucket IAM. Meskipun Athena saat ini menggunakan titik akhir publik untuk mengakses data di bucket Amazon S3, ini tidak berarti bahwa data tersebut melintasi internet publik. Semua lalu lintas antara Athena dan Amazon S3 dirutekan melalui jaringan dan dienkripsi AWS menggunakan TLS.
+ **Program kepatuhan** — Amazon Athena mematuhi beberapa program AWS kepatuhan, termasuk SOC, PCI, FedRAMP, dan lainnya. Untuk informasi selengkapnya, lihat [Layanan AWS dalam lingkup berdasarkan program kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).