Crittografa utilizzando una chiave proprietaria AWS Crittografa utilizzando una chiave gestita AWS KMS dal cliente In che modo Athena utilizza la chiave gestita dal cliente per crittografare i risultati

Crittografare i risultati delle query gestite

Athena offre le seguenti opzioni per crittografare Risultati delle query gestite.

Crittografa utilizzando una chiave proprietaria AWS

Questa è l’opzione di default quando si utilizzano i risultati di query gestite. Questa opzione indica che si desidera crittografare i risultati delle query utilizzando una chiave AWS proprietaria. AWS le chiavi di proprietà non sono archiviate nel tuo AWS account e fanno parte di una raccolta di chiavi KMS di cui AWS è proprietaria. Non ti viene addebitata alcuna commissione quando utilizzi chiavi AWS di proprietà e queste non vengono conteggiate nelle AWS KMS quote relative al tuo account.

Crittografa utilizzando una chiave gestita AWS KMS dal cliente

Le chiavi gestite dal cliente sono le chiavi KMS del tuo AWS account che crei, possiedi e gestisci. Si ha il controllo completo di queste chiavi KMS, tra cui la definizione e il mantenimento delle policy delle chiavi, delle policy IAM e delle concessioni, l’abilitazione e la disabilitazione di tali chiavi, la rotazione del materiale crittografico, l’aggiunta di tag, la creazione di alias che fanno riferimento a esse e la pianificazione per l’eliminazione. Per ulteriori informazioni, consultare Chiavi master del cliente.

In che modo Athena utilizza la chiave gestita dal cliente per crittografare i risultati

Quando si specifica una chiave gestita dal cliente, Athena la utilizza per crittografare i risultati della query quando vengono archiviati nei risultati delle query gestite. La stessa chiave viene utilizzata per decrittografare i risultati quando si effettua chiamata GetQueryResults. Quando si imposta lo stato della chiave gestita dal cliente su disabilitato o se ne pianifica l’eliminazione, si impedisce ad Athena e a tutti gli utenti di crittografare o decrittografare i risultati con quella chiave.

DynamoDB utilizza la crittografia a busta e la gerarchia delle chiavi per criptare i dati. La chiave di crittografia AWS KMS viene utilizzata per generare e decrittografare la chiave root di questa gerarchia.

Ogni risultato viene crittografato utilizzando la chiave gestita dal cliente configurata nel gruppo di lavoro al momento della crittografia. Il passaggio della chiave a una chiave gestita dal cliente diversa o a una chiave AWS di proprietà non cripta nuovamente i risultati esistenti con la nuova chiave. L’eliminazione e la disabilitazione di una particolare chiave gestita dal cliente influiscono solo sulla decrittografia dei risultati crittografati dalla chiave.

Athena ha bisogno dell’accesso alla chiave di crittografia per eseguire operazioni kms:Decrypt, kms:GenerateDataKey e kms:DescribeKey per crittografare e decrittografare i risultati. Per ulteriori informazioni, consulta Autorizzazioni di accesso a dati crittografati in Amazon S3.

Il principale che invia la query utilizzando l’API StartQueryExecution e legge i risultati utilizzando GetQueryResults deve inoltre disporre dell’autorizzazione alla chiave gestita dal cliente e alle operazioni kms:Decrypt, kms:GenerateDataKey e kms:DescribeKey oltre alle autorizzazioni Athena e Amazon S3. Per ulteriori informazioni, vedere Politiche chiave in. AWS KMS

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Risultati delle query gestite

Specificare una posizione dei risultati delle query