Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Risultati delle query gestite
<a name="managed-results"></a>

Con i risultati delle query gestite, è possibile eseguire query SQL senza fornire un bucket Amazon S3 per lo storage dei risultati delle query. Questo evita di dover fornire, gestire, controllare l’accesso e pulire i bucket S3. Per iniziare, creare un nuovo gruppo di lavoro o modificare un gruppo di lavoro esistente. In **Query result configuration**, seleziona **Athena managed**. 

**Funzionalità principali**
+ Semplificare il flusso di lavoro eliminando la necessità di scegliere una posizione per il bucket S3 prima di eseguire le query.
+ Non vi sono costi aggiuntivi per l’utilizzo dei risultati delle query gestite e l’eliminazione automatica dei risultati delle query riduce il sovraccarico amministrativo e la necessità di processi separati di pulizia dei bucket S3.
+ Iniziare è semplice: i gruppi di lavoro nuovi e preesistenti possono essere configurati facilmente per utilizzare i risultati delle query gestite. Nel tuo account puoi avere una combinazione di risultati di query gestiti da Athena e gestiti dai clienti. AWS 
+ Autorizzazioni IAM semplificate con accesso alla lettura dei risultati tramite `GetQueryResults` e `GetQueryResultsStream` sono legate a singoli gruppi di lavoro.
+ I risultati delle query vengono crittografati automaticamente con chiavi di proprietà o di AWS proprietà del cliente a tua scelta.

## Considerazioni e limitazioni
<a name="managed-results-considerations"></a>

****
+ L’accesso ai risultati delle query è gestito a livello di gruppo di lavoro in Athena. A tal fine, sono necessarie autorizzazioni esplicite ad azioni IAM `GetQueryResults` e `GetQueryResultsStream` sullo specifico gruppo di lavoro. L’azione `GetQueryResults` determina chi può recuperare i risultati di una query completata in un formato impaginato, mentre l’azione `GetQueryResultsStream` determina chi può trasmettere in streaming i risultati di una query completata (comunemente utilizzata dai driver Athena).
+ Non è possibile scaricare dalla console i file dei risultati delle query di dimensioni superiori a 200 MB. Utilizzare l’istruzione `UNLOAD` per scrivere risultati di dimensioni superiori a 200 MB in una posizione che è possibile scaricare separatamente.
+ La funzionalità dei risultati delle query gestite non supporta il [Riutilizzo dei risultati delle query](reusing-query-results.md).
+ I risultati delle query sono disponibili per 24 giorni. I risultati delle query vengono archiviati gratuitamente durante questo periodo. Dopo questo periodo, i risultati delle query vengono poi automaticamente eliminati.

## Creare o modificare un gruppo di lavoro con risultati di query gestite
<a name="using-managed-query-results"></a>

Per creare un gruppo di lavoro o aggiornare un gruppo di lavoro esistente con i risultati di query gestiti dalla console:

1. Apri la console Athena all'indirizzo [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/).

1. Nel riquadro di navigazione a sinistra, scegliere **Workgroups**.

1. Scegliere **Create Workgroup** per creare un nuovo gruppo di lavoro o modificare un gruppo di lavoro esistente dall’elenco.

1. In **Query result configuration**, scegliere **Athena managed**.   
![\[Menu di configurazione dei risultati delle query.\]](http://docs.aws.amazon.com/it_it/athena/latest/ug/images/athena-managed.png)

1. Per **Encrypt query results**, scegliere l’opzione di crittografia desiderata. Per ulteriori informazioni, consulta [Scegliere la crittografia dei risultati della query](#managed-query-results-encryption-at-rest).

1. Inserisci tutti gli altri dettagli richiesti e scegliere **Salva modifiche**. 

## Scegliere la crittografia dei risultati della query
<a name="managed-query-results-encryption-at-rest"></a>

Sono disponibili due opzioni per la configurazione della crittografia:
+ **Crittografa utilizzando una chiave AWS proprietaria**: questa è l'opzione predefinita quando si utilizzano i risultati delle query gestite. Scegliete questa opzione se desiderate che i risultati delle query vengano crittografati con una chiave AWS proprietaria.
+ **Encrypt using customer managed key**: scegli questa opzione se desideri crittografare e decrittografare i risultati delle query con una chiave gestita dal cliente. Per utilizzare una chiave gestita dal cliente, aggiungere il servizio Athena nell’elemento principale della sezione relativa alla policy della chiave. Per ulteriori informazioni, consulta [Imposta una politica AWS KMS chiave per i risultati delle query gestite](#managed-query-results-set-up). Per eseguire correttamente le query, l'utente che esegue le query deve essere autorizzato ad accedere alla AWS KMS chiave.

## Imposta una politica AWS KMS chiave per i risultati delle query gestite
<a name="managed-query-results-set-up"></a>

La sezione sulla policy della chiave `Principal` specifica chi può utilizzare questa chiave. La funzionalità dei risultati delle query gestite introduce il principale `encryption.athena.amazonaws.com` che è necessario specificare nella sezione `Principal` . Questo servizio principale è destinato specificamente alle chiavi di accesso non di proprietà di Athena. È inoltre necessario aggiungere le azioni `kms:Decrypt`, `kms:GenerateDataKey`, `kms:DescribeKey` alla policy della chiave utilizzata per accedere ai risultati gestiti. Queste tre azioni sono le azioni minime consentite.

I risultati delle query gestite utilizzano l’ARN del gruppo di lavoro per il [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context). Poiché la `Principal` sezione è un AWS servizio, è inoltre necessario aggiungere `aws:sourceArn` e `aws:sourceAccount` completare le condizioni chiave della politica. L'esempio seguente mostra una politica AWS KMS chiave con autorizzazioni minime per un singolo gruppo di lavoro.

```
 {
    "Sid": "Allow athena service principal to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "encryption.athena.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:DescribeKey"
      ],
    "Resource": "arn:aws:kms:us-east-1:{account-id}:key/{key-id}",
    "Condition": {
    "ArnLike": {
        "kms:EncryptionContext:aws:athena:arn": "arn:aws:athena:us-east-1:{account-id}:workgroup/{workgroup-name}",
        "aws:SourceArn": "arn:aws:athena:us-east-1:{account-id}:workgroup/{workgroup-name}"
    },
    "StringEquals": {
        "aws:SourceAccount": "{account-id}"
    }
}
```

L'esempio seguente di politica AWS KMS chiave consente a tutti i gruppi di lavoro all'interno dello stesso account di *account-id* utilizzare la stessa chiave. AWS KMS 

```
{
    "Sid": "Allow athena service principal to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "encryption.athena.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:DescribeKey"
    ],
    "Resource": "arn:aws:kms:us-east-1:account-id:key/{key-id}",
    "Condition": {
        "ArnLike": {
          "kms:EncryptionContext:aws:athena:arn": "arn:aws:athena:us-east-1:account-id:workgroup/*",
          "aws:SourceArn": "arn:aws:athena:us-east-1:account-id:workgroup/*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
    }
}
```

Oltre alle autorizzazioni Athena e Amazon S3, bisogna anche ottenere autorizzazioni per eseguire `kms:GenerateDataKey` e azioni `kms:Decrypt`. Per ulteriori informazioni, consulta [Autorizzazioni di accesso a dati crittografati in Amazon S3](encryption.md#permissions-for-encrypting-and-decrypting-data). 

Per ulteriori informazioni sulla crittografia dei risultati delle query gestite, consultare [Crittografare i risultati delle query gestite](encrypting-managed-results.md).

# Crittografare i risultati delle query gestite
<a name="encrypting-managed-results"></a>

Athena offre le seguenti opzioni per crittografare [Risultati delle query gestite](managed-results.md).

## Crittografa utilizzando una chiave proprietaria AWS
<a name="encrypting-managed-results-aws-owned-key"></a>

Questa è l’opzione di default quando si utilizzano i risultati di query gestite. Questa opzione indica che si desidera crittografare i risultati delle query utilizzando una chiave AWS proprietaria. AWS le chiavi di proprietà non sono archiviate nel tuo AWS account e fanno parte di una raccolta di chiavi KMS di cui AWS è proprietaria. Non ti viene addebitata alcuna commissione quando utilizzi chiavi AWS di proprietà e queste non vengono conteggiate nelle AWS KMS quote relative al tuo account.

## Crittografa utilizzando una chiave gestita AWS KMS dal cliente
<a name="encrypting-managed-results-customer-managed-key"></a>

Le chiavi gestite dal cliente sono le chiavi KMS del tuo AWS account che crei, possiedi e gestisci. Si ha il controllo completo di queste chiavi KMS, tra cui la definizione e il mantenimento delle policy delle chiavi, delle policy IAM e delle concessioni, l’abilitazione e la disabilitazione di tali chiavi, la rotazione del materiale crittografico, l’aggiunta di tag, la creazione di alias che fanno riferimento a esse e la pianificazione per l’eliminazione. Per ulteriori informazioni, consultare [Chiavi master del cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).

## In che modo Athena utilizza la chiave gestita dal cliente per crittografare i risultati
<a name="encrypting-managed-results-how-ate-uses-cmk"></a>

Quando si specifica una chiave gestita dal cliente, Athena la utilizza per crittografare i risultati della query quando vengono archiviati nei risultati delle query gestite. La stessa chiave viene utilizzata per decrittografare i risultati quando si effettua chiamata `GetQueryResults`. Quando si imposta lo stato della chiave gestita dal cliente su disabilitato o se ne pianifica l’eliminazione, si impedisce ad Athena e a tutti gli utenti di crittografare o decrittografare i risultati con quella chiave.

DynamoDB utilizza la crittografia a busta e la gerarchia delle chiavi per criptare i dati. La chiave di crittografia AWS KMS viene utilizzata per generare e decrittografare la chiave root di questa gerarchia.

Ogni risultato viene crittografato utilizzando la chiave gestita dal cliente configurata nel gruppo di lavoro al momento della crittografia. Il passaggio della chiave a una chiave gestita dal cliente diversa o a una chiave AWS di proprietà non cripta nuovamente i risultati esistenti con la nuova chiave. L’eliminazione e la disabilitazione di una particolare chiave gestita dal cliente influiscono solo sulla decrittografia dei risultati crittografati dalla chiave.

Athena ha bisogno dell’accesso alla chiave di crittografia per eseguire operazioni `kms:Decrypt`, `kms:GenerateDataKey` e `kms:DescribeKey` per crittografare e decrittografare i risultati. Per ulteriori informazioni, consulta [Autorizzazioni di accesso a dati crittografati in Amazon S3](encryption.md#permissions-for-encrypting-and-decrypting-data). 

Il principale che invia la query utilizzando l’API `StartQueryExecution` e legge i risultati utilizzando `GetQueryResults` deve inoltre disporre dell’autorizzazione alla chiave gestita dal cliente e alle operazioni `kms:Decrypt`, `kms:GenerateDataKey` e `kms:DescribeKey` oltre alle autorizzazioni Athena e Amazon S3. Per ulteriori informazioni, vedere [Politiche chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) in. AWS KMS