# 密钥管理
<a name="key-management"></a>

Amazon Athena 支持使用 AWS Key Management Service (AWS KMS) 来加密 Amazon S3 和 Athena 查询结果中的数据集。AWS KMS 使用客户自主管理型密钥加密 Amazon S3 对象，并依赖于[信封加密](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)。

在 AWS KMS 中，您可以执行以下操作：
+  [创建密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) 
+  [为新的客户自主管理型密钥导入您自己的密钥材料](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) 

**注意**  
Athena 仅支持读取和写入数据的对称密钥。

有关更多信息，请参阅《AWS Key Management Service 开发人员指南**》中的[什么是 AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 和 [Amazon Simple Storage Service 如何使用 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-s3.html)。要查看账户中 AWS 为您创建和管理的密钥，请在导航窗格中选择 **AWS 托管式密钥**。

如果您要上载或访问使用 SSE-KMS 加密的对象，请使用 AWS 签名版本 4 来提高安全性。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南**》中的 [在请求身份验证中指定签名版本](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingAWSSDK.html#specify-signature-version)。

如果您的 Athena 工作负载加密大量数据，您可以使用 Amazon S3 存储桶密钥来降低成本。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南**》中的 [使用 Amazon S3 存储桶密钥降低 SSE-KMS 的成本](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)。