Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Enkripsi saat diam
Anda dapat menjalankan kueri di Amazon Athena pada data terenkripsi di Amazon S3 di Wilayah yang sama dan di sejumlah Wilayah. Anda juga dapat mengenkripsi hasil kueri di Amazon S3 dan data di Katalog Data AWS Glue .
Anda dapat mengenkripsi aset berikut di Athena:
+ Hasil dari semua kueri di Amazon S3, yang Athena toko di lokasi yang dikenal sebagai Amazon S3 hasil lokasi. Anda dapat mengenkripsi hasil kueri disimpan di Amazon S3 apakah set data yang mendasari dienkripsi di Amazon S3 atau tidak. Untuk informasi, lihat [Enkripsi hasil kueri Athena yang disimpan di Amazon S3](encrypting-query-results-stored-in-s3.md).
+ Data dalam Katalog AWS Glue Data. Untuk informasi, lihat [Izin untuk metadata terenkripsi di AWS Glue Katalog Data](#glue-encryption).
**catatan**
Saat Anda menggunakan Athena untuk membaca tabel terenkripsi, Athena menggunakan opsi enkripsi yang ditentukan untuk data tabel, bukan opsi enkripsi untuk hasil kueri. Jika metode atau kunci enkripsi terpisah dikonfigurasi untuk hasil kueri dan data tabel, Athena membaca data tabel tanpa menggunakan opsi enkripsi dan kunci yang digunakan untuk mengenkripsi atau mendekripsi hasil kueri.
Namun, jika Anda menggunakan Athena untuk menyisipkan data ke dalam tabel yang memiliki data terenkripsi, Athena menggunakan konfigurasi enkripsi yang ditentukan untuk hasil kueri untuk mengenkripsi data yang dimasukkan. Misalnya, jika Anda menentukan `CSE_KMS` enkripsi untuk hasil kueri, Athena menggunakan ID AWS KMS kunci yang sama dengan yang Anda gunakan untuk enkripsi hasil kueri untuk mengenkripsi data tabel yang disisipkan. `CSE_KMS`
**Topics**
+ [Opsi enkripsi Amazon S3 yang didukung](#encryption-options-S3-and-Athena)
+ [Izin untuk data terenkripsi di Amazon S3](#permissions-for-encrypting-and-decrypting-data)
+ [Izin untuk metadata terenkripsi di AWS Glue Katalog Data](#glue-encryption)
+ [Migrasi dari ke CSE-KMS SSE-KMS](migrating-csekms-ssekms.md)
+ [Enkripsi hasil kueri Athena yang disimpan di Amazon S3](encrypting-query-results-stored-in-s3.md)
+ [Buat tabel berdasarkan kumpulan data terenkripsi di Amazon S3](creating-tables-based-on-encrypted-datasets-in-s3.md)
## Opsi enkripsi Amazon S3 yang didukung
Athena mendukung opsi enkripsi berikut untuk set data dan hasil kueri di Amazon S3.
| Jenis enkripsi | Deskripsi | Cross-Region dukungan |
| --- | --- | --- |
| [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) | Enkripsi sisi server (SSE) dengan S3-managed kunci Amazon. | Ya |
| [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)(Direkomendasikan) | Server-side enkripsi (SSE) dengan kunci yang dikelola AWS Key Management Service pelanggan. | Ya |
| [CSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-kms-managed-master-key-intro) | Client-side enkripsi (CSE) dengan kunci yang dikelola AWS KMS pelanggan. Di Athena, opsi ini mengharuskan Anda menggunakan `CREATE TABLE` pernyataan dengan `TBLPROPERTIES` klausa yang menentukan `'has_encrypted_data'='true'` atau dengan. `'encryption_option'='CSE_KMS'` `'kms_key'='kms_key_arn'` Untuk informasi selengkapnya, lihat [Buat tabel berdasarkan kumpulan data terenkripsi di Amazon S3](creating-tables-based-on-encrypted-datasets-in-s3.md). | Tidak |
*Untuk informasi selengkapnya tentang AWS KMS enkripsi dengan Amazon S3, lihat [Apa itu AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) dan Bagaimana Amazon Simple Storage Service ([Amazon S3) menggunakan Simple Storage Service (Amazon S3) AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-s3.html) dalam Panduan Pengembang.AWS Key Management Service * *Untuk informasi selengkapnya tentang menggunakan SSE-KMS atau CSE-KMS dengan Athena, lihat [Peluncuran: Amazon Athena menambahkan dukungan untuk kueri data terenkripsi](https://aws.amazon.com/blogs/aws/launch-amazon-athena-adds-support-for-querying-encrypted-data/) dari Big Data Blog.AWS *
### Rekomendasi enkripsi
Saat Anda mengenkripsi dan mendekripsi data tabel dan hasil kueri dengan kunci KMS yang dikelola pelanggan, sebaiknya gunakan SSE-KMS enkripsi atau metode enkripsi. SSE-S3 CSE-KMS SSE-KMS memberikan keseimbangan kontrol, kesederhanaan, dan kinerja yang menjadikannya metode yang direkomendasikan saat Anda menggunakan kunci KMS terkelola untuk enkripsi data.
**Manfaat SSE-KMS lebih dari SSE-S3**
+ SSE-KMS memungkinkan Anda untuk menentukan dan mengelola kunci Anda sendiri, memberikan kontrol yang lebih besar. Anda dapat menentukan kebijakan utama, mengawasi siklus hidup utama, dan memantau penggunaan kunci.
**Manfaat SSE-KMS lebih dari CSE-KMS**
+ SSE-KMS menghilangkan kebutuhan infrastruktur tambahan untuk mengenkripsi dan mendekripsi data, tidak seperti CSE-KMS yang membutuhkan pemeliharaan berkelanjutan dari klien enkripsi S3.
+ CSE-KMS mungkin menghadapi masalah kompatibilitas antara klien enkripsi S3 yang lebih baru dan yang lebih lama karena algoritme enkripsi yang berkembang, masalah terhindar. SSE-KMS
+ SSE-KMS membuat lebih sedikit panggilan API ke layanan KMS untuk pengambilan kunci selama proses enkripsi dan dekripsi, menghasilkan kinerja yang lebih baik dibandingkan dengan. CSE-KMS
### Opsi yang tidak didukung
Opsi enkripsi berikut tidak didukung:
+ SSE dengan kunci yang disediakan pelanggan (). SSE-C
+ Client-side enkripsi menggunakan kunci terkelola sisi klien.
+ Kunci asimetris.
Untuk membandingkan opsi enkripsi Amazon S3, lihat [Melindungi data menggunakan enkripsi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
### Alat untuk enkripsi sisi klien
Untuk enkripsi sisi klien, perhatikan bahwa dua alat yang tersedia:
+ [Klien enkripsi Amazon S3](https://docs.aws.amazon.com/AWSJavaSDK/latest/javadoc/com/amazonaws/services/s3/AmazonS3EncryptionClient.html) — Ini mengenkripsi data hanya untuk Amazon S3 dan didukung oleh Athena.
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)SDK dapat digunakan untuk mengenkripsi data di mana saja AWS tetapi tidak secara langsung didukung oleh Athena.
Alat-alat ini tidak kompatibel, dan data yang dienkripsi menggunakan satu alat tidak dapat didekripsi oleh yang lain. Athena hanya mendukung Amazon S3 Encryption Client secara langsung. Jika Anda menggunakan SDK untuk mengenkripsi data Anda, Anda dapat menjalankan kueri dari Athena, tetapi data tersebut dikembalikan sebagai teks terenkripsi.
Jika Anda ingin menggunakan Athena untuk mengkueri data yang telah dienkripsi dengan AWS Enkripsi SDK, Anda harus mengunduh dan mendekripsi data Anda, dan kemudian mengenkripsi lagi menggunakan Amazon S3 Encryption Client.
## Izin untuk data terenkripsi di Amazon S3
Bergantung pada jenis enkripsi yang Anda gunakan di Amazon S3, Anda mungkin perlu menambahkan izin, juga dikenal sebagai tindakan “Izinkan”, ke kebijakan yang digunakan di Athena:
+ **SSE-S3**— Jika Anda menggunakan SSE-S3 enkripsi, pengguna Athena tidak memerlukan izin tambahan dalam kebijakan mereka. Ini cukup untuk memiliki izin Amazon S3 yang sesuai untuk lokasi Amazon S3 yang sesuai dan untuk tindakan Athena. Untuk informasi selengkapnya tentang kebijakan yang mengizinkan izin Athena dan Amazon S3 yang sesuai, lihat dan. [AWS kebijakan terkelola untuk Amazon Athena](security-iam-awsmanpol.md) [Kontrol akses ke Amazon S3 dari Athena](s3-permissions.md)
+ **AWS KMS**Jika Anda menggunakan AWS KMS untuk enkripsi, pengguna Athena harus diizinkan untuk melakukan AWS KMS tindakan tertentu selain izin Athena dan Amazon S3. Anda mengizinkan tindakan ini dengan mengedit kebijakan kunci untuk kunci terkelola pelanggan yang digunakan untuk mengenkripsi data di Amazon S3. Untuk menambahkan pengguna kunci ke kebijakan AWS KMS kunci yang sesuai, Anda dapat menggunakan AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms). Untuk informasi tentang cara menambahkan pengguna ke kebijakan AWS KMS utama, lihat [Mengizinkan pengguna kunci menggunakan kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) di *Panduan AWS Key Management Service Pengembang*.
**catatan**
Advanced key policy administrator dapat menyesuaikan kebijakan kunci. `kms:Decrypt` adalah tindakan minimum yang diizinkan bagi pengguna Athena untuk bekerja dengan set data terenkripsi. Untuk bekerja dengan hasil kueri terenkripsi, tindakan minimum yang diizinkan `kms:GenerateDataKey` dan `kms:Decrypt`.
Saat menggunakan Athena untuk menanyakan kumpulan data di Amazon S3 dengan sejumlah besar objek yang dienkripsi, mungkin menghambat hasil kueri. AWS KMS AWS KMS Ini lebih mungkin terjadi jika ada sejumlah besar objek kecil. Athena mendukung permintaan coba lagi, tetapi kesalahan throttling mungkin masih terjadi. Jika Anda bekerja dengan sejumlah besar objek terenkripsi dan mengalami masalah ini, salah satu opsi adalah mengaktifkan kunci bucket Amazon S3 untuk mengurangi jumlah panggilan ke KMS. Untuk informasi selengkapnya, lihat [Mengurangi biaya SSE-KMS dengan kunci Bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*. Pilihan lain adalah meningkatkan kuota layanan Anda. AWS KMS Untuk informasi selengkapnya, lihat [kuota Lambda](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html#requests-per-second) in the *Panduan Developer AWS Key Management Service *.
Untuk informasi pemecahan masalah tentang izin saat menggunakan Amazon S3 dengan Athena, lihat[Izin](troubleshooting-athena.md#troubleshooting-athena-permissions)Bagian dari[Memecahkan masalah di Athena](troubleshooting-athena.md)topik.
## Izin untuk metadata terenkripsi di AWS Glue Katalog Data
Jika Anda [mengenkripsi metadata di AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/encrypt-glue-data-catalog.html), Anda harus menambahkan, `"kms:GenerateDataKey"``"kms:Decrypt"`, dan `"kms:Encrypt"` tindakan ke kebijakan yang Anda gunakan untuk mengakses Athena. Untuk informasi, lihat [Konfigurasikan akses dari Athena ke metadata terenkripsi di AWS Glue Data Catalog](access-encrypted-data-glue-data-catalog.md).