# Migração do método de criptografia CSE-KMS para o método SSE-KMS
É possível especificar a criptografia CSE-KMS de duas maneiras: durante a configuração de criptografia dos resultados da consulta do grupo de trabalho e nas configurações do lado do cliente. Para obter mais informações, consulte [Criptografar os resultados de consultas do Athena armazenados no Amazon S3](encrypting-query-results-stored-in-s3.md). Durante o processo de migração, é importante auditar os fluxos de trabalho existentes que realizam a leitura e a gravação de dados da criptografia CSE-KMS, identificar os grupos de trabalho em que a criptografia CSE-KMS está configurada e localizar as instâncias em que a criptografia CSE-KMS é definida por meio de parâmetros do lado do cliente.
## Atualização das configurações de criptografia dos resultados das consultas do grupo de trabalho
------
#### [ Console ]
**Para atualizar as configurações de criptografia no console do Athena**
1. Abra o console do Athena em [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/).
1. No painel de navegação do console do Athena, escolha **Workgroups** (Grupos de trabalho).
1. Na página **Workgroups** (Grupos de trabalho), selecione o botão do grupo de trabalho que você deseja editar.
1. Selecione **Ações**, **Editar**.
1. Abra **Configuração do resultado da consulta** e escolha **Criptografar resultados da consulta**.
1. Na seção **Tipo de criptografia**, escolha a opção de criptografia **SSE\_KMS**.
1. Insira sua chave do KMS em **Escolha outra chave do AWS KMS (avançada)**.
1. Escolha **Salvar alterações**. O grupo de trabalho atualizado aparece na lista na página **Workgroups** (Grupos de trabalho).
------
#### [ CLI ]
Execute o comando apresentado a seguir para atualizar a configuração de criptografia dos resultados das consultas para a criptografia SSE-KMS no seu grupo de trabalho.
```
aws athena update-work-group \
--work-group "{{my-workgroup}}" \
--configuration-updates '{
"ResultConfigurationUpdates": {
"EncryptionConfiguration": {
"EncryptionOption": "SSE_KMS",
"KmsKey": "{{}}"
}
}
}'
```
------
## Atualização das configurações de criptografia dos resultados de consultas do lado do cliente
------
#### [ Console ]
Para atualizar suas configurações do lado do cliente para a criptografia dos resultados das consultas de CSE-KMS para SSE-KMS, consulte [Criptografar os resultados de consultas do Athena armazenados no Amazon S3](encrypting-query-results-stored-in-s3.md).
------
#### [ CLI ]
É possível especificar a configuração de criptografia dos resultados das consultas nas configurações do lado do cliente somente por meio do comando `start-query-execution`. Caso você execute este comando da CLI e substitua a configuração de criptografia dos resultados das consultas especificada no seu grupo de trabalho com a criptografia CSE-KMS, modifique o comando para usar `SSE_KMS` para criptografar os resultados das consultas, conforme mostrado abaixo.
```
aws athena start-query-execution \
--query-string "SELECT * FROM {{}};" \
--query-execution-context "Database={{}},Catalog={{}}" \
--result-configuration '{
"EncryptionConfiguration": {
"EncryptionOption": "SSE_KMS",
"KmsKey": "{{}}"
}
}' \
--work-group "{{}}"
```
------
**nota**
Após a atualização das configurações do grupo de trabalho ou do lado do cliente, todos os novos dados inseridos por meio de consultas de gravação serão criptografados com SSE-KMS em vez de CSE-KMS. Isso ocorre porque as configurações de criptografia dos resultados das consultas também se aplicam aos novos dados inseridos nas tabelas. Além disso, os resultados das consultas, os metadados e os arquivos de manifesto do Athena são criptografados com SSE-KMS.
O Athena ainda consegue realizar a leitura de tabelas com a propriedade de tabela `has_encrypted_data`, mesmo quando existe uma combinação de objetos criptografados com CSE-KMS e SSE-S3/SSE-KMS.