本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 從 CSE-KMS 移轉至 SSE-KMS
您可以透過兩種方式來指定 CSE-KMS 加密:在工作群組查詢結果加密組態期間以及用戶端設定中。如需詳細資訊,請參閱[加密 Amazon S3 中存放的 Athena 查詢結果](encrypting-query-results-stored-in-s3.md)。在移轉程序期間,請務必稽核讀取和寫入 CSE-KMS 資料的現有工作流程、識別已設定 CSE-KMS 的工作群組,以及找到透過用戶端參數設定 CSE-KMS 的執行個體。
## 更新工作群組查詢結果加密設定
------
#### [ Console ]
**在 Athena 主控台中更新加密設定**
1. 前往 [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/) 開啟 Athena 主控台。
1. 在 Athena 主控台導覽窗格中,選擇 **Workgroups** (工作群組)。
1. 在 **Workgroups** (工作群組) 頁面上,選取您要編輯的工作群組的按鈕。
1. 選擇 **Actions** (動作)、**Edit** (編輯)。
1. 開啟**查詢結果組態**,然後選擇**加密查詢結果**。
1. 對於**加密類型**區段,選擇 **SSE\_KMS** 加密選項。
1. 在**選擇不同的 AWS KMS 金鑰 (進階)** 下,輸入您的 KMS 金鑰。
1. 選擇**儲存變更**。更新的工作群組會出現在 **Workgroups** (工作群組) 頁面上的清單。
------
#### [ CLI ]
執行下列命令,將工作群組中的查詢結果加密組態更新為 SSE-KMS。
```
aws athena update-work-group \
--work-group "{{my-workgroup}}" \
--configuration-updates '{
"ResultConfigurationUpdates": {
"EncryptionConfiguration": {
"EncryptionOption": "SSE_KMS",
"KmsKey": "{{}}"
}
}
}'
```
------
## 更新用戶端查詢結果加密設定
------
#### [ Console ]
要將查詢結果加密的用戶端設定從 CSE-KMS 更新為 SSE-KMS,請參閱 [加密 Amazon S3 中存放的 Athena 查詢結果](encrypting-query-results-stored-in-s3.md)。
------
#### [ CLI ]
您只能使用 `start-query-execution` 命令在用戶端設定中指定查詢結果加密組態。如果您執行此 CLI 命令,並使用 CSE-KMS 覆寫您在工作群組中指定的查詢結果加密組態,請變更命令以使用 `SSE_KMS` 加密查詢結果,如下所示。
```
aws athena start-query-execution \
--query-string "SELECT * FROM {{}};" \
--query-execution-context "Database={{}},Catalog={{}}" \
--result-configuration '{
"EncryptionConfiguration": {
"EncryptionOption": "SSE_KMS",
"KmsKey": "{{}}"
}
}' \
--work-group "{{}}"
```
------
**注意**
更新工作群組或用戶端設定後,您透過寫入查詢插入的任何新資料都會使用 SSE-KMS 加密而不是 CSE-KMS。這是因為查詢結果加密組態也適用於新插入的資料表資料。Athena 查詢結果、中繼資料和資訊清單檔案也會使用 SSE-KMS 進行加密。
即使混合使用了 CSE-KMS 加密物件和 SSE-S3/SSE-KMS 物件,Athena 仍然可以讀取具有 `has_encrypted_data` 資料表屬性的資料表。