Cómo utiliza Amazon Redshift AWS KMS - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo utiliza Amazon Redshift AWS KMS

En este tema se describe cómo Amazon Redshift cifra AWS KMS los datos.

Cifrado de Amazon Redshift

Un almacén de datos de Amazon Redshift es una colección de recursos de computación denominados nodos que están organizados en un grupo llamado clúster. Cada clúster ejecuta un motor Amazon Redshift y contiene una o más bases de datos.

Amazon Redshift usa una arquitectura de cuatro niveles basada en claves para el cifrado. La arquitectura consta de claves de cifrado de datos, una clave de base de datos, una clave de clúster y una clave maestra. Puede utilizar una AWS KMS key como clave raíz.

Las claves de cifrado de datos cifran los bloques de datos del clúster. A cada bloque de datos se le asigna una clave AES -256 generada aleatoriamente. Estas claves se cifran mediante la clave de base de datos del clúster.

La clave de base de datos cifra las claves de cifrado de datos del clúster. La clave de la base de datos es una clave -256 generada aleatoriamenteAES. Se almacena en disco en una red diferente del clúster de Amazon Redshift y se pasa al clúster a través de un canal seguro.

La clave del clúster cifra la clave de base de datos del clúster de Amazon Redshift. Puede usar AWS KMS AWS CloudHSM, o un módulo de seguridad de hardware externo (HSM) para administrar la clave del clúster. Consulte la documentación sobre cifrado de base de datos de Amazon Redshift para obtener más información.

Puede solicitar el cifrado marcando la casilla correspondiente en la consola de Amazon Redshift. Puede especificar una clave administrada por el cliente para usarla seleccionando una en la lista que aparece debajo del cuadro de cifrado. Si no especifica una clave administrada por el cliente, Amazon Redshift utiliza el Clave administrada de AWS para Amazon Redshift en tu cuenta.

importante

Amazon Redshift solo admite claves de cifrado simétricas. KMS No puede utilizar una KMS clave asimétrica en un flujo de trabajo de cifrado de Amazon Redshift. Para obtener ayuda para determinar si una KMS clave es simétrica o asimétrica, consulte. Identificación de diferentes tipos de claves

Contexto de cifrado

Cada servicio integrado AWS KMS especifica un contexto de cifrado al solicitar claves de datos, cifrar y descifrar. El contexto de cifrado son datos autenticados adicionales (AAD) que se AWS KMS utilizan para comprobar la integridad de los datos. Es decir, cuando se especifica un contexto de cifrado para una operación de cifrado, el servicio también lo especifica en la operación de descifrado; de lo contrario, el descifrado no se realizará correctamente. Amazon Redshift utiliza el ID de clúster y la hora de creación para el contexto de cifrado. En el requestParameters campo de un archivo de CloudTrail registro, el contexto de cifrado tendrá un aspecto similar al siguiente.

"encryptionContext": { "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name", "aws:redshift:createtime": "20150206T1832Z" },

Puede buscar el nombre del clúster en sus CloudTrail registros para saber qué operaciones se realizaron mediante una AWS KMS key (KMSclave). Las operaciones incluyen el cifrado del clúster, el descifrado del clúster y la generación de claves de datos.