Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo utiliza Amazon Redshift AWS KMS
En este tema se describe cómo Amazon Redshift cifra AWS KMS los datos.
Cifrado de Amazon Redshift
Un almacén de datos de Amazon Redshift es una colección de recursos de computación denominados nodos que están organizados en un grupo llamado clúster. Cada clúster ejecuta un motor Amazon Redshift y contiene una o más bases de datos.
Amazon Redshift usa una arquitectura de cuatro niveles basada en claves para el cifrado. La arquitectura consta de claves de cifrado de datos, una clave de base de datos, una clave de clúster y una clave maestra. Puede utilizar una AWS KMS key como clave raíz.
Las claves de cifrado de datos cifran los bloques de datos del clúster. A cada bloque de datos se le asigna una clave AES-256 generada aleatoriamente. Estas claves se cifran mediante la clave de base de datos del clúster.
La clave de base de datos cifra las claves de cifrado de datos del clúster. La clave de base de datos es una clave AES-256 generada aleatoriamente. Se almacena en disco en una red diferente del clúster de Amazon Redshift y se pasa al clúster a través de un canal seguro.
La clave del clúster cifra la clave de base de datos del clúster de Amazon Redshift. Puede usar AWS KMS AWS CloudHSM, o un módulo de seguridad de hardware (HSM) externo para administrar la clave del clúster. Consulte la documentación sobre cifrado de base de datos de Amazon Redshift para obtener más información.
Puede solicitar el cifrado marcando la casilla correspondiente en la consola de Amazon Redshift. Puede especificar una clave administrada por el cliente para usarla seleccionando una en la lista que aparece debajo del cuadro de cifrado. Si no especifica una clave administrada por el cliente, Amazon Redshift utiliza el Clave administrada de AWS para Amazon Redshift en tu cuenta.
importante
Amazon Redshift solo admite claves KMS de cifrado simétricas. No se puede utilizar una clave KMS asimétrica en un flujo de trabajo de Amazon Redshift cifrado. Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte Identificación de diferentes tipos de claves.
Contexto de cifrado
Cada servicio integrado AWS KMS especifica un contexto de cifrado al solicitar claves de datos, cifrar y descifrar. El contexto de cifrado son datos autenticados adicionales (AAD) que se AWS KMS utilizan para comprobar la integridad de los datos. Es decir, cuando se especifica un contexto de cifrado para una operación de cifrado, el servicio también lo especifica en la operación de descifrado; de lo contrario, el descifrado no se realizará correctamente. Amazon Redshift utiliza el ID de clúster y la hora de creación para el contexto de cifrado. En el requestParameters campo de un archivo de CloudTrail registro, el contexto de cifrado tendrá un aspecto similar al siguiente.
"encryptionContext": { "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name", "aws:redshift:createtime": "20150206T1832Z" },
Puede buscar el nombre del clúster en sus CloudTrail registros para saber qué operaciones se realizaron mediante una AWS KMS key (clave KMS). Las operaciones incluyen el cifrado del clúster, el descifrado del clúster y la generación de claves de datos.
