Administración de claves

Amazon Redshift se integra automáticamente a AWS Key Management Service (AWS KMS) para la administración de claves. AWS KMS utiliza el cifrado de sobres. Para obtener más información, consulte Cifrado de sobre.

Cuando las claves de cifrado se administran en AWS KMS, Amazon Redshift usa una arquitectura de cuatro niveles basada en claves para el cifrado. La arquitectura consta de claves de cifrado de datos AES-256 generadas aleatoriamente, una clave de base de datos, una clave de clúster y una clave raíz. Para obtener más información, consulte Cómo Amazon Redshift usa AWS KMS.

Puede crear su propia clave administrada por el cliente en AWS KMS. Para obtener más información, consulte Creación de claves.

También puede importar su propio material de claves para las nuevas AWS KMS keys. Para obtener más información, consulte Importación de material de claves en AWS Key Management Service (AWS KMS).

Amazon Redshift admite la administración de claves de cifrado en módulos de seguridad de hardware (HSM) externos. El HSM puede estar ubicado en las instalaciones o ser AWS CloudHSM. Cuando utilice un HSM, deberá usar certificados de cliente y servidor para configurar una conexión segura entre Amazon Redshift y el HSM. Amazon Redshift solo admite AWS CloudHSM Classic para la administración de claves. Para obtener más información, consulte Cifrado mediante módulos de seguridad de hardware. Para obtener más información sobre AWS CloudHSM, consulte ¿Qué es AWS CloudHSM?

Puede cambiar las claves de cifrado para los clústeres cifrados. Para obtener más información, consulte Rotación de claves de cifrado.