Cifrado en reposo
El cifrado del lado del servidor representa el cifrado de datos en reposo; esto implica que Amazon Redshift cifra opcionalmente los datos a medida que los escribe en sus centros de datos y los descifra cuando accede a ellos. Siempre que autentique su solicitud y tenga permiso de acceso, no existe diferencia alguna en la forma de obtener acceso a datos cifrados o sin cifrar.
Amazon Redshift protege los datos en reposo a través del cifrado. De forma opcional, puede proteger todos los datos almacenados en los discos en un clúster y todas las copias de seguridad en Amazon S3 con Advanced Encryption Standard AES-256.
Para administrar las claves que se usan para cifrar y descifrar los recursos de Amazon Redshift, utiliza AWS Key Management Service (AWS KMS). AWS KMS combina hardware y software seguros y de gran disponibilidad para proporcionar un sistema de administración de claves con escala para la nube. Si utiliza AWS KMS, puede crear claves de cifrado y definir las políticas que controlan cómo se pueden utilizar dichas claves. AWS KMS es compatible con AWS CloudTrail, lo que permite auditar el uso de claves para comprobar que las claves se utilizan de forma adecuada. Puede utilizar las claves de AWS KMS en combinación con Amazon Redshift y los servicios admitidos de AWS. Para obtener una lista de los servicios que admiten AWS KMS, consulte Cómo los servicios de AWS usan AWS KMS en la Guía para desarrolladores de AWS Key Management Service.
Si decide administrar el clúster aprovisionado o la contraseña de administrador del espacio de nombres sin servidor con AWS Secrets Manager, Amazon Redshift también acepta una clave de AWS KMS adicional que AWS Secrets Manager utiliza para cifrar sus credenciales. Esta clave adicional puede ser una clave generada automáticamente en AWS Secrets Manager o una clave personalizada proporcionada por usted.
El editor de consultas v2 de Amazon Redshift almacena de forma segura la información introducida en el editor de consultas de la siguiente manera:
el nombre de recurso de Amazon (ARN) de la clave KMS que se utiliza para cifrar los datos del editor de consultas v2
la información de conexión de base de datos
los nombres y el contenido de archivos y carpetas
El editor de consultas v2 de Amazon Redshift cifra la información mediante el cifrado del nivel del bloque con su clave KMS o la clave KMS de la cuenta del servicio. El cifrado de los datos de Amazon Redshift se controla mediante las propiedades del clúster de Amazon Redshift.