Comment Amazon Redshift utilise AWS KMS - AWS Key Management Service
Chiffrement Amazon RedshiftContexte de chiffrement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment Amazon Redshift utilise AWS KMS

Cette rubrique explique comment Amazon Redshift crypte AWS KMS les données.

Chiffrement Amazon Redshift

Un entrepôt des données Amazon Redshift est un ensemble de ressources informatiques appelées nœuds, qui sont organisées en un groupe appelé cluster. Chaque cluster exécute un moteur Amazon Redshift et contient une ou plusieurs bases de données.

Amazon Redshift utilise une architecture à quatre niveaux de clés pour le chiffrement. Cette architecture se compose de clés de chiffrement des données, d'une clé de base de données, d'une clé de cluster et d'une clé racine. Vous pouvez utiliser un AWS KMS key comme clé racine.

Les clés de chiffrement de données chiffrent les blocs de données contenus dans le cluster. Une clé AES -256 générée aléatoirement est attribuée à chaque bloc de données. Ces clés sont chiffrées à l'aide de la clé de base de données du cluster.

La clé de base de données chiffre les clés de chiffrement de données contenues dans le cluster. La clé de base de données est une clé AES -256 générée aléatoirement. Elle est stockée sur disque dans un autre réseau que celui du cluster Amazon Redshift et transmise au cluster via un canal sécurisé.

La clé de cluster chiffre la clé de base de données du cluster Amazon Redshift. Vous pouvez utiliser AWS KMS AWS CloudHSM, ou un module de sécurité matériel externe (HSM) pour gérer la clé de cluster. Consultez la documentation relative au chiffrement de base de données Amazon Redshift pour plus d'informations.

Vous pouvez demander le chiffrement en cochant la case appropriée dans la console Amazon Redshift. Vous pouvez spécifier une clé gérée par le client en la choisissant dans la liste qui s'affiche sous la zone de chiffrement. Si vous ne spécifiez pas de clé gérée par le client, Amazon Redshift utilise la Clé gérée par AWS pour Amazon Redshift sous votre compte.

Important

Amazon Redshift prend uniquement en charge les clés de chiffrement symétriques. KMS Vous ne pouvez pas utiliser de KMS clé asymétrique dans un flux de travail de chiffrement Amazon Redshift. Pour savoir si une KMS clé est symétrique ou asymétrique, consultez. Identifier les différents types de clés

Contexte de chiffrement

Chaque service intégré AWS KMS spécifie un contexte de chiffrement lors de la demande de clés de données, du chiffrement et du déchiffrement. Le contexte de chiffrement est constitué de données authentifiées supplémentaires (AAD) AWS KMS utilisées pour vérifier l'intégrité des données. Autrement dit, lorsqu'un contexte de chiffrement est spécifié pour une opération de chiffrement, le service le spécifie également pour l'opération de déchiffrement, ou le déchiffrement échoue. Amazon Redshift utilise l'ID de cluster et le temps de création du contexte de chiffrement. Dans le requestParameters champ d'un fichier CloudTrail journal, le contexte de chiffrement sera similaire à celui-ci. 


"encryptionContext": {
    "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name",
    "aws:redshift:createtime": "20150206T1832Z"
},

Vous pouvez effectuer une recherche sur le nom du cluster dans vos CloudTrail journaux pour comprendre quelles opérations ont été effectuées à l'aide d'une AWS KMS key (KMSclé). Les opérations incluent le chiffrement du cluster, le déchiffrement du cluster et la génération de clés de données.