Bagaimana Amazon Redshift menggunakan AWS KMS - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana Amazon Redshift menggunakan AWS KMS

Topik ini membahas bagaimana Amazon Redshift AWS KMS menggunakan untuk mengenkripsi data.

Enkripsi Amazon Redshift

Sebuah gudang data Amazon Redshift adalah kumpulan sumber daya komputasi yang disebut simpul, yang diatur ke dalam grup yang disebut klaster. Setiap klaster menjalankan mesin Amazon Redshift dan berisi satu atau lebih database.

Amazon Redshift menggunakan arsitektur berbasis kunci empat tingkat untuk enkripsi. Arsitektur terdiri dari kunci enkripsi data, kunci database, kunci cluster, dan kunci root. Anda dapat menggunakan AWS KMS key sebagai kunci root.

Kunci enkripsi data mengenkripsi blok data dalam klaster. Setiap blok data diberikan kunci AES-256 yang dihasilkan secara acak. Kunci ini dienkripsi dengan menggunakan kunci database untuk klaster.

Kunci database mengenkripsi kunci enkripsi data dalam klaster. Kunci database adalah kunci AES-256 yang dihasilkan secara acak. Ini disimpan pada disk dalam jaringan terpisah dari klaster Amazon Redshift dan diteruskan ke klaster di saluran aman.

Kunci klaster mengenkripsi kunci database untuk klaster Amazon Redshift. Anda dapat menggunakan AWS KMS, AWS CloudHSM, atau modul keamanan perangkat keras eksternal (HSM) untuk mengelola kunci cluster. Lihat dokumentasi Enkripsi Database Amazon Redshift untuk detail selengkapnya.

Anda dapat meminta enkripsi dengan mencentang kotak yang sesuai di konsol Amazon Redshift. Anda dapat menentukan kunci yang dikelola pelanggan dengan memilih salah satu dari daftar yang muncul di bawah kotak enkripsi. Jika Anda tidak menentukan kunci yang dikelola pelanggan, Amazon Redshift menggunakan Kunci yang dikelola AWSfor Amazon Redshift di bawah akun Anda.

penting

Amazon Redshift hanya mendukung kunci KMS enkripsi simetris. Anda tidak dapat menggunakan kunci KMS asimetris dalam alur kerja enkripsi Amazon Redshift. Untuk bantuan menentukan apakah kunci KMS simetris atau asimetris, lihat. Identifikasi berbagai jenis kunci

Konteks enkripsi

Setiap layanan yang terintegrasi dengan AWS KMS menentukan konteks enkripsi saat meminta kunci data, mengenkripsi, dan mendekripsi. Konteks enkripsi adalah data otentikasi tambahan (AAD) yang AWS KMS digunakan untuk memeriksa integritas data. Artinya, ketika konteks enkripsi ditentukan untuk operasi enkripsi, layanan juga menentukan untuk operasi dekripsi atau dekripsi tidak akan berhasil. Amazon Redshift menggunakan ID klaster dan waktu penciptaan untuk konteks enkripsi. Di requestParameters bidang file CloudTrail log, konteks enkripsi akan terlihat mirip dengan ini.

"encryptionContext": { "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name", "aws:redshift:createtime": "20150206T1832Z" },

Anda dapat mencari nama cluster di CloudTrail log Anda untuk memahami operasi apa yang dilakukan dengan menggunakan AWS KMS key (kunci KMS). Operasi termasuk enkripsi klaster, klaster dekripsi, dan menghasilkan kunci data.