Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Questo argomento illustra come Amazon Redshift AWS KMS utilizza per crittografare i dati.
Crittografia di Amazon Redshift
Un data warehouse Amazon Redshift è costituito da un insieme di risorse di calcolo denominate nodi, strutturate in un gruppo denominato cluster. Ciascun cluster esegue un motore Amazon Redshift e contiene uno o più database.
Per la crittografia Amazon Redshift usa un'architettura a quattro livelli basata su chiavi. L'architettura consiste in chiavi di crittografia dei dati, una chiave di database, una chiave del cluster e una chiave root. Puoi usare an AWS KMS key come chiave principale.
Le chiavi di crittografia dei dati crittografano i blocchi di dati nel cluster. Ogni blocco di dati viene assegnato una chiave AES-256 generata in modo casuale. Queste chiavi sono crittografate utilizzando la chiave di database per il cluster.
La chiave di database crittografa le chiavi di crittografia dei dati nel cluster. La chiave del database è una chiave AES-256 generata in modo casuale. È archiviata su disco in una rete separata dal cluster Amazon Redshift e passata al cluster attraverso un canale sicuro.
La chiave del cluster crittografa la chiave di database per il cluster Amazon Redshift. È possibile utilizzare AWS KMS AWS CloudHSM, o un modulo di sicurezza hardware esterno (HSM) per gestire la chiave del cluster. Consulta la documentazione di Amazon Redshift Database Encryption per ulteriori dettagli.
È possibile richiedere la crittografia selezionando la casella appropriata nella console Amazon Redshift. Puoi specificare una chiave gestita dal cliente da utilizzare scegliendone una dall'elenco che appare sotto la casella di crittografia. Se non specifichi una chiave gestita dal cliente, Amazon Redshift utilizza la Chiave gestita da AWS per Amazon Redshift sotto l'account.
Importante
Amazon Redshift supporta solo chiavi KMS di crittografia simmetrica. Non è possibile utilizzare una chiave KMS asimmetrica come chiave master in un flusso di lavoro di crittografia Amazon Redshift. Per informazioni su come determinare se una chiave KMS è simmetrica o asimmetrica, consulta Identifica diversi tipi di chiave.
Contesto di crittografia
Ogni servizio integrato con AWS KMS specifica un contesto di crittografia per la richiesta di chiavi di dati, la crittografia e la decrittografia. Il contesto di crittografia è costituito da dati autenticati aggiuntivi (AAD) utilizzati per verificare l'integrità dei dati. AWS KMS Questo significa che, quando viene specificato un contesto di crittografia per un'operazione di crittografia, il servizio specifica lo stesso contesto di crittografia anche per l'operazione di decrittografia o la decrittografia non riuscirà. Amazon Redshift utilizza l'ID cluster e il tempo di creazione per il contesto di crittografia. Nel requestParameters campo di un file di CloudTrail registro, il contesto di crittografia sarà simile a questo.
"encryptionContext": { "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name", "aws:redshift:createtime": "20150206T1832Z" },
Puoi cercare il nome del cluster nei tuoi CloudTrail log per capire quali operazioni sono state eseguite utilizzando una AWS KMS key (chiave KMS). Le operazioni includono la crittografia e la decrittografia dei cluster e la generazione di chiavi di dati.
