翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Redshift の使用方法 AWS KMS

このトピックでは、Amazon Redshift が AWS KMS を使用してデータを暗号化する方法について説明します。

Amazon Redshift 暗号化

Amazon Redshift データウェアハウスは、ノードと呼ばれるコンピューティングリソースの集合で、クラスターと呼ばれるグループに編成されています。各クラスターは Amazon Redshift エンジンを実行し、1 つ以上のデータベースを含みます。

Amazon Redshift は、暗号化に 4 階層のキーベースのアーキテクチャを使用します。アーキテクチャは、データ暗号化キー、データベースキー、クラスターキー、ルートキーで構成されます。をルートキー AWS KMS key として使用できます。

データ暗号化キーは、クラスター内のデータブロックを暗号化します。各データブロックには、ランダムに生成された AES-256 キーが割り当てられます。これらのキーは、クラスターのデータベースキーを使用して暗号化されます。

データベースキーは、クラスターのデータ暗号化キーを暗号化します。データベースキーはランダムに生成された AES-256 キーです。これは Amazon Redshift クラスターとは別のネットワークのディスクに保存され、安全なチャネルを介してクラスターに渡されます。

クラスターキーは、Amazon Redshift クラスターのデータベースキーを暗号化します。 AWS KMS、 AWS CloudHSM、または外部ハードウェアセキュリティモジュール (HSM) を使用して、クラスターキーを管理できます。詳細については、 Amazon Redshift データベース暗号化 のドキュメントを参照してください。

暗号化をリクエストするには、Amazon Redshift コンソールで適切なチェックボックスをオンにします。暗号化ボックスの下に表示されるリストからカスタマーマネージドキーを 1 つ選択して、指定できます。カスタマーマネージドキーを指定しない場合、Amazon Redshift はアカウントで Amazon Redshift の AWS マネージドキー を使用します。

暗号化コンテキスト

と統合されている各サービスは、データキーのリクエスト、暗号化、復号時に暗号化コンテキスト AWS KMS を指定します。暗号化コンテキストは、 AWS KMS を使用してデータ整合性をチェックする追加の認証済みデータ (AAD) です。つまり、暗号化オペレーションで暗号化コンテキストを指定すると、復号オペレーションでもそのコンテキストが指定され、指定しなかった場合、復号は成功しません。Amazon Redshift は、暗号化コンテキストにクラスター ID と作成時間を使用します。 CloudTrail ログファイルの requestParametersフィールドでは、暗号化コンテキストはこれに似ています。

"encryptionContext": {
    "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name",
    "aws:redshift:createtime": "20150206T1832Z"
},   

CloudTrail ログ内のクラスター名を検索して、 AWS KMS key （KMS キー) を使用して実行されたオペレーションを理解できます。このオペレーションには、クラスターの暗号化、クラスターの復号、およびデータキーの生成が含まれます。