翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Redshift が を使用する方法 AWS KMS
<a name="services-redshift"></a>

このトピックでは、Amazon Redshift が AWS KMS を使用してデータを暗号化する方法について説明します。

**Topics**
+ [Amazon Redshift 暗号化](#rs-encryption)
+ [暗号化コンテキスト](#rs-encryptioncontext)

## Amazon Redshift 暗号化
<a name="rs-encryption"></a>

Amazon Redshift データウェアハウスは、*ノード*と呼ばれるコンピューティングリソースの集合で、クラスターと呼ばれるグループに編成されています。各クラスターは Amazon Redshift エンジンを実行し、1 つ以上のデータベースを含みます。

Amazon Redshift は、暗号化に 4 階層のキーベースのアーキテクチャを使用します。アーキテクチャは、データ暗号化キー、データベースキー、クラスターキー、ルートキーで構成されます。をルートキー AWS KMS key として使用できます。

データ暗号化キーは、クラスター内のデータブロックを暗号化します。各データブロックに、ランダムに生成された AES-256 キーが割り当てられます。これらのキーは、クラスターのデータベースキーを使用して暗号化されます。

データベースキーは、クラスターのデータ暗号化キーを暗号化します。データベースキーは、ランダムに生成された AES-256 キーです。これは Amazon Redshift クラスターとは別のネットワークのディスクに保存され、安全なチャネルを介してクラスターに渡されます。

クラスターキーは、Amazon Redshift クラスターのデータベースキーを暗号化します。 AWS KMS、 AWS CloudHSM、または外部ハードウェアセキュリティモジュール (HSM) を使用して、クラスターキーを管理できます。詳細については、 [ Amazon Redshift データベース暗号化 ](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-db-encryption.html) のドキュメントを参照してください。

暗号化をリクエストするには、Amazon Redshift コンソールで適切なチェックボックスをオンにします。暗号化ボックスの下に表示されるリストから[カスタマーマネージドキー](concepts.md#customer-mgn-key)を 1 つ選択して、指定できます。カスタマーマネージドキーを指定しない場合、Amazon Redshift はアカウントで Amazon Redshift の [AWS マネージドキー](concepts.md#aws-managed-key) を使用します。

**重要**  
Amazon Redshift は、対称暗号化 KMS キーのみをサポートします。Amazon Redshift 暗号化ワークフローでは、非対称KMS キーは使用できません。KMS キーが対称か非対称かを判断する方法については、[さまざまなキータイプの特定](identify-key-types.md) を参照してください。

## 暗号化コンテキスト
<a name="rs-encryptioncontext"></a>

と統合されている各サービスは、データキーのリクエスト、暗号化、復号時に暗号化[コンテキスト](encrypt_context.md) AWS KMS を指定します。暗号化コンテキストは、 AWS KMS がデータの整合性をチェックするために使用する追加の認証データ (AAD) です。つまり、暗号化オペレーションで暗号化コンテキストを指定すると、復号オペレーションでもそのコンテキストが指定され、指定しなかった場合、復号は成功しません。Amazon Redshift は、暗号化コンテキストにクラスター ID と作成時間を使用します。CloudTrail ログファイルの `requestParameters` フィールドでは、暗号化コンテキストは次のようになります。

```
"encryptionContext": {
    "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name",
    "aws:redshift:createtime": "20150206T1832Z"
},
```

 CloudTrail ログでクラスター名を検索して、 AWS KMS key (KMS キー) を使用して実行されたオペレーションを確認できます。このオペレーションには、クラスターの暗号化、クラスターの復号、およびデータキーの生成が含まれます。