As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como o Amazon Redshift usa AWS KMS
Este tópico discute como o Amazon Redshift AWS KMS usa para criptografar dados.
Criptografia do Amazon Redshift
Um data warehouse do Amazon Redshift é um conjunto de recursos de computação chamados nós, que são organizados em um grupo chamado cluster. Cada cluster executa um mecanismo do Amazon Redshift e contém um ou mais bancos de dados.
O Amazon Redshift usa para criptografia uma arquitetura de quatro níveis baseada em chaves. A arquitetura consiste em chaves de criptografia dos dados, uma chave de banco de dados, uma chave de cluster e uma chave raiz. Você pode usar um AWS KMS key como chave raiz.
As chaves de criptografia dos dados criptografam blocos de dados do cluster. Cada bloco de dados recebe uma chave AES -256 gerada aleatoriamente. Essas chaves são criptografadas com a chave do banco de dados do cluster.
A chave do banco de dados criptografa as chaves de criptografia dos dados do cluster. A chave do banco de dados é uma chave AES -256 gerada aleatoriamente. Ela é armazenada em disco em uma rede separada do cluster do Amazon Redshift e passada para o cluster por meio de um canal seguro.
A chave do cluster criptografa a chave do banco de dados do cluster do Amazon Redshift. Você pode usar AWS KMS, AWS CloudHSM, ou um módulo de segurança de hardware externo (HSM) para gerenciar a chave do cluster. Para obter mais detalhes, consulte a documentação de Criptografia de banco de dados do Amazon Redshift .
Para solicitar criptografia, marque a caixa apropriada no console do Amazon Redshift. Para especificar uma chave gerenciada pelo cliente, escolha uma na lista que aparece abaixo da caixa de criptografia. Se você não especificar uma chave gerenciada pelo cliente, o Amazon Redshift usará a Chave gerenciada pela AWS na sua conta.
Importante
O Amazon Redshift oferece suporte somente a chaves de criptografia simétricas. KMS Você não pode usar uma KMS chave assimétrica em um fluxo de trabalho de criptografia do Amazon Redshift. Para obter ajuda para determinar se uma KMS chave é simétrica ou assimétrica, consulte. Identificar diferentes tipos de chaves
Contexto de criptografia
Cada serviço integrado AWS KMS especifica um contexto de criptografia ao solicitar chaves de dados, criptografar e descriptografar. O contexto de criptografia são dados adicionais autenticados (AAD) AWS KMS usados para verificar a integridade dos dados. Ou seja, quando um contexto de criptografia é especificado para uma operação de criptografia, o serviço também o especifica para a operação de descriptografia ou a descriptografia não terá êxito. O Amazon RedShift usa o ID do cluster e a hora de criação no contexto de criptografia. No requestParameters campo de um arquivo de CloudTrail log, o contexto de criptografia será semelhante a este.
"encryptionContext": { "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name", "aws:redshift:createtime": "20150206T1832Z" },
Você pode pesquisar o nome do cluster em seus CloudTrail registros para entender quais operações foram realizadas usando uma AWS KMS key (KMSchave). As operações incluem a criptografia e descriptografia do cluster e a geração de chaves de dados.
