更改集群加密 - Amazon Redshift

更改集群加密

您可以使用 AWS 托管式密钥或客户托管式密钥修改未加密的集群以使用 AWS Key Management Service(AWS KMS)加密。当您修改集群以启用 AWS KMS 加密时,Amazon Redshift 会自动将您的数据迁移到新加密的集群。您还可以通过修改集群将未加密的集群迁移到加密的集群。

在迁移操作过程中,您的集群在只读模式下可用,并且集群状态显示为调整大小

如果您的集群配置为启用跨 AWS 区域快照副本,您必须在更改加密之前将其禁用。有关更多信息,请参阅将快照复制到其它 AWS 区域为 AWS KMS 加密的集群配置跨区域快照副本。您无法通过修改集群启用硬件安全模块 (HSM) 加密。而是创建一个新的 HSM 加密集群,并将您的数据迁移到新集群。有关更多信息,请参阅 迁移到 HSM 加密的集群

Amazon Redshift console
  1. 登录 AWS Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshiftv2/

  2. 在导航菜单上,选择 Clusters(集群),然后选择要修改加密的集群。

  3. 选择 Properties (属性)

  4. Database configurations(数据库配置)部分,选择 Edit(编辑),然后选择 Edit encryption(编辑加密)。

  5. 选择其中一个加密选项,然后选择 Save changes(保存更改)

AWS CLI

若要修改未加密的集群以使用 AWS KMS,请运行 modify-cluster CLI 命令并指定 –-encrypted,如下所示。预设情况下,使用默认 KMS 密钥。要指定客户托管式密钥,请包含 --kms-key-id 选项。

aws redshift modify-cluster --cluster-identifier <value> --encrypted --kms-key-id <value>

要从集群中删除加密,请运行以下 CLI 命令。

aws redshift modify-cluster --cluster-identifier <value> --no-encrypted