密钥管理

Amazon Redshift 自动与 AWS Key Management Service (AWS KMS) 集成以进行密钥管理。AWS KMS 使用信封加密。有关更多信息，请参阅信封加密。

在 AWS KMS 中管理加密密钥时，Amazon Redshift 使用基于密钥的四层架构进行加密。此架构包括随机生成的 AES-256 数据加密密钥、数据库密钥、集群密钥和根密钥。有关更多信息，请参阅 Amazon Redshift 如何使用 AWS KMS。

您可以在 AWS KMS 中创建自己的客户托管式密钥。有关更多信息，请参阅创建密钥。

您也可为新 AWS KMS keys 导入自己的密钥材料。有关更多信息，请参阅将密钥材料导入 AWS Key Management Service (AWS KMS) 中。

Amazon Redshift 支持在外部硬件安全模块 (HSM) 中管理加密密钥。HSM 可以为本地，也可以为 AWS CloudHSM。当您使用 HSM 时，必须使用客户端和服务器证书在 Amazon Redshift 和 HSM 之间配置受信任的连接。Amazon Redshift 仅支持 AWS CloudHSM Classic 进行密钥管理。有关更多信息，请参阅 使用硬件安全模块的加密。有关 AWS CloudHSM 的信息，请参阅什么是 AWS CloudHSM？

您可以轮换已加密集群的加密密钥。有关更多信息，请参阅 加密密钥轮换。