從 Amazon S3 載入加密的資料檔案 - Amazon Redshift

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從 Amazon S3 載入加密的資料檔案

您可以使用 COPY命令,透過伺服器端加密、用戶端加密或兩者,載入上傳至 Amazon S3 的資料檔案。

此COPY命令支援下列類型的 Amazon S3 加密:

  • 使用 Amazon S3-managed伺服器端加密 (SSE-S3)

  • 使用 AWS KMS keys (SSE-KMS) 的伺服器端加密

  • 使用用戶端對稱根金鑰的用戶端加密

此COPY命令不支援下列類型的 Amazon S3 加密:

  • 使用客戶提供的金鑰進行伺服器端加密 (SSE-C)

  • 使用 的用戶端加密 AWS KMS key

  • 使用客戶提供非對稱根金鑰的用戶端加密

如需 Amazon S3 加密的相關資訊,請參閱《Amazon Simple Storage Service 開發人員指南》中的使用伺服器端加密保護資料使用用戶端加密保護資料

UNLOAD 命令會使用 SSE-S3 自動加密檔案。您也可以使用 SSE或KMS用戶端加密搭配客戶受管對稱金鑰來卸載。如需詳細資訊,請參閱 卸載加密的資料檔案

COPY 命令會自動識別並使用 SSE-S3 和 SSE- 載入加密的檔案KMS。您可以指定 ENCRYPTED選項並提供金鑰值,以使用用戶端對稱根金鑰載入加密的檔案。如需詳細資訊,請參閱將加密資料上傳到 Amazon S3

若要載入用戶端加密資料檔案,請使用 MASTER_SYMMETRIC_KEY 參數提供根金鑰值,並包含 ENCRYPTED選項。

COPY customer FROM 's3://amzn-s3-demo-bucket/encrypted/customer' IAM_ROLE 'arn:aws:iam::0123456789012:role/MyRedshiftRole' MASTER_SYMMETRIC_KEY '<root_key>' ENCRYPTED DELIMITER '|';

若要載入壓縮 gzip、lzop 或 bzip2 的加密資料檔案,請包含 GZIP、 LZOP或 BZIP2選項,以及根金鑰值和 ENCRYPTED選項。

COPY customer FROM 's3://amzn-s3-demo-bucket/encrypted/customer' IAM_ROLE 'arn:aws:iam::0123456789012:role/MyRedshiftRole' MASTER_SYMMETRIC_KEY '<root_key>' ENCRYPTED DELIMITER '|' GZIP;