Amazon Redshift
数据库开发人员指南 (API Version 2012-12-01)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

从 Amazon S3 加载加密数据文件

您可以使用 COPY 命令加载使用服务器端加密、客户端加密或两种加密方式上传到 Amazon S3 的数据文件。

COPY 命令支持以下 Amazon S3 加密方式:

  • 使用 Amazon S3 托管密钥进行服务器端加密 (SSE-S3)

  • 使用 AWS KMS 托管密钥进行服务器端加密 (SSE-KMS)。

  • 使用客户端对称主密钥进行客户端加密

COPY 命令不支持以下 Amazon S3 加密方式:

  • 使用客户提供的密钥进行服务器端加密 (SSE-C)

  • 使用 AWS KMS 托管的客户主密钥进行客户端加密

  • 使用客户提供的对称主密钥进行客户端加密

有关 Amazon S3 加密的更多信息,请参阅 Amazon Simple Storage Service 开发人员指南中的使用服务器端加密保护数据使用客户端加密保护数据

UNLOAD 命令使用 SSE-S3 自动加密文件。您还可以使用 SSE-KMS 或客户托管对称密钥进行客户端加密的方法进行卸载。有关更多信息,请参阅 卸载加密数据文件

COPY 命令会自动识别并加载使用 SSE-S3 和 SSE-KMS 进行加密的文件。您可以指定 ENCRYPTED 选项并提供密钥值,加载使用客户端对称主密钥加密的文件。有关更多信息,请参阅 将加密数据上传到 Amazon S3

要加载客户端加密数据文件,请使用 MASTER_SYMMETRIC_KEY 参数提供主密钥值,并包括 ENCRYPTED 选项。

Copy
copy customer from 's3://mybucket/encrypted/customer' iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole' master_symmetric_key '<master_key>' encrypted delimiter '|';

要加载 gzip、lzop 或 bzip2 压缩的加密数据文件,请随主密钥值和 ENCRYPTED 选项包括 GZIP、LZOP 或 BZIP2 选项。

Copy
copy customer from 's3://mybucket/encrypted/customer' iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole' master_symmetric_key '<master_key>' encrypted delimiter '|' gzip;