从 Amazon S3 中加载加密的数据文件 - Amazon Redshift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

从 Amazon S3 中加载加密的数据文件

您可以使用 COPY 命令加载使用服务器端加密、客户端加密或两种加密方式上载到 Amazon S3 的数据文件。

COPY 命令支持以下 Amazon S3 加密方式:

  • 使用 Amazon S3 托管密钥进行服务器端加密 (SSE-S3)

  • 使用 Amazon KMS keys 的服务器端加密 (SSE-KMS)

  • 使用客户端对称根密钥进行客户端加密

COPY 命令不支持以下 Amazon S3 加密方式:

  • 使用客户提供的密钥进行服务器端加密 (SSE-C)

  • 使用 Amazon KMS key 进行客户端加密

  • 使用客户提供的对称根密钥进行客户端加密

有关 Amazon S3 加密的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用服务器端加密保护数据使用客户端加密保护数据

UNLOAD 命令使用 SSE-S3 自动加密文件。您还可以使用 SSE-KMS 或客户托管式对称密钥进行客户端加密的方法进行卸载。有关更多信息,请参阅卸载加密的数据文件

COPY 命令会自动识别并加载使用 SSE-S3 和 SSE-KMS 进行加密的文件。您可以指定 ENCRYPTED 选项并提供密钥值,加载使用客户端对称根密钥加密的文件。有关更多信息,请参阅将加密的数据上载到 Amazon S3

要加载客户端加密数据文件,请使用 MASTER_SYMMETRIC_KEY 参数提供根密钥值,并包括 ENCRYPTED 选项。

copy customer from 's3://mybucket/encrypted/customer' iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole' master_symmetric_key '<root_key>' encrypted delimiter '|';

要加载 gzip、lzop 或 bzip2 压缩的加密数据文件,请随根密钥值和 ENCRYPTED 选项包括 GZIP、LZOP 或 BZIP2 选项。

copy customer from 's3://mybucket/encrypted/customer' iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole' master_symmetric_key '<root_key>' encrypted delimiter '|' gzip;