Amazon Redshift
管理指南 (API Version 2012-12-01)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

使用控制台配置数据库加密

您可以使用 Amazon Redshift console 配置 Amazon Redshift,以使用 HSM 以及轮换加密密钥。有关如何使用 AWS KMS 加密密钥或 HSM 配置创建群集的信息,请参阅创建群集使用 Amazon Redshift CLI 和 API 管理群集

使用 Amazon Redshift console配置 Amazon Redshift 以使用 HSM

您可以借助 Amazon Redshift console通过使用以下过程来为 Amazon Redshift 指定 HSM 连接和配置信息。

创建 HSM 连接

  1. 登录 AWS 管理控制台 并通过以下网址打开 Amazon Redshift 控制台:https://console.amazonaws.cn/redshift/

  2. 在左侧导航窗格中,单击 Security,然后单击 HSM Connections 选项卡。

  3. 单击 Create HSM Connection

  4. Create HSM Connection 页面上,键入以下信息:

    1. HSM Connection Name 框中,键入一个名称来标识此连接。

    2. Description 框中,键入连接的相关说明。

    3. HSM IP Address 框中,键入 HSM 的 IP 地址。

    4. HSM Partition Name 框中,键入 Amazon Redshift 应连接到的分区的名称。

    5. HSM Partition Password 框中,键入连接到 HSM 分区所需的密码。

    6. 从 HSM 中复制公有服务器证书并将其粘贴到 Paste the HSM's public server certificate here 框中。

    7. 单击 Create

  5. 创建连接之后,您可以创建 HSM 客户端证书。如果您想在创建连接之后立即创建 HSM 客户端证书,请单击 Yes 并完成下一过程中的步骤。否则,请单击 Not now 以返回到 HSM 连接列表,并在其他时间完成该过程的剩余部分。

创建 HSM 客户端证书

  1. 登录 AWS 管理控制台 并通过以下网址打开 Amazon Redshift 控制台:https://console.amazonaws.cn/redshift/

  2. 在左侧导航窗格中,单击 Security,然后单击 HSM Certificates 选项卡。

  3. 单击 Create HSM Client Certificate

  4. Create HSM Client Certificate 页面上,在 HSM Client Certificate Identifier 框中键入一个名称来标识此客户端证书。

  5. 单击 Next

  6. 证书创建之后,系统随即显示确认页面,其中显示用以在 HSM 上注册密钥的信息。如果您无权配置 HSM,请与 HSM 管理员协调完成以下步骤。

    1. 在您的计算机上,打开一个新的文本文件。

    2. 在 Amazon Redshift console 中,从 Create HSM Client Certificate 确认页面复制公有密钥。

    3. 将公有密钥粘贴到打开的文件中,并使用确认页面的步骤 1 中显示的文件名保存该文件。请务必使用 .pem 文件扩展名保存文件,例如:123456789mykey.pem

    4. .pem 文件上传到 HSM。

    5. 在 HSM 中,打开一个命令提示符窗口并运行确认页面的步骤 4 中列出的命令,以注册密钥。该命令采用以下格式,其中 ClientNameKeyFilenamePartitionName 需要替换为您自己的值:

      client register -client ClientName -hostname KeyFilename

      client assignPartition -client ClientName -partition PartitionName

      例如:

      client register -client MyClient -hostname 123456789mykey

      client assignPartition -client MyClient -partition MyPartition

    6. 在 HSM 上注册密钥后,单击 Next

  7. 创建并注册 HSM 客户端证书后,请单击以下按钮之一:

    1. Launch a Cluster with HSM。此选项会开始启动新群集的过程。在该过程中,您可以选择 HSM 来存储加密密钥。有关启动群集过程的更多信息,请参阅使用控制台管理群集

      Create an HSM Connection。此选项会开始 Create HSM Connection 过程。

      View Certificates。此选项会将您返回至导航窗格中的 HSM,并在 Certificates 选项卡中显示客户端证书列表。

      Previous。此选项会将您返回至 Create HSM Client Certificates 确认页面。

      Close。此选项会将您返回至导航窗格中的 HSM,并在 Connections 选项卡上显示 HSM 连接列表。

显示 HSM 客户端证书的公有密钥

  1. 登录 AWS 管理控制台 并通过以下网址打开 Amazon Redshift 控制台:https://console.amazonaws.cn/redshift/

  2. 在导航窗格中,单击 Security,然后单击 HSM Certificates 选项卡。

  3. 单击 HSM 客户端证书以显示公有密钥。该密钥与您在创建 HSM 客户端证书过程之前的过程中添加到 HSM 的密钥相同。

删除 HSM 连接

  1. 登录 AWS 管理控制台 并通过以下网址打开 Amazon Redshift 控制台:https://console.amazonaws.cn/redshift/

  2. 在左侧导航窗格中,单击 Security,然后单击 HSM Connections 选项卡。

  3. 单击您想要删除的 HSM 连接。

  4. Delete HSM Connection 对话框中,单击 Delete 以删除来自 Amazon Redshift 的连接;或者单击 Cancel 以返回到 HSM Connections 选项卡而不删除相应连接。

删除 HSM 客户端证书

  1. 登录 AWS 管理控制台 并通过以下网址打开 Amazon Redshift 控制台:https://console.amazonaws.cn/redshift/

  2. 在导航窗格中,单击 Security 并选择 HSM Certificates 选项卡。

  3. 在列表中,单击您想要删除的 HSM 客户端证书。

  4. Delete HSM Client Certificate 对话框中,单击 Delete 以删除 Amazon Redshift 的证书;或者单击 Cancel 以返回到 Certificates 选项卡而不删除相应证书。

使用 Amazon Redshift console 轮换加密密钥

您可以借助 Amazon Redshift console 以使用以下过程来轮换加密密钥。

轮换加密密钥

  1. 登录 AWS 管理控制台 并通过以下网址打开 Amazon Redshift 控制台:https://console.amazonaws.cn/redshift/

  2. 在导航窗格中,单击 Clusters

  3. 在列表中,单击您想要轮换密钥的群集。

  4. 单击 Database,然后单击 Rotate Encryption Keys

  5. 如果您想要轮换密钥,请单击 Yes, Rotate Keys;如果不想,则单击 Cancel

    注意

    您的群集将暂时不可用,直到密钥轮换过程完成。