更改集群加密 - Amazon Redshift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

更改集群加密

您可以使用 Amazon 拥有的密钥或客户托管式密钥来修改未加密的集群以使用 Amazon Key Management Service(Amazon KMS)加密。当您修改集群以启用 Amazon KMS 加密时,Amazon Redshift 会自动将您的数据迁移到新加密的集群。您还可以通过修改集群将未加密的集群迁移到加密的集群。

在迁移操作过程中,您的集群在只读模式下可用,并且集群状态显示为调整大小

如果您的集群配置为启用跨 Amazon 区域快照副本,您必须在更改加密之前将其禁用。有关更多信息,请参阅将快照复制到其它 Amazon 区域为 Amazon KMS 加密的集群配置跨区域快照副本。您无法通过修改集群启用硬件安全模块 (HSM) 加密。而是创建一个新的 HSM 加密集群,并将您的数据迁移到新集群。有关更多信息,请参阅 迁移到 HSM 加密的集群

Amazon Redshift console

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshiftv2/

  2. 在导航菜单上,选择 Clusters(集群),然后选择要修改加密的集群。

  3. 选择 Properties (属性)

  4. Database configurations(数据库配置)部分,选择 Edit(编辑),然后选择 Edit encryption(编辑加密)。

  5. 选择其中一个加密选项,然后选择 Save changes(保存更改)

Amazon CLI

若要修改未加密的集群以使用 Amazon KMS,请运行 modify-cluster CLI 命令并指定 –-encrypted,如下所示。预设情况下,使用默认 KMS 密钥。要指定客户托管式密钥,请包含 --kms-key-id 选项。

aws redshift modify-cluster --cluster-identifier <value> --encrypted --kms-key-id <value>

要从集群中删除加密,请运行以下 CLI 命令。

aws redshift modify-cluster --cluster-identifier <value> --no-encrypted