使用控制台配置数据库加密 - Amazon Redshift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用控制台配置数据库加密

您可以借助以使用 Amazon Redshift 控制台将 Amazon Redshift 配置为使用 HSM 以及轮换加密密密钥。有关如何使用创建集群的信息Amazon KMS加密密密密钥,请参阅创建集群使用Amazon CLI和 Amazon Redshift API

注意

Amazon Redshift 有新的控制台可用。根据您使用的控制台,选择新控制台原始控制台说明。默认情况下会打开新控制台说明。

修改群集上的数据库加密

  1. 登录到Amazon Web Services Management Console,然后打开 Amazon Redshift 控制台https://console.aws.amazon.com/redshift/

  2. 在导航菜单上,选择集群,然后选择要移动快照的集群。

  3. 适用于操作中,选择修改以显示配置页面。

  4. 数据库配置部分,选择一个加密,然后选择。修改集群

使用 Amazon Redshift 控制台配置 Amazon Redshift 以使用 HSM

您可以借助以使用 Amazon Redshift 控制台,为 Amazon Redshift 指定 HSM 连接和配置信息。

创建 HSM 连接

  1. 登录到Amazon Web Services Management Console,然后打开 Amazon Redshift 控制台https://console.aws.amazon.com/redshift/

  2. 在导航窗格中,选择安全,然后选择HSM 连接选项卡。

  3. 选择Create HSM HSM Connection。

  4. Create HSM Connection 页面上,键入以下信息:

    1. HSM Connection Name 框中,键入一个名称来标识此连接。

    2. Description 框中,键入连接的相关说明。

    3. HSM IP Address 框中,键入 HSM 的 IP 地址。

    4. HSM 分区名称框中,键入 Amazon Redshift 应连接到的分区的名称。

    5. HSM Partition Password 框中,键入连接到 HSM 分区所需的密码。

    6. 从 HSM 中复制公有服务器证书并将其粘贴到 Paste the HSM's public server certificate here 框中。

    7. 选择创建

  5. 创建连接之后,您可以创建 HSM 客户端证书。如果您希望在创建连接之后立即创建 HSM 客户端证书,请选择,然后完成下一过程中的步骤。否则,选择。现在不是以返回到 HSM 连接列表并在其他时间完成该过程的剩余部分。

创建 HSM 客户端证书

  1. 登录到Amazon Web Services Management Console,然后打开 Amazon Redshift 控制台https://console.aws.amazon.com/redshift/

  2. 在导航窗格中,选择安全,然后选择HSM 证书选项卡。

  3. 选择创建 HSM 客户端证书

  4. Create HSM Client Certificate 页面上,在 HSM Client Certificate Identifier 框中键入一个名称来标识此客户端证书。

  5. 选择 Next (下一步)

  6. 证书创建之后,系统随即显示确认页面,其中显示用以在 HSM 上注册密钥的信息。如果您无权配置 HSM,请与 HSM 管理员协调完成以下步骤。

    1. 在您的计算机上,打开一个新的文本文件。

    2. 在 Amazon Redshift 控制台中,在创建 HSM 客户端证书确认页面,复制公有密钥。

    3. 将公有密钥粘贴到打开的文件中,并使用确认页面的步骤 1 中显示的文件名保存该文件。请务必使用 .pem 文件扩展名保存文件,例如:123456789mykey.pem

    4. .pem 文件上传到 HSM。

    5. 在 HSM 中,打开一个命令提示符窗口并运行确认页面的步骤 4 中列出的命令,以注册密钥。该命令采用以下格式,其中 ClientNameKeyFilenamePartitionName 需要替换为您自己的值:

      client register -client ClientName -hostname KeyFilename

      client assignPartition -client ClientName -partition PartitionName

      例如:

      client register -client MyClient -hostname 123456789mykey

      client assignPartition -client MyClient -partition MyPartition

    6. 在 HSM 上注册密钥后,选择下一步

  7. 创建并注册 HSM 客户端证书之后,请选择以下按钮之一。

    1. Launch a Cluster with HSM。此选项会开始启动新集群的过程。在该过程中,您可以选择 HSM 来存储加密密钥。有关启动集群过程的更多信息,请参阅使用控制台管理集群

      Create an HSM Connection。此选项会开始 Create HSM Connection 过程。

      View Certificates。此选项会将您返回至导航窗格中的 HSM,并在 Certificates 选项卡中显示客户端证书列表。

      Previous。此选项会将您返回至 Create HSM Client Certificates 确认页面。

      Close (关闭)。此选项会将您返回至导航窗格中的 HSM,并在 Connections 选项卡上显示 HSM 连接列表。

显示 HSM 客户端证书的公有密钥

  1. 登录到Amazon Web Services Management Console,然后打开 Amazon Redshift 控制台https://console.aws.amazon.com/redshift/

  2. 在导航窗格中,选择安全,然后选择HSM 证书选项卡。

  3. 选择 HSM 客户端证书以显示公有密钥。该密钥与您在创建 HSM 客户端证书过程之前的过程中添加到 HSM 的密钥相同。

删除 HSM 连接

  1. 登录到Amazon Web Services Management Console,然后打开 Amazon Redshift 控制台https://console.aws.amazon.com/redshift/

  2. 在导航窗格中,选择安全,然后选择HSM 连接选项卡。

  3. 选择要删除的 HSM 连接。

  4. 删除 HSM 连接对话框中,选择Delete从 Amazon Redshift 中删除连接,或选择Cancel返回到HSM 连接选项卡,而不删除连接。

删除 HSM 客户端证书

  1. 登录到Amazon Web Services Management Console,然后打开 Amazon Redshift 控制台https://console.aws.amazon.com/redshift/

  2. 在导航窗格中,选择安全,然后选择HSM 证书选项卡。

  3. 在列表中,选择要删除的 HSM 客户端证书。

  4. 删除 HSM 客户端证书对话框中,选择Delete从 Amazon Redshift 中删除证书,或选择Cancel返回到证书选项卡,而不删除证书。

使用 Amazon Redshift 控制台轮换加密密钥

您可以借助以使用 Amazon Redshift 控制台来轮换加密密密密钥。

注意

Amazon Redshift 有新的控制台可用。根据您使用的控制台,选择新控制台原始控制台说明。默认情况下会打开新控制台说明。

轮换集群的加密钥

  1. 登录到Amazon Web Services Management Console,然后打开 Amazon Redshift 控制台https://console.aws.amazon.com/redshift/

  2. 在导航菜单上,选择集群,然后选择要更新加密密钥的集群。

  3. 适用于操作中,选择轮换加密以显示轮换加密密密密钥页.

  4. 在存储库的轮换加密密密密钥页面上,选择轮换加密密密密钥

轮换加密密钥

  1. 登录到Amazon Web Services Management Console,然后打开 Amazon Redshift 控制台https://console.aws.amazon.com/redshift/

  2. 在导航窗格中,选择 Clusters

  3. 在列表中,选择要轮换密钥的集群。

  4. 选择数据库,然后选择轮换加密密密密钥

  5. 选择是,旋转键如果你想旋转键或Cancel如果你不这样做。

    注意

    您的集群将暂时不可用,直到密钥轮换过程完成。