使用控制台配置数据库加密 - Amazon Redshift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用控制台配置数据库加密

您可以使用 Amazon Redshift 控制台配置 Amazon Redshift 以使用 HSM 和轮换加密密钥。有关如何使用 Amazon KMS 加密密钥创建集群的信息,请参阅创建集群使用 Amazon CLI 和 Amazon Redshift API 管理集群

注意

Amazon Redshift 有新的控制台可用。根据您使用的控制台,选择新控制台原始控制台说明。默认情况下会打开新控制台说明。

要修改集群上的数据库加密

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshift/

  2. 在导航菜单上,选择 CLUSTERS(集群),然后选择要移动其快照的集群。

  3. 对于 Actions(操作),选择 Modify(修改)以显示配置页面。

  4. Database configuration(数据库配置)部分中,选择 Encryption(加密)的设置,然后选择 Modify cluster(修改集群)。

使用 Amazon Redshift 控制台配置 Amazon Redshift 以使用 HSM

您可以通过 Amazon Redshift 控制台使用以下过程来为 Amazon Redshift 指定 HSM 连接和配置信息。

创建 HSM 连接

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshift/

  2. 在左侧导航窗格中,选择 Security(安全),然后选择 HSM Connections(HSM 连接)选项卡。

  3. 选择 Create HSM Connection(创建 HSM 连接)。

  4. Create HSM Connection 页面上,键入以下信息:

    1. HSM Connection Name 框中,键入一个名称来标识此连接。

    2. Description 框中,键入连接的相关说明。

    3. HSM IP Address 框中,键入 HSM 的 IP 地址。

    4. HSM Partition Name(HSM 分区名称)框中,键入 Amazon Redshift 应连接到的分区的名称。

    5. HSM Partition Password 框中,键入连接到 HSM 分区所需的密码。

    6. 从 HSM 中复制公有服务器证书并将其粘贴到 Paste the HSM's public server certificate here 框中。

    7. 选择创建

  5. 创建连接之后,您可以创建 HSM 客户端证书。如果您想在创建连接之后立即创建 HSM 客户端证书,请选择 Yes(是)并完成下一过程中的步骤。否则,请选择 Not now(并非现在)以返回到 HSM 连接列表,并在其他时间完成该过程的剩余部分。

创建 HSM 客户端证书

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshift/

  2. 在导航窗格中,选择 Security(安全),然后选择 HSM Certificates(HSM 证书)选项卡。

  3. 选择 Create HSM Client Certificate(创建 HSM 客户端证书)。

  4. Create HSM Client Certificate 页面上,在 HSM Client Certificate Identifier 框中键入一个名称来标识此客户端证书。

  5. 选择 Next (下一步)

  6. 证书创建之后,系统随即显示确认页面,其中显示用以在 HSM 上注册密钥的信息。如果您无权配置 HSM,请与 HSM 管理员协调完成以下步骤。

    1. 在您的计算机上,打开一个新的文本文件。

    2. 在 Amazon Redshift 控制台 中的 Create HSM Client Certificate(创建 HSM 客户端证书)确认页面中,复制公有密钥。

    3. 将公有密钥粘贴到打开的文件中,并使用确认页面的步骤 1 中显示的文件名保存该文件。请务必使用 .pem 文件扩展名保存文件,例如:123456789mykey.pem

    4. .pem 文件上传到 HSM。

    5. 在 HSM 中,打开一个命令提示符窗口并运行确认页面的步骤 4 中列出的命令,以注册密钥。该命令采用以下格式,其中 ClientNameKeyFilenamePartitionName 需要替换为您自己的值:

      client register -client ClientName -hostname KeyFilename

      client assignPartition -client ClientName -partition PartitionName

      例如:

      client register -client MyClient -hostname 123456789mykey

      client assignPartition -client MyClient -partition MyPartition

    6. 在 HSM 上注册密钥后,选择 Next(下一步)。

  7. 创建并注册 HSM 客户端证书后,请选择以下按钮之一。

    1. Launch a Cluster with HSM。此选项会开始启动新集群的过程。在该过程中,您可以选择 HSM 来存储加密密钥。有关启动集群过程的更多信息,请参阅使用控制台管理集群

      Create an HSM Connection。此选项会开始 Create HSM Connection 过程。

      View Certificates。此选项会将您返回至导航窗格中的 HSM,并在 Certificates 选项卡中显示客户端证书列表。

      Previous。此选项会将您返回至 Create HSM Client Certificates 确认页面。

      关闭 。此选项会将您返回至导航窗格中的 HSM,并在 Connections 选项卡上显示 HSM 连接列表。

显示 HSM 客户端证书的公有密钥

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshift/

  2. 在导航窗格中,选择 Security(安全),然后选择 HSM Certificates(HSM 证书)选项卡。

  3. 选择 HSM 客户端证书以显示公有密钥。该密钥与您在创建 HSM 客户端证书过程之前的过程中添加到 HSM 的密钥相同。

删除 HSM 连接

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshift/

  2. 在左侧导航窗格中,选择 Security(安全),然后选择 HSM Connections(HSM 连接)选项卡。

  3. 选择您想要删除的 HSM 连接。

  4. Delete HSM Connection(删除 HSM 连接)对话框中,选择 Delete(删除)以删除来自 Amazon Redshift 的连接;或者选择 Cancel(取消)以返回到 HSM Connections(HSM 连接)选项卡而不删除相应连接。

删除 HSM 客户端证书

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshift/

  2. 在导航窗格中,选择 Security(安全)并选择 HSM Certificates(HSM 证书)选项卡。

  3. 在列表中,选择您想要删除的 HSM 客户端证书。

  4. Delete HSM Client Certificate(删除 HSM 客户端证书)对话框中,选择 Delete(删除)以删除 Amazon Redshift 的证书;或者选择 Cancel(取消)以返回到 Certificates(证书)选项卡而不删除相应证书。

使用 Amazon Redshift 控制台轮换加密密钥

您可以借助 Amazon Redshift 控制台以使用以下过程来轮换加密密钥。

注意

Amazon Redshift 有新的控制台可用。根据您使用的控制台,选择新控制台原始控制台说明。默认情况下会打开新控制台说明。

要为集群轮换加密密钥

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshift/

  2. 在导航菜单上,选择 CLUSTERS(集群),然后选择要更新加密密钥的集群。

  3. 对于 Actions(操作),选择 Rotate encryption(轮换加密)以显示 Rotate encryption keys(轮换加密密钥)页面。

  4. 正在 Rotate encryption keys(轮换加密密钥)页面上,选择 Rotate encryption keys(轮换加密密钥)。

轮换加密密钥

  1. 登录到 Amazon Web Services Management Console并打开 Amazon Redshift 控制台,网址:https://console.aws.amazon.com/redshift/

  2. 在导航窗格中,选择 Clusters

  3. 在列表中,选择您想要轮换密钥的集群。

  4. 选择 Database(数据库),然后选择 Rotate Encryption Keys(轮换加密密钥)。

  5. 如果您想要轮换密钥,请选择 Yes, Rotate Keys(是的,轮换密钥);如果不想,则选择 Cancel(取消)。

    注意

    您的集群将暂时不可用,直到密钥轮换过程完成。