静态加密 - Amazon Redshift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

静态加密

服务器端加密是静态数据加密,即,Amazon Redshift 在将数据写入其数据中心时选择性地对其进行加密,并在您访问时进行解密。只要您验证了您的请求并且拥有访问权限,您访问加密和未加密数据的方式就没有区别。

Amazon Redshift 通过加密为静态数据提供保护。(可选)您可以通过高级加密标准 AES-256,为存储在集群中磁盘上的所有数据以及 Simple Storage Service(Amazon S3)中的所有备份提供保护。

要管理用于加密和解密 Amazon Redshift 资源的密钥,您可以使用 Amazon Key Management Service (Amazon KMS)。Amazon KMS 将安全、高度可用的硬件和软件结合起来,提供可扩展到云的密钥管理系统。利用 Amazon KMS,您可创建加密密钥并定义控制这些密钥的使用方式的策略。Amazon KMS 支持 Amazon CloudTrail,因此,您可审核密钥使用情况以验证密钥是否使用得当。您可将 Amazon KMS 密钥与 Amazon Redshift 和支持的 Amazon 服务结合使用。有关支持 Amazon KMS 的服务的列表,请参阅 Amazon Key Management Service 开发人员指南中的 Amazon 服务如何使用 Amazon KMS

AQUA(高级查询加速器)接收并使用 Amazon Redshift 用于在 Simple Storage Service(Amazon S3)中存储数据快照的数据库加密密钥 (DEK)。Amazon Redshift 使用信封加密,这意味着您可以轮换密钥,而无需重新加密数据块。如果 Amazon Redshift 集群未加密,则 AQUA 会使用自己的托管密钥对数据进行加密。有关更多信息,请参阅Amazon Redshift 数据库加密

在某些情况下,您可以撤消 Amazon KMS 对与集群关联的 IAM 角色的访问权限。如果是这样,则在进行中的查询完成后,无法进一步访问 AQUA 中缓存的数据。这是因为 AQUA 不会在单个下推扫描或聚合操作之外保留密钥。这种缺乏持久性也意味着您无法访问有关这些数据块的任何元数据。

Amazon Redshift 查询编辑器 v2 安全存储输入到查询编辑器中的信息,如下所示:

  • 用于加密查询编辑器 v2 数据的 KMS 密钥的 Amazon Resource Name(ARN)。

  • 数据库连接信息。

  • 文件和文件夹的名称和内容。

Amazon Redshift 查询编辑器 v2 使用 KMS 密钥或服务账户 KMS 密钥的数据块级加密来加密信息。Amazon Redshift 数据的加密由 Amazon Redshift 集群属性控制。