静态加密 - Amazon Redshift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

静态加密

服务器端加密是静态数据加密,即,Amazon Redshift 在将数据写入其数据中心时选择性地对其进行加密,并在您访问时进行解密。只要您验证了您的请求并且拥有访问权限,您访问加密和未加密数据的方式就没有区别。

Amazon Redshift 通过加密为静态数据提供保护。(可选)您可以通过高级加密标准 AES-256,为存储在集群中磁盘上的所有数据以及 Amazon S3 中的所有备份提供保护。

要管理用于加密和解密 Amazon Redshift 资源的密钥,您可以使用 Amazon Key Management Service (Amazon KMS)。Amazon KMS 将安全、高度可用的硬件和软件结合起来,提供可扩展到云的密钥管理系统。利用 Amazon KMS,您可创建加密密钥并定义控制这些密钥的使用方式的策略。Amazon KMS 支持 Amazon CloudTrail,因此,您可审核密钥使用情况以验证密钥是否使用得当。您可将 Amazon KMS 密钥与 Amazon Redshift 和支持的 Amazon 服务结合使用。有关支持 Amazon KMS 的服务的列表,请参阅《Amazon Key Management Service 开发人员指南》中的 Amazon 服务如何使用 Amazon KMS

如果您选择使用 Amazon Secrets Manager 来管理预置集群或无服务器命名空间的管理员密码,Amazon Redshift 还可接受额外的 Amazon KMS 密钥,可供 Amazon Secrets Manager 用于加密您的凭证。此额外的密钥可以是从 Amazon Secrets Manager 自动生成的密钥,也可以是您提供的自定义密钥。

Amazon Redshift 查询编辑器 v2 安全存储输入到查询编辑器中的信息,如下所示:

  • 用于加密查询编辑器 v2 数据的 KMS 密钥的 Amazon 资源名称 (ARN)。

  • 数据库连接信息。

  • 文件和文件夹的名称和内容。

Amazon Redshift 查询编辑器 v2 使用 KMS 密钥或服务账户 KMS 密钥的数据块级加密来加密信息。Amazon Redshift 数据的加密由 Amazon Redshift 集群属性控制。