静态加密 - Amazon Redshift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静态加密

服务器端加密是静态数据加密,即,Amazon Redshift 可选择在将您的数据写入数据中心时对其进行加密,并在您访问这些数据时进行解密。只要您验证了您的请求并且拥有访问权限,您访问加密和未加密数据的方式就没有区别。

Amazon Redshift 通过加密为静态数据提供保护。您可以选择使用高级加密标准 AES-256,为存储在集群内磁盘上的所有数据以及 Amazon S3 中的所有备份提供保护。

要管理用于加密和解密 Amazon Redshift 资源的密钥,请使用Amazon Key Management Service(Amazon KMS)。Amazon KMS将安全、高度可用的硬件和软件结合起来,提供可扩展到云的密钥管理系统。利用 Amazon KMS,您可创建加密密钥并定义控制这些密钥的使用方式的策略。Amazon KMS 支持 Amazon CloudTrail,因此,您可审核密钥使用情况以验证密钥是否使用得当。您可以使用Amazon KMS键与 Amazon Redshift 组合使用,并支持Amazon服务.. 有关支持的服务列表Amazon KMS,请参阅操作方法Amazon服务使用Amazon KMS中的Amazon Key Management Service开发人员指南

AQUA(高级查询加速器)接收并使用 Amazon Redshift 用于在 Amazon S3 中存储数据快照的数据库加密密钥 (DEK)。Amazon Redshift 使用信封加密,这意味着您可以轮换密钥,而无需重新加密数据块。如果 Amazon Redshift 集群未加密,则 AQUA 会使用自己的托管密钥对数据进行加密。有关更多信息,请参阅 Amazon Redshift 数据库加密

在某些情况下,您可以撤消Amazon KMS访问与集群关联的 IAM 角色。如果是这样,则在进行中查询完成后,无法进一步访问 AQUA 中缓存的数据。这是因为 AQUA 不会在单个推下扫描或聚合操作之外保留密钥。这种缺乏持久性也意味着您无法访问有关这些块的任何元数据。