更改命名空间的 Amazon KMS 密钥
在 Amazon Redshift 中,加密为静态数据提供保护。Amazon Redshift Serverless 自动使用 Amazon KMS 密钥加密来加密您的 Amazon Redshift Serverless 资源和快照。作为最佳实践,大多数企业会审查其存储的数据类型,并计划按时间表轮换加密密钥。轮换密钥的频率可能会有所不同,具体取决于您的数据安全策略。Amazon Redshift Serverless 支持更改命名空间的 Amazon KMS 密钥,以便您可以遵守企业的安全策略。
当您更改 Amazon KMS 密钥时,数据保持不变。
使用控制台更改 Amazon KMS 密钥
在 Amazon Redshift 中,加密为静态数据提供保护。Amazon Redshift Serverless 自动使用 Amazon KMS 密钥加密来加密 Amazon Redshift Serverless 和快照。作为最佳实践,大多数企业会审查其存储的数据类型,并计划按时间表轮换加密密钥。轮换密钥的频率可能会有所不同,具体取决于您的数据安全策略。Amazon Redshift Serverless 支持更改命名空间的 Amazon KMS 密钥,以便您可以遵守企业的安全策略。
当您更改 Amazon KMS 密钥时,数据保持不变。
登录 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Redshift 控制台:https://console.aws.amazon.com/redshiftv2/
。 -
在导航菜单上,选择命名空间配置。从列表中选择命名空间。
-
从安全性和加密选项卡上,选择编辑。
-
选择自定义加密设置,然后为命名空间选择密钥。您可以选择创建新密钥。
使用 Amazon CLI 更改 Amazon KMS 加密密钥
使用 update-namespace 更改命名空间的 Amazon KMS 密钥。下面说明此命令的语法:
aws redshift-serverless update-namespace --namespace-name [--kms-key-id <id-of-kms-key>] // other parameters omitted here
必须已创建命名空间,否则 CLI 命令会导致错误。
更改密钥所需的时间取决于 Amazon Redshift Serverless 中的数据量。通常,对于每 8TB 存储数据,此过程需要 15 分钟。
限制
您无法将客户托管式 KMS 密钥更改为 Amazon KMS 密钥。在这种情况下,您必须创建一个新的命名空间。
更改密钥时,您无法执行其他操作。