Wie verschlüssele ich meinen Amazon Redshift-Cluster?

Letzte Aktualisierung: 31.10.2022

Ich möchte meinen Amazon-Redshift-Cluster verschlüsseln. Wie gehe ich vor?

Auflösung

Die Verschlüsselung kann beim Erstellen eines Amazon-Redshift-Clusters aktiviert werden. Oder ein vorhandener unverschlüsselter Amazon-Redshift-Cluster kann so geändert werden, dass er die AWS Key Management Service (AWS KMS)-Verschlüsselung verwendet. Amazon Redshift Serverless ist standardmäßig verschlüsselt, aber Sie können den AWS-KMS-Schlüssel für einen Namespace ändern.

Aktivieren der Verschlüsselung beim Erstellen eines neuen Amazon-Redshift-Clusters

Aktivieren Sie die Verschlüsselung beim Erstellen Ihres Amazon-Redshift-Clusters wie folgt:

  1. Öffnen Sie die Amazon-Redshift-Konsole.
  2. Wählen Sie im Navigationsbereich Cluster und dann Cluster erstellen aus.
  3. Konfigurieren Sie für Cluster erstellen den Cluster gemäß Ihren Spezifikationen. Weitere Informationen finden Sie unter Erstellen eines Clusters.
  4. Deaktivieren Sie für zusätzliche Konfigurationen die Option Standardwerte verwenden.
  5. Wählen Sie für Datenbankkonfigurationen die Option AWS Key Management Service (AWS KMS) verwenden oder Hardware-Sicherheitsmodul (HSM) verwenden aus. Weitere Informationen zu Verschlüsselungsoptionen finden Sie unter Amazon-Redshift-Datenbankverschlüsselung.
  6. (Optional) Definieren Sie Ihre Spezifikationen für die zusätzlichen Konfigurationsoptionen.
  7. Wählen Sie Cluster erstellen aus.

Hinweis: Die Verschlüsselung des Hardwaresicherheitsmoduls (HSM) wird für DC2- und RA3-Knotentypen nicht unterstützt.

Ändern eines unverschlüsselten Amazon-Redshift-Clusters zur Verwendung von Verschlüsselung

Beachten Sie Folgendes, wenn Sie einen Amazon-Redshift-Cluster ändern, um die Verschlüsselung zu aktivieren:

  • Nachdem die Verschlüsselung aktiviert wurde, migriert Amazon Redshift die Daten automatisch in einen neuen verschlüsselten Cluster mit derselben Cluster-ID. Während des Migrationsprozesses ist der Cluster im schreibgeschützten Modus verfügbar, und der Cluster-Status wird als Größenänderung angezeigt.
  • Wenn der Cluster den Typ RA3 hat, wird die Änderung der Amazon-Redshift-Clusterverschlüsselung mithilfe von Faster Classic Resize durchgeführt. Für alle anderen Knotentypen führt Amazon Redshift die Änderung der Verschlüsselung mithilfe der klassischen Größenänderung durch.
  • Die Zeit, die ein Größenänderungsvorgang benötigt, kann je nach folgenden Faktoren variieren:
    Die Lese-Workload auf dem Quell-Cluster
    Die Tabellendefinition
    Der schiefe Knotentyp, zu dem und von dem aus Sie skalieren

Ändern Sie einen vorhandenen Amazon-Redshift-Cluster für die Verwendung der Verschlüsselung mithilfe der Konsole wie folgt:

  1. Öffnen Sie die Amazon-Redshift-Konsole.
  2. Wählen Sie im Navigationsbereich Clusters und dann den Cluster aus, den Sie verschlüsseln möchten.
  3. Wählen Sie Eigenschaften aus.
  4. Wählen Sie für Datenbankkonfigurationen Bearbeiten und dann Verschlüsselung bearbeiten aus.
  5. Wählen Sie AWS Key Management Service (AWS KMS) verwenden oder Ein Hardware-Sicherheitsmodul verwenden (HSM) aus. Weitere Informationen zu Verschlüsselungsoptionen finden Sie unter Amazon-Redshift-Datenbankverschlüsselung.

Führen Sie den folgenden modify-cluster-Befehl aus, um einen vorhandenen Amazon-Redshift-Cluster für die Verwendung der AWS-KMS-Verschlüsselung mithilfe der AWS-CLI zu ändern:

Hinweis: Ihr Standard-KMS-Schlüssel wird standardmäßig verwendet. Um einen vom Kunden verwalteten Schlüssel zu verwenden, schließen Sie die Option kms-key-id ein und ersetzen Sie den Wert durch Ihren KMS-Schlüssel.

> aws redshift modify-cluster --cluster-identifier <value> --encrypted --kms-key-id <value>

Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version des AWS CLI verwenden.

Ändern des AWS-KMS-Schlüssels für einen Namespace in Amazon Redshift Serverless

Amazon Redshift Serverless ist standardmäßig verschlüsselt. Amazon Redshift Serverless unterstützt jedoch das Ändern des AWS-KMS-Schlüssels für den Namespace, sodass Sie die Sicherheitsrichtlinien Ihres Unternehmens einhalten können. Wenn Sie den AWS-KMS-Schlüssel ändern, bleiben die Daten unverändert.

Beachten Sie Folgendes, wenn Sie den AWS-KMS-Schlüssel ändern:

  • Die Zeit, die zum Ändern des Schlüssels benötigt wird, hängt von der Datenmenge in Amazon Redshift Serverless ab. In der Regel dauert es fünfzehn Minuten pro 8 TB gespeicherter Daten.
  • Sie können nicht von einem vom Kunden verwalteten KMS-Schlüssel zu einem AWS-KMS-Schlüssel wechseln. Wenn Sie nach dem Erstellen eines vom Kunden verwalteten KMS-Schlüssels einen AWS-KMS-Schlüssel verwenden möchten, müssen Sie einen neuen Namespace erstellen.
  • Sie können keine anderen Aktionen ausführen, während der Schlüssel geändert wird.

Ändern Sie den AWS-KMS-Schlüssel für den Namespace wie folgt:

  1. Öffnen Sie die Amazon-Redshift-Konsole.
  2. Wählen Sie im Navigationsbereich Namespace-Konfiguration aus und wählen Sie dann Ihren Namespace aus der Liste aus.
  3. Wählen Sie auf der Registerkarte Sicherheit und Verschlüsselung die Option Bearbeiten aus.
  4. Wählen Sie Verschlüsselungseinstellungen anpassen aus und wählen Sie dann einen Schlüssel für den Namespace aus oder erstellen Sie einen neuen Schlüssel.

Um den AWS-KMS-Schlüssel für den Namespace mithilfe der AWS CLI zu ändern, führen Sie den folgenden update-namespace-Befehl aus:

Hinweis: Sie müssen einen Namespace erstellt haben, sonst führt der AWS-CLI-Befehl zu einem Fehler.

aws redshift-serverless update-namespace
--namespace-name
[--kms-key-id <id-of-kms-key>]
// other parameters omitted here

War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?