¿Cómo puedo cifrar mi clúster de Amazon Redshift?

Última actualización: 31-10-2022

Quiero cifrar mi clúster de Amazon Redshift. ¿Cómo puedo hacerlo?

Resolución

El cifrado se puede activar al crear un clúster de Amazon Redshift. O bien, se puede modificar un clúster no cifrado de Amazon Redshift existente para utilizar el cifrado de AWS Key Management Service (AWS KMS). Amazon Redshift Serverless se cifra de forma predeterminada, pero puede cambiar la clave de AWS KMS de un espacio de nombre.

Active el cifrado al crear un nuevo clúster de Amazon Redshift

Para activar el cifrado al crear su clúster de Amazon Redshift, haga lo siguiente:

  1. Abra la consola de Amazon Redshift.
  2. En el panel de navegación, elija Clusters (Clústeres) y, a continuación, elija Create cluster (Crear clúster).
  3. En Create clúster (Crear clúster), configure el clúster según sus especificaciones. Para obtener más información, consulte Creating a cluster (Cómo crear un clúster).
  4. ParaAdditional configurations (Configuraciones adicionales), desactive Use defaults (Usar valores predeterminados).
  5. Para las configuraciones de bases de datos, elija Usar AWS Key Management Service (AWS KMS) o Usar un módulo de seguridad de hardware (HSM). Para obtener más información sobre las opciones de cifrado, consulte el cifrado de bases de datos de Amazon Redshift.
  6. (Opcional) Defina sus especificaciones para las opciones de configuración adicionales.
  7. Elija Create cluster (Crear clúster).

Nota: El cifrado del módulo de seguridad de hardware (HSM) no es compatible con los tipos de nodos DC2 y RA3.

Modificar un clúster de Amazon Redshift sin cifrar para usar el cifrado

Tenga en cuenta lo siguiente al modificar un clúster de Amazon Redshift para activar el cifrado:

  • Una vez activado el cifrado, Amazon Redshift migra automáticamente los datos a un nuevo clúster cifrado con el mismo identificador de clúster. Durante el proceso de migración, el clúster se encuentra disponible en modo de solo lectura y su estado es "resizing" (ajustando tamaño).
  • Si el clúster tiene un tipo de nodo RA3, el cambio de cifrado del clúster de Amazon Redshift se realiza mediante Faster Classic Resize (Ajuste de tamaño rápido). Para todos los demás tipos de nodos, Amazon Redshift realiza el cambio de cifrado mediante el cambio de Classic resize (Ajuste de tamaño clásico).
  • El tiempo que tarda una operación de cambio de tamaño en completarse puede variar en función de:
    La carga de trabajo de lectura en el clúster de origen
    La definición de la tabla
    El tipo de nodo sesgado hacia y desde el que vas a escalar

Para modificar un clúster de Amazon Redshift existente para que utilice el cifrado mediante la consola, haga lo siguiente:

  1. Abra la consola de Amazon Redshift.
  2. En el panel de navegación, elija Clusters (Clústeres) y, luego, elija el clúster que desea crifrar.
  3. Elija Properties (Propiedades).
  4. Para las configuraciones de base de datos, elija Editar y, a continuación, elija Editar cifrado.
  5. Elija Usar AWS Key Management Service (AWS KMS) o Usar un módulo de seguridad de hardware (HSM). Para obtener más información sobre las opciones de cifrado, consulte el cifrado de bases de datos de Amazon Redshift.

Para modificar un clúster de Amazon Redshift existente para utilizar el cifrado de AWS KMS mediante la CLI de AWS, ejecute el siguiente comando modify-cluster:

Nota: La clave de KMS predeterminada se usa de forma predeterminada. Para usar una clave administrada por el cliente, incluya la opción kms-key-id y sustituya el valor por su clave de KMS.

> aws redshift modify-cluster --cluster-identifier <value> --encrypted --kms-key-id <value>

Nota: Si recibe errores mientras ejecuta los comandos de AWS CLI, asegúrese de que está utilizando la versión más reciente de dicha interfaz.

Cambiar la clave de AWS KMS para un espacio de nombre en Amazon Redshift Serverless.

Amazon Redshift Serverless se cifra de forma predeterminada. Sin embargo, Amazon Redshift Serverless admite el cambio de la clave de AWS KMS del espacio de nombre para que pueda cumplir con las políticas de seguridad de su organización. Al cambiar la clave de AWS KMS, los datos permanecen sin cambios.

Tenga en cuenta lo siguiente al cambiar la clave de AWS KMS:

  • El tiempo que se tarda en cambiar la clave depende de la cantidad de datos de Amazon Redshift Serverless. Por lo general, se necesitan quince minutos por cada 8 TB de datos almacenados.
  • No puede cambiar de una clave de KMS administrada por el cliente a una clave de AWS KMS. Si desea utilizar una clave de AWS KMS después de crear una clave de KMS administrada por el cliente, debe crear un nuevo espacio de nombre.
  • No puede realizar otras acciones mientras se cambia la clave.

Para cambiar la clave de AWS KMS del espacio de nombre, haga lo siguiente:

  1. Abra la consola de Amazon Redshift.
  2. En el panel de navegación, seleccione Configuración del espacio de nombre y, a continuación, elija su espacio de nombre de la lista.
  3. En la pestaña Seguridad y cifrado, seleccione Editar.
  4. Elija Personalizar la configuración de cifrado y, a continuación, elija una clave para el espacio de nombres o cree una clave nueva.

Para cambiar la clave de AWS KMS del espacio de nombres mediante la CLI de AWS, ejecute el siguiente comando update-namespace:

Nota: Debe haber creado un espacio de nombres o el comando CLI de AWS generará un error.

aws redshift-serverless update-namespace
--namespace-name
[--kms-key-id <id-of-kms-key>]
// other parameters omitted here

¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?