如何加密我的 Amazon Redshift 叢集?

上次更新日期:2022 年 10 月 31 日

我想加密自己的 Amazon Redshift 叢集。該如何進行?

解決方案

建立 Amazon Redshift 叢集時,可以開啟加密。或者,也可以將現有的 Amazon Redshift 未加密叢集修改為使用 AWS Key Management Service (AWS KMS) 加密。Amazon Redshift 無伺服器版預設為加密,但您可以變更命名空間的 AWS KMS 金鑰。

在建立新的 Amazon Redshift 叢集時開啟加密

若要在建立 Amazon Redshift 叢集時開啟加密,請執行下列動作:

  1. 開啟 Amazon Redshift 主控台
  2. 在瀏覽窗格中,選擇 Clusters (叢集),然後選擇 Create cluster (建立叢集)。
  3. 對於 Create cluster (建立叢集),請根據您的規格設定叢集。如需詳細資訊,請參閱建立叢集
  4. 對於 Additional configurations (其他組態),請關閉 Use defaults (使用預設值)。
  5. 對於 Database configurations (資料庫組態),請選擇 Use AWS Key Management Service (AWS KMS) (使用 AWS Key Management Service (AWS KMS)) 或 Use a hardware security module (HSM) (使用硬體安全模組 (HSM))。如需有關加密選項的詳細資訊,請參閱 Amazon Redshift 資料庫加密
  6. (選用) 定義其他組態選項的規格。
  7. 選擇 Create cluster (建立叢集)。

備註:DC2 和 RA3 節點類型不支援硬體安全模組 (HSM) 加密

修改未加密的 Amazon Redshift 叢集以使用加密

修改 Amazon Redshift 叢集以開啟加密時,請考慮下列事項:

  • 開啟加密之後,Amazon Redshift 會自動將資料遷移到具有相同叢集識別碼的新加密叢集。在遷移操作期間,您只能以唯讀模式使用叢集,而且叢集的狀態會顯示為「正在調整大小」。
  • 如果叢集具有 RA3 節點類型,則會使用 Faster Classic Resize (更快的典型調整大小) 來執行 Amazon Redshift 叢集加密變更。對於所有其他節點類型,Amazon Redshift 會使用 Classic resize (典型調整大小) 來執行加密變更。
  • 完成調整大小作業所需的時間可能會因下列項目而有所不同:
    來源叢集上的讀取工作負載
    資料表定義
    您要向其中/從其中擴展的偏斜節點類型

若要藉助主控台修改現有的 Amazon Redshift 叢集以使用加密,請執行以下操作:

  1. 開啟 Amazon Redshift 主控台
  2. 在導覽窗格中,選擇 Clusters (叢集),然後選擇您想要加密的叢集。
  3. 選擇 Properties (屬性)。
  4. 對於 Database configurations (資料庫組態),請選擇 Edit (編輯),然後選擇 Edit encryption (編輯加密)。
  5. 選擇 Use AWS Key Management Service (AWS KMS) (使用 AWS Key Management Service (AWS KMS)) 或 Use a hardware security module (HSM) (使用硬體安全模組 (HSM))。如需有關加密選項的詳細資訊,請參閱 Amazon Redshift 資料庫加密

若要藉助 AWS CLI 修改現有的 Amazon Redshift 叢集以使用 AWS KMS 加密,請執行下列 modify-cluster 命令:

備註:根據預設,會使用您的預設 KMS 金鑰。若要使用客戶受管的金鑰,請包含 kms-key-id 選項,並以您的 KMS 金鑰取代 value

> aws redshift modify-cluster --cluster-identifier <value> --encrypted --kms-key-id <value>

備註:如果您在執行 AWS CLI 命令時收到錯誤,請確保您使用的是最新版 AWS CLI

變更 Amazon Redshift 無伺服器版中命名空間的 AWS KMS 金鑰

Amazon Redshift 無伺服器版預設為加密。然而,Amazon Redshift 無伺服器版支援變更命名空間的 AWS KMS 金鑰,讓您能夠遵守組織的安全政策。當您變更 AWS KMS 金鑰時,資料會保持不變。

變更 AWS KMS 金鑰時,請考量下列事項:

  • 變更金鑰所需的時間取決於 Amazon Redshift 無伺服器版中的資料量。每 8 TB 的儲存資料通常需要十五分鐘的時間。
  • 您無法將客戶受管的 KMS 金鑰變更為 AWS KMS 金鑰。如果您想在建立客戶受管 KMS 金鑰後使用 AWS KMS 金鑰,則必須建立新的命名空間。
  • 當金鑰變更時,您無法執行其他動作。

若要變更命名空間的 AWS KMS 金鑰,請執行下列動作:

  1. 開啟 Amazon Redshift 主控台
  2. 在瀏覽窗格中,選擇 Namespace configuration (命名空間組態),然後從清單中選擇您的命名空間。
  3. Security and encryption (安全與加密) 索引標籤中,選擇 Edit (編輯)。
  4. 選擇 Customize encryption settings (自訂加密設定),然後選擇命名空間的金鑰或建立新金鑰。

若要使用 AWS CLI 變更命名空間的 AWS KMS 金鑰,請執行下列 update-namespace 命令:

備註:您必須建立命名空間,否則 AWS CLI 命令會導致錯誤。

aws redshift-serverless update-namespace
--namespace-name
[--kms-key-id <id-of-kms-key>]
// other parameters omitted here

此文章是否有幫助?


您是否需要帳單或技術支援?