Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

Come posso attivare la crittografia per i cluster Amazon Redshift decrittografati esistenti?

4 minuti di lettura

Desidero attivare la crittografia per i cluster Amazon Redshift decrittografati esistenti.

Breve descrizione

Per impostazione predefinita, Amazon Redshift applica connessioni SSL per i client che si connettono a cluster assegnati e ripristinati di nuova creazione. Questa modifica predefinita si applica anche ai gruppi di lavoro serverless.

Puoi modificare un cluster Amazon Redshift non crittografato esistente per utilizzare la crittografia del Servizio AWS di gestione delle chiavi (AWS KMS). Amazon Redshift serverless è crittografato per impostazione predefinita, ma puoi modificare la chiave AWS KMS per un namespace.

Nota: la crittografia con modulo di sicurezza hardware (HSM) non è supportata per i tipi di nodi DC2 e RA3.

Risoluzione

Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Modifica un cluster Amazon Redshift non crittografato per utilizzare la crittografia

Per modificare un cluster Amazon Redshift esistente in modo da utilizzare la crittografia, completa i seguenti passaggi:

Apri la console Amazon Redshift.
Nel pannello di navigazione, scegli Cluster, quindi il cluster che desideri aggiornare.
Scegli Proprietà.
Per Configurazioni del database, scegli Modifica, scegli Modifica crittografia.
Scegli Utilizza il Servizio di gestione delle chiavi AWS (AWS KMS) o Utilizza un modulo di sicurezza hardware (HSM). Per ulteriori informazioni sulle opzioni di crittografia, consulta Crittografia dei database di Amazon Redshift.

Per modificare un cluster Amazon Redshift esistente in modo da utilizzare la crittografia AWS KMS con l'Interfaccia della linea di comando AWS (AWS CLI), esegui questo comando modify-cluster:

> aws redshift modify-cluster --cluster-identifier <value> --encrypted --kms-key-id <value>

Se includi solo encrypted nel comando, viene utilizzata la chiave AWS KMS predefinita. Per utilizzare una chiave KMS gestita dal cliente, includi kms-key-id e sostituisci value con l'ID della chiave KMS gestita dal cliente.

Se il cluster ha un tipo di nodo RA3, la modifica della crittografia del cluster Amazon Redshift viene eseguita con un ridimensionamento classico più rapido. Per tutti gli altri tipi di nodi, Amazon Redshift esegue la modifica della crittografia con il ridimensionamento classico.

Una volta attivata la crittografia, Amazon Redshift eseguire automaticamente la migrazione dei dati in un nuovo cluster crittografato con lo stesso identificatore di cluster. Durante l'operazione di migrazione, il cluster è disponibile in modalità di sola lettura e lo stato del cluster visualizzato è "Ridimensionamento in corso".

La durata di un'operazione di ridimensionamento varia in base al carico di lavoro di lettura sul cluster di origine e alla definizione della tabella. Anche il tipo di nodo da cui si esegue il ridimensionamento, comprese le considerazioni sull'asimmetria, influisce sulla durata del ridimensionamento.

Modifica la chiave AWS KMS per un namespace in Amazon Redshift serverless

Per impostazione predefinita, Amazon Redshift serverless è crittografato. Puoi tuttavia modificare la chiave AWS KMS per il namespace in modo da rispettare le policy di sicurezza dell'organizzazione. Quando modifichi la chiave AWS KMS, i dati rimangono invariati.

Non puoi passare da una chiave KMS gestita dal cliente a una chiave AWS KMS. Se desideri utilizzare una chiave AWS KMS dopo aver creato una chiave KMS gestita dal cliente, devi creare un nuovo namespace. Inoltre, non puoi eseguire altre azioni mentre la chiave cambia. Il tempo necessario per modificare la chiave dipende dalla quantità di dati presenti in Amazon Redshift serverless. In genere sono necessari 15 minuti ogni 8 TB di dati archiviati.

Per modificare la chiave AWS KMS per il namespace, completa i seguenti passaggi:

Apri la console Amazon Redshift.
Nel pannello di navigazione, seleziona Configurazione dello spazio dei nomi, quindi scegli il namespace dall'elenco.
Nella scheda Sicurezza e crittografia, scegli Modifica.
Seleziona Personalizza le impostazioni di crittografia, quindi scegli una chiave per il namespace o crea una nuova chiave.

Per modificare la chiave AWS KMS per il namespace con AWS CLI, esegui questo comando update-namespace:

aws redshift-serverless update
-namespace--namespace-name
[--kms-key-id <id-of-kms-key>]
// other parameters omitted here

Nota: se non hai creato un namespace, il comando AWS CLI restituisce un errore.

Argomenti

Analisi

Tag

Amazon Redshift

Lingua

Italiano

AWS UFFICIALEAggiornata 25 giorni fa

Contenuto pertinente

Come posso attivare la registrazione di audit in Amazon Redshift e Amazon Redshift Serverless?
AWS UFFICIALEAggiornata 5 mesi fa
Perché sto riscontrando problemi di connettività intermittente con il mio cluster Amazon Redshift?
AWS UFFICIALEAggiornata un anno fa
Come posso creare un cluster EMR con crittografia dei volumi EBS?
AWS UFFICIALEAggiornata 2 anni fa
In che modo posso utilizzare i log per tenere traccia delle attività nel mio cluster di database Amazon Redshift?
AWS UFFICIALEAggiornata un anno fa