Como faço para ativar a criptografia para clusters descriptografados já existentes do Amazon Redshift?

4 minuto de leitura

Quero ativar a criptografia para clusters descriptografados já existentes do Amazon Redshift.

Breve descrição

O Amazon Redshift impõe conexões SSL por padrão para clientes que se conectam aos clusters recém-criados, provisionados e restaurados. Essa alteração padrão também se aplicará a grupos de trabalhos com tecnologia sem servidor.

É possível modificar um cluster do Amazon Redshift não criptografado já existente para utilizar a criptografia do AWS Key Management Service (AWS KMS). O Amazon Redshift sem servidor é criptografado por padrão, mas é possível alterar a chave do AWS KMS para um namespace.

Observação: a criptografia do módulo de segurança de hardware (HSM) não é compatível com os nós tipos DC2 e RA3.

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Modificar um cluster não criptografado do Amazon Redshift para utilizar a criptografia

Para modificar um cluster existente do Amazon Redshift para utilizar criptografia, conclua as seguintes etapas:

Abra o console do Amazon Redshift.
No painel de navegação, escolha Clusters, e em seguida, escolha o cluster que deseja criptografar.
Selecione Propriedades.
Em Configurações de banco de dados, selecione Editar, e em seguida, selecione Editar criptografia.
Selecione Utilizar o AWS Key Management Service (AWS KMS) ou Utilizar um módulo de segurança de hardware (HSM). Para obter mais informações sobre as opções de criptografia, consulte Criptografia de banco de dados do Amazon Redshift.

A fim de modificar um cluster existente do Amazon Redshift para utilizar a criptografia do AWS KMS com a AWS Command Line Interface (AWS CLI), execute o seguinte comando modify-cluster:

> aws redshift modify-cluster --cluster-identifier <value> --encrypted --kms-key-id <value>

Caso inclua somente encrypted no comando, a chave padrão do AWS KMS será utilizada. Para utilizar uma chave KMS gerenciada pelo cliente, inclua o kms-key-id e substitua o value pela ID da chave KMS gerenciada pelo cliente.

Caso o cluster tiver um tipo de nó RA3, a alteração da criptografia do cluster Amazon Redshift será executada com um redimensionamento clássico mais rápido. Para todos os outros tipos de nós, o Amazon Redshift realizará a alteração de criptografia com o redimensionamento clássico.

Depois que a criptografia for ativada, o Amazon Redshift migrará automaticamente os dados para um novo cluster criptografado com o mesmo identificador de cluster. Durante essa operação de migração, o cluster estará disponível no modo somente leitura e o status do cluster aparecerá como “Redimensionando”.

A duração de uma operação de redimensionamento varia com base no workload de leitura no cluster de origem e com base na definição da tabela. O tipo de nó que estiver escalando, seja de origem ou de destino — incluindo as considerações de desequilíbrio — também afetará a duração do redirecionamento.

Alterar a chave do AWS KMS para um namespace no Amazon Redshift sem servidor

O Amazon Redshift sem servidor será criptografado por padrão. No entanto, é possível modificar a chave do AWS KMS para o namespace a fim de aderir às políticas de segurança da sua organização. Ao alterar a chave do AWS KMS, os dados permanecerão inalterados.

Não é possível mudar de uma chave KMS gerenciada pelo cliente para uma chave do AWS KMS. Caso queira utilizar uma chave do AWS KMS, após criar uma chave KMS gerenciada pelo cliente, deve-se criar um novo namespace. Também não pode-se realizar outras ações enquanto a chave estiver mudando. O tempo necessário para alterar a chave depende da quantidade de dados no Amazon Redshift sem servidor. Normalmente, leva 15 minutos para cada 8 TB de dados armazenados.

Para alterar a chave do AWS KMS para o namespace, conclua as seguintes etapas:

Abra o console do Amazon Redshift.
No painel de navegação, selecione Configuração de namespace e assim, escolha seu namespace na lista.
Na guia Segurança e criptografia, selecione Editar.
Selecione Personalizar configurações de criptografia e em seguida, selecione uma chave para o namespace ou então, crie uma nova chave.

Para alterar a chave do AWS KMS para o namespace com a AWS CLI, execute o seguinte comando update-namespace:

aws redshift-serverless update
-namespace--namespace-name
[--kms-key-id <id-of-kms-key>]
// other parameters omitted here

Observação: caso não tenha um namespace criado, o comando da AWS CLI resultará em um erro.

Tópicos: Analytics
Tags: Amazon Redshift
Idioma: Português

AWS OFICIALAtualizada há 10 meses

Sem comentários

Conteúdo relevante

Erro em restauração de banco do S3 para o RDS SQL Server entre contas - "Access Denied" em Restore Cross-Account
Resposta aceita
Rafael Pinheiro
feita há 5 meses
Como criar um novo Cluster com a conta Free Tier?
Iury Rodrigues
feita há 6 meses
FNAF 6 Mobile Game (Full Game Android) - Problema de latência ao acessar assets a partir de uma instância EC2
mariagone
feita há 3 meses
Problema VPN Site-to-Site: Tráfego aceito pela VPC mas não processado pelo túnel
Mateus Diniz
feita há 4 meses
Usuario já existe, mas não tenho acesso
Renato
feita há 2 meses
Como faço para ativar o logging de auditoria no Amazon Redshift e no Amazon Redshift sem servidor?
AWS OFICIALAtualizada há um ano
Por que tenho problemas intermitentes de conectividade com meu cluster do Amazon Redshift?
AWS OFICIALAtualizada há 2 anos
Como faço para criar um cluster do EMR com criptografia de volume do EBS?
AWS OFICIALAtualizada há 3 anos
Como faço para migrar meu cluster do Amazon Redshift para um tipo de nó RA3?
AWS OFICIALAtualizada há 9 meses
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 7 meses