Como criptografar meu cluster do Amazon Redshift?
Quero criptografar meu cluster do Amazon Redshift. Como fazer isso?
Resolução
A criptografia pode ser ativada ao criar um cluster do Amazon Redshift. Ou um cluster não criptografado existente do Amazon Redshift pode ser modificado para usar a criptografia do AWS Key Management Service (AWS KMS). O Amazon Redshift Serverless é criptografado por padrão, mas você pode alterar a chave do AWS KMS para um namespace.
Ativar a criptografia ao criar um novo cluster do Amazon Redshift
Para ativar a criptografia ao criar seu cluster do Amazon Redshift, faça o seguinte:
- Abra o console do Amazon Redshift.
- No painel de navegação, escolha Clusters e depois Create cluster (Criar cluster).
- Para Create cluster (Criar cluster), configure o cluster de acordo com as suas especificações. Para obter mais informações, consulte Criar um cluster.
- Para Additional configurations (Configurações adicionais), desative Use defaults (Usar padrões).
- Para Database configurations (Configurações de banco de dados), escolha Use AWS Key Management Service (AWS KMS) (Usar AWS Key Management Service - AWS KMS) ou Use a hardware security module (HSM) (Usar um módulo de segurança de hardware - HSM). Para obter mais informações sobre as opções de criptografia, consulte Criptografia de banco de dados do Amazon Redshift.
- (Opcional) Defina suas especificações para as opções de configuração adicionais.
- Escolha Create cluster (Criar cluster).
Observação: não há suporte para a criptografia do módulo de segurança de hardware (HSM) não é suportada para os tipos de nós DC2 e RA3.
Modificar um cluster não criptografado do Amazon Redshift para usar a criptografia
Considere o seguinte ao modificar um cluster do Amazon Redshift para ativar a criptografia:
- Depois que a criptografia for ativada, o Amazon Redshift migrará automaticamente os dados para um novo cluster criptografado com o mesmo identificador de cluster. Durante essa operação de migração, o cluster fica disponível no modo somente leitura, e o status do cluster aparece como Redimensionando.
- Se o cluster tiver o tipo de nó RA3, a alteração da criptografia do cluster do Amazon Redshift será realizada usando Faster Classic Resize (Redimensionamento clássico mais rápido). Para todos os outros tipos de nós, o Amazon Redshift realiza a alteração de criptografia usando o Redimensionamento clássico.
- O tempo necessário para que uma operação de redimensionamento seja concluída pode variar dependendo do seguinte:
A workload de leitura no cluster de origem
A definição da tabela
O tipo de nó de inclinação do e para o qual você está escalando
Para modificar um cluster existente do Amazon Redshift para usar a criptografia no console, faça o seguinte:
- Abra o console do Amazon Redshift.
- No painel de navegação, escolha Clusters e depois escolha o cluster que você deseja criptografar.
- Escolha Properties (Propriedades).
- Para Database configurations (Configurações de banco de dados), escolha Edit (Editar) e, em seguida, Edit encryption (Editar criptografia).
- Escolha Use AWS Key Management Service (AWS KMS) (Usar AWS Key Management Service - AWS KMS) ou Use a hardware security module (HSM) (Usar um módulo de segurança de hardware - HSM). Para obter mais informações sobre as opções de criptografia, consulte Criptografia de banco de dados do Amazon Redshift.
Para modificar um cluster existente do Amazon Redshift para usar a criptografia do AWS KMS usando a AWS CLI, execute o seguinte comando modify-cluster:
Observação: sua chave do KMS padrão é usada por padrão. Para usar uma chave gerenciada pelo cliente, inclua a opção kms-key-id e substitua value (valor) pela sua chave do KMS.
> aws redshift modify-cluster --cluster-identifier <value> --encrypted --kms-key-id <value>
Observação: se você receber erros ao executar comandos da AWS CLI, certifique-se de estar utilizando a versão mais recente da AWS CLI.
Alterar a chave do AWS KMS para um namespace no Amazon Redshift Serverless
O Amazon Redshift Serverless é criptografado por padrão. No entanto, o Amazon Redshift Serverless oferece suporte à alteração da chave do AWS KMS do namespace, para que você possa aderir às políticas de segurança da sua organização. Quando você altera a chave do AWS KMS, os dados permanecem inalterados.
Considere o seguinte ao alterar a chave do AWS KMS:
- O tempo necessário para alterar a chave depende da quantidade de dados no Amazon Redshift Serverless. Normalmente, leva quinze minutos para cada 8 TB de dados armazenados.
- Você não pode mudar de uma chave do KMS gerenciada pelo cliente para uma chave do AWS KMS. Se quiser usar uma chave do AWS KMS depois de criar uma chave do KMS gerenciada pelo cliente, será necessário criar um novo namespace.
- Não é possível realizar outras ações enquanto a chave está sendo alterada.
Para alterar a chave do AWS KMS do namespace, faça o seguinte:
- Abra o console do Amazon Redshift.
- No painel de navegação, escolha Configuração do namespace e, em seguida, escolha seu namespace na lista.
- Na guia Security and encryption (Segurança e criptografia), escolha Edit (Editar).
- Escolha Customize encryption settings (Personalizar configurações de criptografia) e, em seguida, escolha uma chave do namespace ou crie uma nova chave.
Para alterar a chave do AWS KMS para o namespace usando a AWS CLI, execute o seguinte comando update-namespace:
Observação: você deve ter um namespace criado ou o comando da AWS CLI resultará em um erro.
aws redshift-serverless update-namespace --namespace-name [--kms-key-id <id-of-kms-key>] // other parameters omitted here
Conteúdo relevante
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 8 meses
- AWS OFICIALAtualizada há 2 anos