Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

如何為現有已解密的 Amazon Redshift 叢集開啟加密？

2 分的閱讀內容

我想為現有已解密的 Amazon Redshift 叢集開啟加密。

簡短描述

對於連線到新建佈建和已還原叢集的用戶端，Amazon Redshift 預設強制執行 SSL 連線。此預設變更也適用於無伺服器工作群組。

您可以修改現有的 Amazon Redshift 未加密叢集，以使用 AWS Key Management Service (KMS) 加密。Amazon Redshift Serverless 預設會加密，但您可以變更命名空間的 AWS KMS key。

**注意：**DC2 和 RA3 節點類型不支援硬體安全模組 (HSM) 加密。

解決方法

**注意：**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息，請參閱對 AWS CLI 錯誤進行疑難排解。此外，請確定您使用的是最新的 AWS CLI 版本。

修改未加密的 Amazon Redshift 叢集以使用加密

若要修改現有的 Amazon Redshift 叢集以使用加密，請完成下列步驟：

開啟 Amazon Redshift console (Amazon Redshift 主控台)。
在導覽窗格中選擇 Clusters (叢集)，然後選擇要加密的叢集。
選擇 Properties (屬性)。
在 Database configurations (資料庫組態) 中，選擇 Edit (編輯)，然後選擇 Edit encryption (編輯加密)。
選擇 Use AWS Key Management Service (AWS KMS) (使用 AWS Key Management Service (KMS)) 或 Use a hardware security module (HSM) (使用硬體安全模組 (HSM))。如需加密選項的詳細資訊，請參閱 Amazon Redshift 資料庫加密。

若要透過 AWS Command Line Interface (AWS CLI) 修改現有 Amazon Redshift 叢集以使用 AWS KMS 加密，請執行下列 modify-cluster 命令：

> aws redshift modify-cluster --cluster-identifier <value> --encrypted --kms-key-id <value>

如果您在命令中僅包含加密，請使用預設的 AWS KMS key。若要使用客戶自管的 KMS key，請包含 kms-key-id 並將值替換為客戶自管的 KMS key ID。

如果叢集具有 RA3 節點類型，則 Amazon Redshift 叢集加密變更會透過較快速的傳統調整大小來執行。對於所有其他節點類型，Amazon Redshift 會透過傳統調整大小來執行加密變更。

開啟加密後，Amazon Redshift 會自動將資料移轉至具有相同叢集識別碼的新加密叢集。在此移轉作業期間，叢集會處於唯讀模式，且叢集狀態會顯示為「調整大小」。

調整大小作業所需的時間長短會根據來源叢集上的讀取工作負載和資料表定義而有所不同。您要縮放的節點類型 (包括傾斜情況的考量) 也會影響調整大小所需的時間。

變更 Amazon Redshift Serverless 中命名空間的 AWS KMS key

Amazon Redshift Serverless 預設為加密。但您可以修改命名空間的 AWS KMS key，以遵守組織的安全政策。當您變更 AWS KMS key 時，資料會保持不變。

您無法從客戶自管 KMS key 變更為 AWS KMS key。如果您想在建立客戶自管 KMS key 後使用 AWS KMS key，則必須建立新的命名空間。當金鑰發生變化時，您也無法執行其他動作。變更金鑰所需的時間取決於 Amazon Redshift Serverless 中的資料量。每 8 TB 的儲存資料通常需要 15 分鐘的時間。

若要變更命名空間的 AWS KMS key，請完成下列步驟：

開啟 Amazon Redshift console (Amazon Redshift 主控台)。
在導覽窗格中，選擇 Namespace configuration (命名空間組態)，然後從清單中選擇您的命名空間。
在 Security and encryption (安全和加密) 索引標籤中，選擇 Edit (編輯)。
選擇 Customize encryption settings (自訂加密設定)，然後為命名空間選擇金鑰或建立新金鑰。

若要使用 AWS CLI 變更命名空間的 AWS KMS key，請執行下列 update-namespace 命令：

aws redshift-serverless update
-namespace--namespace-name
[--kms-key-id <id-of-kms-key>]
// other parameters omitted here

**注意：**如果您沒有建立命名空間，則 AWS CLI 命令會導致錯誤。

主題

分析

標籤

Amazon Redshift

語言

中文 (繁體)

AWS 官方已更新 1 個月前

沒有評論

如何為現有已解密的 Amazon Redshift 叢集開啟加密？

簡短描述

解決方法

修改未加密的 Amazon Redshift 叢集以使用加密

變更 Amazon Redshift Serverless 中命名空間的 AWS KMS key

相關內容