En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post

Comment chiffrer mon cluster Amazon Redshift ?

Lecture de 5 minute(s)
0

Je souhaite chiffrer mon cluster Amazon Redshift. Comment dois-je procéder ?

Solution

Le chiffrement peut être activé lors de la création d'un cluster Amazon Redshift. Vous pouvez également modifier un cluster non chiffré Amazon Redshift existant pour utiliser le chiffrement AWS Key Management Service (AWS KMS). Amazon Redshift sans serveur est chiffré par défaut, mais vous pouvez modifier la clé AWS KMS d'un espace de nommage.

Activer le chiffrement lors de la création d'un nouveau cluster Amazon Redshift

Pour activer le chiffrement lors de la création de votre cluster Amazon Redshift, procédez comme suit :

  1. Ouvrez la console Amazon Redshift.
  2. Dans le panneau de navigation, sélectionnez Clusters, puiscréer cluster.
  3. Pour Create cluster, configurez le cluster selon vos spécifications. Pour plus d'informations, consultez la section Création d'un cluster.
  4. Pour les configurations supplémentaires, désactivez l'option Utiliser les paramètres par défaut.
  5. Pour les configurations de base de données, choisissez Utiliser AWS Key Management Service (AWS KMS) ou Utiliser un module de sécurité matérielle (HSM). Pour plus d'informations sur les options de chiffrement, consultez Chiffrement de base de données Amazon Redshift.
  6. (Facultatif) Définissez vos spécifications pour les options de configuration supplémentaires.
  7. Choisissez Create cluster (Créer un cluster).

Remarque : Le chiffrement du module de sécurité matériel (HSM) n'est pas pris en charge pour les types de nœuds DC2 et RA3.

Modifier un cluster Amazon Redshift non chiffré pour utiliser le chiffrement

Tenez compte des points suivants lorsque vous modifiez un cluster Amazon Redshift afin d'activer le chiffrement :

  • Une fois le chiffrement activé, Amazon Redshift migre automatiquement les données vers un nouveau cluster chiffré avec le même identifiant de cluster. Pendant la migration, le cluster est disponible en mode lecture seule et son statut est « redimensionnement en cours ».
  • Si le cluster possède un nœud de type RA3, la modification du chiffrement du cluster Amazon Redshift est effectuée à l'aide de Faster Classic Resize. Pour tous les autres types de nœuds, Amazon Redshift effectue la modification du chiffrement à l'aide du redimensionnement classique.
  • Le temps nécessaire à l'exécution d'une opération de redimensionnement peut varier en fonction de :
    La charge de travail de lecture sur le cluster source
    Définition de la table
    Le type de nœud oblique vers lequel vous souhaitez effectuer une mise à l'échelle et à partir de

Pour modifier un cluster Amazon Redshift existant afin d'utiliser le chiffrement à l'aide de la console, procédez comme suit :

  1. Ouvrez la console Amazon Redshift.
  2. Dans le volet de navigation, sélectionnez Clusters, puis le cluster que vous souhaitez chiffrer.
  3. Choisissez Propriétés.
  4. Pour les configurations de base de données, choisissez Modifier, puis Modifier le chiffrement.
  5. Choisissez Utiliser AWS Key Management Service (AWS KMS) ou Utiliser un module de sécurité matérielle (HSM). Pour plus d'informations sur les options de chiffrement, consultez Chiffrement de base de données Amazon Redshift.

Pour modifier un cluster Amazon Redshift existant afin d'utiliser le chiffrement AWS KMS à l'aide de l'interface de ligne de commande AWS, exécutez la commande modify-cluster suivante :

Remarque : Votre clé KMS par défaut est utilisée par défaut. Pour utiliser une clé gérée par le client, incluez l'option kms-key-id et remplacez la valeur par votre clé KMS.

> aws redshift modify-cluster --cluster-identifier <value> --encrypted --kms-key-id <value>

Remarque : si vous recevez des erreurs lors de l'exécution de commandes AWS CLI, vérifiez que vous utilisez la version la plus récente d'AWS CLI.

Modification de la clé AWS KMS pour un espace de nommage dans Amazon Redshift sans serveur

Amazon Redshift sans serveur est chiffré par défaut. Toutefois, Amazon Redshift sans serveur prend en charge la modification de la clé AWS KMS pour l'espace de noms afin que vous puissiez respecter les politiques de sécurité de votre organisation. Lorsque vous modifiez la clé AWS KMS, les données restent inchangées.

Tenez compte des points suivants lorsque vous modifiez la clé AWS KMS :

  • Le temps nécessaire pour modifier la clé dépend de la quantité de données dans Amazon Redshift sans serveur. Cela prend généralement 15 minutes pour 8 To de données stockées.
  • Vous ne pouvez pas passer d'une clé KMS gérée par le client à une clé AWS KMS. Si vous souhaitez utiliser une clé AWS KMS après avoir créé une clé KMS gérée par le client, vous devez créer un nouvel espace de noms.
  • Vous ne pouvez pas effectuer d'autres actions pendant la modification de la clé.

Pour modifier la clé AWS KMS pour l'espace de nommage, procédez comme suit :

  1. Ouvrez la console Amazon Redshift.
  2. Dans le volet de navigation, choisissez Configuration de l'espace de noms, puis choisissez votre espace de noms dans la liste.
  3. Dans l'onglet Sécurité et chiffrement, choisissez Modifier.
  4. Choisissez Personnaliser les paramètres de chiffrement, puis choisissez une clé pour l'espace de noms ou créez une nouvelle clé.

Pour modifier la clé AWS KMS pour l'espace de noms à l'aide de l'interface de ligne de commande AWS, exécutez la commande update-namespace suivante :

Remarque : vous devez créer un espace de noms, sinon la commande de l'interface de ligne de commande AWS génère une erreur.

aws redshift-serverless update-namespace
--namespace-name
[--kms-key-id <id-of-kms-key>]
// other parameters omitted here
Sujets
Analytique
Balises
Amazon Redshift
Langue
Français
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire

Contenus pertinents