Come posso crittografare il mio cluster Amazon Redshift?

5 minuti di lettura
0

Desidero crittografare il mio cluster Amazon Redshift. In che modo posso farlo?

Risoluzione

La crittografia può essere attivata durante la creazione di un cluster Amazon Redshift. In alternativa, un cluster Amazon Redshift non crittografato esistente può essere modificato per utilizzare la crittografia del Servizio di gestione delle chiavi AWS (AWS KMS). Amazon Redshift serverless è crittografato per impostazione predefinita ma è possibile modificare la chiave AWS KMS con uno spazio dei nomi.

Attiva la crittografia durante la creazione di un nuovo cluster Amazon Redshift

Per attivare la crittografia durante la creazione del cluster Amazon Redshift, procedi come segue:

  1. Apri la console Amazon Redshift.
  2. Nel riquadro di navigazione, seleziona Cluster, quindi seleziona Crea cluster.
  3. Per Crea cluster, configura il cluster in base alle tue specifiche. Per ulteriori informazioni, consulta Crea cluster.
  4. Per Configurazioni aggiuntive, disattiva Usa impostazioni predefinite.
  5. Per le Configurazioni database, scegli Usa il Servizio di gestione delle chiavi AWS (AWS KMS) o Usa un modulo di sicurezza hardware (HSM). Per ulteriori informazioni sulle opzioni di crittografia, consulta Crittografia del database Amazon Redshift.
  6. (Facoltativo) Definisci le tue specifiche per le opzioni di configurazione aggiuntive.
  7. Scegli Crea cluster.

Nota: la crittografia dei moduli di sicurezza hardware (HSM) non è supportata per i tipi di nodi DC2 e RA3.

Modifica un cluster Amazon Redshift non crittografato per utilizzare la crittografia

Quando modifichi un cluster Amazon Redshift per attivare la crittografia, considera quanto segue:

  • Dopo l'attivazione della crittografia, Amazon Redshift migra automaticamente i dati in un nuovo cluster crittografato con lo stesso identificatore del cluster. Durante l’operazione di migrazione, il cluster rimane disponibile in sola lettura e lo stato visualizzato sarà "resizing".
  • Se il cluster ha un tipo di nodo RA3, la modifica della crittografia del cluster Amazon Redshift viene eseguita utilizzando il ridimensionamento classico più rapido. Per tutti gli altri tipi di nodo, Amazon Redshift esegue la modifica della crittografia utilizzando il ridimensionamento classico.
  • Il tempo necessario per il completamento di un'operazione di ridimensionamento può variare in base a:
    Il carico di lavoro di lettura sul cluster di origine
    La definizione della tabella
    Il tipo di nodo di distorsione da e verso il quale stai ridimensionando

Per modificare un cluster Amazon Redshift esistente per utilizzare la crittografia tramite la console, procedi come segue:

  1. Apri la console Amazon Redshift.
  2. Nel riquadro di navigazione, scegli Cluster, quindi scegli il cluster che desideri crittografare.
  3. Scegli Proprietà.
  4. Per Configurazioni database, scegli Modifica, quindi scegli Modifica crittografia.
  5. Scegli Usa il Servizio di gestione delle chiavi AWS (AWS KMS) o Usa un modulo di sicurezza hardware (HSM). Per ulteriori informazioni sulle opzioni di crittografia, consulta Crittografia del database Amazon Redshift.

Per modificare un cluster Amazon Redshift esistente per utilizzare la crittografia AWS KMS servendosi di AWS CLI, esegui il seguente comando modify-cluster:

Nota: per impostazione predefinita viene utilizzata la chiave KMS predefinita. Per utilizzare una chiave gestita dal cliente, includi l'opzione kms-key-id e sostituisci il valore con la tua chiave KMS.

> aws redshift modify-cluster --cluster-identifier <value> --encrypted --kms-key-id <value>

Nota: se ricevi un messaggio di errore durante l'esecuzione dei comandi di AWS CLI, assicurati di utilizzare la versione più recente di AWS CLI.

Modifica della chiave AWS KMS per uno spazio dei nomi in Amazon Redshift serverless

Amazon Redshift Serverless è crittografato per impostazione predefinita. Tuttavia, Amazon Redshift Serverless supporta la modifica della chiave AWS KMS per lo spazio dei nomi per consentirti di rispettare le politiche di sicurezza della tua organizzazione. Quando modifichi la chiave AWS KMS, i dati rimangono invariati.

Quando modifichi la chiave AWS KMS, considera quanto segue:

  • Il tempo necessario per modificare la chiave dipende dalla quantità di dati in Amazon Redshift Serverless. In genere sono necessari quindici minuti per 8 TB di dati archiviati.
  • Non puoi passare da una chiave KMS gestita dal cliente a una chiave AWS KMS. Se desideri utilizzare una chiave AWS KMS dopo aver creato una chiave KMS gestita dal cliente, devi creare un nuovo spazio dei nomi.
  • Non puoi eseguire altre azioni mentre è in corso la modifica della chiave.

Per modificare la chiave AWS KMS per lo spazio dei nomi, procedi come segue:

  1. Apri la console Amazon Redshift.
  2. Nel riquadro di navigazione, scegli Configurazione dello spazio dei nomi, quindi scegli il tuo spazio dei nomi dall'elenco.
  3. Nella scheda Sicurezza e crittografia, scegli Modifica.
  4. Scegli Customize encryption settings (Personalizza le impostazioni di crittografia), quindi scegli una chiave per lo spazio dei nomi o crea una nuova chiave.

Per modificare la chiave AWS KMS per lo spazio dei nomi utilizzando l'AWS CLI, esegui il seguente comando update-namespace:

Nota: devi avere creato uno spazio dei nomi oppure il comando AWS CLI genera un errore.

aws redshift-serverless update-namespace
--namespace-name
[--kms-key-id <id-of-kms-key>]
// other parameters omitted here

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa