Amazon Redshift が AWS KMS を使用する方法

このトピックでは、Amazon Redshift が AWS KMS を使用してデータを暗号化する方法について説明します。

Amazon Redshift 暗号化

Amazon Redshift データウェアハウスは、ノードと呼ばれるコンピューティングリソースの集合で、クラスターと呼ばれるグループに編成されています。各クラスターは Amazon Redshift エンジンを実行し、1 つ以上のデータベースを含みます。

Amazon Redshift は、暗号化に 4 階層のキーベースのアーキテクチャを使用します。アーキテクチャは、データ暗号化キー、データベースキー、クラスターキー、ルートキーで構成されます。ルートキーとして AWS KMS key を使用できます。

データ暗号化キーは、クラスター内のデータブロックを暗号化します。各データブロックに、ランダムに生成された AES-256 キーが割り当てられます。これらのキーは、クラスターのデータベースキーを使用して暗号化されます。

データベースキーは、クラスターのデータ暗号化キーを暗号化します。データベースキーは、ランダムに生成された AES-256 キーです。これは Amazon Redshift クラスターとは別のネットワークのディスクに保存され、安全なチャネルを介してクラスターに渡されます。

クラスターキーは、Amazon Redshift クラスターのデータベースキーを暗号化します。クラスターキーを管理するには、AWS KMS、AWS CloudHSM、または外部のハードウェアセキュリティモジュール (HSM) を使用できます。詳細については、 Amazon Redshift データベース暗号化 のドキュメントを参照してください。

暗号化をリクエストするには、Amazon Redshift コンソールで適切なチェックボックスをオンにします。暗号化ボックスの下に表示されるリストからカスタマーマネージドキーを 1 つ選択して、指定できます。カスタマーマネージドキーを指定しない場合、Amazon Redshift はアカウントで Amazon Redshift の AWS マネージドキー を使用します。

重要

Amazon Redshift は、対称暗号化 KMS キーのみをサポートします。Amazon Redshift 暗号化ワークフローでは、非対称KMS キーは使用できません。KMS キーが対称か非対称かを判断する方法については、非対称 KMS キーの識別 を参照してください。

暗号化コンテキスト

AWS KMS と統合された各サービスでは、データキー、暗号化および復号化をリクエストするときに暗号化コンテキストが指定されます。暗号化コンテキストは、AWS KMS が データの整合性をチェックするために使用する追加の認証 データ (AAD) です。つまり、暗号化オペレーションで暗号化コンテキストを指定すると、復号オペレーションでもそのコンテキストが指定され、指定しなかった場合、復号は成功しません。Amazon Redshift は、暗号化コンテキストにクラスター ID と作成時間を使用します。 CloudTrail ログファイルの requestParametersフィールドでは、暗号化コンテキストは次のようになります。

"encryptionContext": {
    "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name",
    "aws:redshift:createtime": "20150206T1832Z"
},   

CloudTrail ログ内のクラスター名を検索して、 AWS KMS key (KMS キー) を使用して実行されたオペレーションを理解できます。このオペレーションには、クラスターの暗号化、クラスターの復号、およびデータキーの生成が含まれます。