メニュー
Amazon Redshift
管理ガイド (API Version 2012-12-01)

コンソールを使用したデータベース暗号化の設定

Amazon Redshift console を使用すると、HSM を使用して暗号化キーを更新するように Amazon Redshift を設定できます。AWS KMS 暗号化キーまたは HSM 設定を使用してクラスターを作成する詳細な方法については、クラスターの作成 およびAmazon Redshift CLI および API を使用してクラスターを管理する を参照してください。

Amazon Redshift console を使用し、HSM を使用するように Amazon Redshift を設定する

次の手順を使用すると、Amazon Redshift console を使用して Amazon Redshift の HSM 接続と構成情報を指定できます。

HSM 接続を作成するには

  1. AWS マネジメントコンソールにサインインし、Amazon Redshift コンソール(https://console.aws.amazon.com/redshift/)を開きます。

  2. 左のナビゲーションペインで [Security] をクリックし、[HSM Connections] タブをクリックします。

  3. [Create HSM Connection] をクリックします。

  4. [Create HSM Connection] ページで、以下の情報を入力します。

    1. [HSM Connection Name] ボックスに、この接続を識別する名前を入力します。

    2. [Description] ボックスに、接続に関する説明を入力します。

    3. [HSM IP Address] ボックスに、HSM の IP アドレスを入力します。

    4. [HSM Partition Name] ボックスに、Amazon Redshift が接続するパーティションの名前を入力します。

    5. [HSM Partition Password] ボックスに、HSM パーティションに接続するために必要なパスワードを入力します。

    6. HSM からパブリックサーバー証明書をコピーし、[Paste the HSM's public server certificate here] ボックスに貼り付けます。

    7. [Create] をクリックします。

  5. 接続が作成されたら、HSM クライアント証明書を作成できます。接続を作成した後すぐに HSM クライアント証明書を作成する場合は、[Yes] をクリックし、次の手順を実行します。すぐに作成しない場合は、[Not now] をクリックして HSM 接続のリストに戻り、プロセスの残りの操作を後で実行します。

HSM クライアント証明書を作成するには

  1. AWS マネジメントコンソールにサインインし、Amazon Redshift コンソール(https://console.aws.amazon.com/redshift/)を開きます。

  2. 左のナビゲーションペインで [Security] をクリックし、[HSM Certificates] タブをクリックします。

  3. [Create HSM Client Certificate] をクリックします。

  4. [Create HSM Client Certificate] ページの [HSM Client Certificate Identifier] ボックスに、このクライアント証明書を識別する名前を入力します。

  5. [Next] をクリックします。

  6. 証明書が作成されると、HSM にキーを登録するための情報を示す確認ページが表示されます。HSM を設定するアクセス許可がない場合は、HSM 管理者に依頼して次の手順を実行します。

    1. コンピュータで新しいテキストファイルを開きます。

    2. Amazon Redshift console の [Create HSM Client Certificate] 確認ページで、パブリックキーをコピーします。

    3. さきほど開いたファイルにパブリックキーを貼り付け、確認ページのステップ 1 に表示されたファイル名で保存します。ファイルには必ず拡張子 .pem を付けてください (例: 123456789mykey.pem)。

    4. .pem ファイルを HSM にアップロードします。

    5. HSM で、コマンドプロンプトウィンドウを開き、確認ページのステップ 4 に示されたコマンドを実行して、キーを登録します。コマンドの形式は次のとおりです。ここで、ClientNameKeyFilenamePartitionName は実際に必要な値に置き換えます。

      client register -client ClientName -hostname KeyFilename

      client assignPartition -client ClientName -partition PartitionName

      以下に例を示します。

      client register -client MyClient -hostname 123456789mykey

      client assignPartition -client MyClient -partition MyPartition

    6. HSM にキーを登録したら、[Next] をクリックします。

  7. HSM クライアント証明書が作成されて登録されたら、以下のボタンのうち 1 つをクリックします。

    1. [Launch a Cluster with HSM]:このオプションは、新しいクラスターを起動するプロセスを開始します。このプロセスの間に、暗号化キーを保存する HSM を選択できます。クラスターの起動プロセスの詳細については、「コンソールを使ったクラスターの管理」を参照してください。

      [Create an HSM Connection]:このオプションは、[Create HSM Connection] プロセスを開始します。

      [View Certificates]:このオプションは、ナビゲーションペインの [HSM] に戻り、[Certificates] タブにクライアント証明書のリストを表示します。

      . このオプションは、[Create HSM Client Certificates] 確認ページに戻ります。

      閉じる. このオプションは、ナビゲーションペインの [HSM] に戻り、[Connections] タブに HSM 接続のリストを表示します。

HSM クライアント証明書のパブリックキーを表示するには

  1. AWS マネジメントコンソールにサインインし、Amazon Redshift コンソール(https://console.aws.amazon.com/redshift/)を開きます。

  2. ナビゲーションペインで [Security] をクリックし、[HSM Certificates] タブをクリックします。

  3. パブリックキーを表示する HSM クライアント証明書をクリックします。このキーは、前の手順「HSM クライアント証明書を作成するには」で HSM に追加したのと同じキーです。

HSM 接続を削除するには

  1. AWS マネジメントコンソールにサインインし、Amazon Redshift コンソール(https://console.aws.amazon.com/redshift/)を開きます。

  2. 左のナビゲーションペインで [Security] をクリックし、[HSM Connections] タブをクリックします。

  3. 削除する HSM 接続をクリックします。

  4. [Delete HSM Connection] ダイアログボックスで、[Delete] をクリックして接続を Amazon Redshift から削除するか、[Cancel] をクリックして接続を削除せずに [HSM Connections] タブに戻ります。

HSM クライアント証明書を削除するには

  1. AWS マネジメントコンソールにサインインし、Amazon Redshift コンソール(https://console.aws.amazon.com/redshift/)を開きます。

  2. ナビゲーションペインで [Security] をクリックし、[HSM Certificates] タブを選択します。

  3. リストで、削除する HSM クライアント証明書をクリックします。

  4. [Delete HSM Client Certificate] ダイアログボックスで、[Delete] をクリックして証明書を Amazon Redshift から削除するか、[Cancel] をクリックして証明書を削除せずに [Certificates] タブに戻ります。

Amazon Redshift console を使用した暗号化キーの更新

Amazon Redshift console を使用して暗号化キーを更新するには、次の手順を使用します。

暗号化キーを更新するには

  1. AWS マネジメントコンソールにサインインし、Amazon Redshift コンソール(https://console.aws.amazon.com/redshift/)を開きます。

  2. ナビゲーションペインで [Clusters] をクリックします。

  3. リストで、キーを更新するクラスターをクリックします。

  4. [Database] をクリックし、[Rotate Encryption Keys] をクリックします。

  5. キーを更新する場合は [Yes, Rotate Keys] を、更新しない場合は [Cancel] をクリックします。

    注記

    キーの更新プロセスが完了するまで、クラスターは一時的に使用不能になります。