Konfigurieren der Datenbankverschlüsselung mit der Konsole - Amazon Redshift

Konfigurieren der Datenbankverschlüsselung mit der Konsole

Sie können die Amazon Redshift console verwenden, um Amazon Redshift zur Verwendung eines HSM und zur Rotation von Verschlüsselungsschlüsseln zu konfigurieren. Informationen zum Erstellen von Clustern mittels AWS KMS-Verschlüsselungsschlüsseln finden Sie in Erstellen eines Clusters und Verwaltung von Clustern mit der Amazon Redshift-CLI und -API.

Anmerkung

Für Amazon Redshift ist eine neue Konsole verfügbar. Wählen Sie je nach verwendeter Konsole eine der Anweisungen New console (Neue Konsole) oder Original console (Ursprüngliche Konsole) aus. Standardmäßig wird die Anweisung New Console (Neue Konsole) geöffnet.

So ändern Sie die Datenbankverschlüsselung in einem Cluster:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Wählen Sie im Navigationsmenü CLUSTERS (CLUSTER) und dann den Cluster aus, für den Sie Snapshots verschieben möchten.

  3. Wählen Sie für Actions (Aktionen) Modify (Ändern) aus, um die Konfigurationsseite anzuzeigen.

  4. Wählen Sie im Abschnitt Database configuration (Datenbankkonfiguration eine Einstellung für Encryption (Verschlüsselung und dann Modify cluster (Cluster ändern) aus.

Konfigurieren von Amazon Redshift zur Verwendung eines HSM mit der Amazon Redshift console

Sie können die folgenden Verfahren verwenden, um Informationen zur HSM-Verbindung und zur Konfiguration für Amazon Redshift mittels der Amazon Redshift console anzugeben.

So erstellen Sie eine HSM-Verbindung:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Wählen Sie im Navigationsbereich Security (Sicherheit) aus und dann die Registerkarte HSM Connections (HSM-Verbindungen) aus.

  3. Wählen Sie Create HSM Connection (HSM-Verbindung erstellen) aus.

  4. Geben Sie auf der Seite Create HSM Connection (HSM Verbindung erstellen) die folgenden Informationen ein:

    1. Geben Sie im Feld HSM Connection Name (Name der HSM-Verbindung) einen Namen zur Identifizierung dieser Verbindung ein.

    2. Geben Sie im Feld Description (Beschreibung) eine Beschreibung der Verbindung ein.

    3. Geben Sie im Feld HSM IP Address (HSM-IP-Adresse) die IP-Adresse des HSM ein.

    4. Geben Sie im Feld HSM Partition Name (Name der HSM-Partition) den Namen der Partition ein, mit der Amazon Redshift eine Verbindung herstellen soll.

    5. Geben Sie im Feld HSM Partition Password (Passwort der HMS-Verbindung) das für die Verbindung mit der HSM-Partition erforderliche Passwort ein.

    6. Kopieren Sie das öffentliche Serverzertifikat aus dem HSM und fügen Sie es in das Feld Paste the HSM's public server certificate here (Öffentliches Serverzertifikat des HSM hier einfügen) ein.

    7. Wählen Sie Create aus.

  5. Nach der Herstellung der Verbindung können Sie ein HSM-Client-Zertifikat erstellen. Wenn Sie unmittelbar nach dem Erstellen der Verbindung ein HSM-Client-Zertifikat erstellen möchten, wählen Sie Yes (Ja) aus und führen die Schritte im nächsten Schritt aus. Andernfalls wählen Sie Not now (Nicht jetzt) aus, um zur Liste der HSM-Verbindungen zurückzukehren und den Rest des Prozesses zu einem anderen Zeitpunkt abzuschließen.

So erstellen Sie ein HSM-Client-Zertifikat:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Wählen Sie im Navigationsbereich Security (Sicherheit) aus und dann die Registerkarte HSM Certificates (HSM-Zertifikate) aus.

  3. Wählen Sie Create HSM Client Certificate (HSM-Client-Zertifikat erstellen) aus.

  4. Geben Sie auf der Seite Create HSM Client Certificate (HSM-Clientzertifikat erstellen) einen Namen in das Feld HSM Client Certificate Identifier (HSM-Clientzertifikat-IS) ein, um dieses Client-Zertifikat zu identifizieren.

  5. Wählen Sie Next.

  6. Nach der Erstellung des Zertifikats wird eine Bestätigungsseite mit Informationen zur Registrierung des Schlüssels auf Ihrem HSM angezeigt. Wenn Sie nicht zur Konfiguration des HSM berechtigt sind, koordinieren Sie die folgenden Schritte mit einem HSM-Koordinator.

    1. Öffnen Sie auf Ihrem Computer eine neue Textdatei.

    2. Kopieren Sie in der Amazon Redshift console auf der Bestätigungsseite für Create HSM Client Certificate (HSM-Clientzertifikat erstellen) den öffentlichen Schlüssel.

    3. Fügen Sie den öffentlichen Schlüssel in die offene Datei ein, und speichern Sie sie mit dem in Schritt 1 auf der Bestätigungsseite angezeigten Namen. Achten Sie darauf, dass Sie die Datei mit der Erweiterung .pem speichern, beispielsweise: 123456789mykey.pem.

    4. Laden Sie die Datei .pem zu Ihrem HSM hoch.

    5. Öffnen Sie auf dem HSM eine Befehlszeile, und führen Sie die in Schritt 4 auf der Bestätigungsseite angegebenen Befehle aus, um den Schlüssel zu registrieren. Der Befehl verwendet das folgende Format, wobei ClientName, KeyFilename und PartitionName Werte sind, die Sie durch eigene Werte ersetzen müssen:

      client register -client ClientName -hostname KeyFilename

      client assignPartition -client ClientName -partition PartitionName

      Beispiel:

      client register -client MyClient -hostname 123456789mykey

      client assignPartition -client MyClient -partition MyPartition

    6. Nachdem Sie den Schlüssel im HSM registriert haben, wählen Sie Next (Weiter) aus.

  7. Nachdem das HSM-Client-Zertifikat erstellt und registriert wurde, wählen Sie eine der folgenden Schaltflächen aus.

    1. Launch a Cluster with HSM (Cluster mit HSM starten). Diese Option löst den Start eines neuen Clusters aus. Während des Vorgangs können Sie ein HSM zum Speichern der Verschlüsselungsschlüssel auswählen. Weitere Informationen über den Vorgang des Clusterstarts finden Sie unter Verwalten von Clustern mithilfe der Konsole.

      Create an HSM Connection (HSM-Verbindung erstellen). Diese Option startet den Vorgang Create HSM Connection (HSM-Verbindung erstellen).

      View Certificates (Zertifikate anzeigen). Diese Option führt Sie zu HSM im Navigationsbereich zurück und zeigt eine Liste der Client-Zertifikate auf der Registerkarte Certificates (Zertifikate) an.

      Previous (Zurück). Diese Option bringt Sie zurück zur Bestätigungsseite Create HSM Client Certificates (HSM-Clientzertifikate erstellen).

      Close (Schließen). Diese Option leitet Sie zu HSM im Navigationsbereich zurück und zeigt eine Liste der HSM-Verbindungen auf der Registerkarte Connections (Verbindungen) an.

So zeigen Sie den öffentlichen Schlüssel für ein HSM-Client-Zertifikat an:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Wählen Sie im Navigationsbereich Security (Sicherheit) aus und dann die Registerkarte HSM Certificates (HSM-Zertifikate) aus.

  3. Wählen Sie das HSM-Client-Zertifikat aus, um den öffentlichen Schlüssel anzuzeigen. Dieser Schlüssel ist derjenige, den Sie in der vorherigen Prozedur So erstellen Sie ein HSM-Client-Zertifikat: dem HSM hinzugefügt haben.

So löschen Sie eine HSM-Verbindung:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Wählen Sie im Navigationsbereich Security (Sicherheit) aus und dann die Registerkarte HSM Connections (HSM-Verbindungen) aus.

  3. Wählen Sie die HSM-Verbindung aus, die Sie löschen möchten.

  4. Wählen Sie im Dialogfeld Delete HSM Connection (HSM-Verbindung löschen) Delete (Löschen) aus, um die Verbindung aus Amazon Redshift zu löschen, oder wählen Sie Cancel (Abbrechen) aus, um zur Registerkarte HSM Connections (HSM-Verbindungen) zurückzukehren, ohne die Verbindung zu löschen.

So löschen Sie ein HSM-Client-Zertifikat:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Wählen Sie im Navigationsbereich Security (Sicherheit) aus und wählen Sie die Registerkarte HSM Zertifikate.

  3. Wählen Sie in der Liste das HSM-Client-Zertifikat aus, das Sie löschen möchten.

  4. Wählen Sie im Dialogfeld Delete HSM Client Certificate ( Delete (, um das Zertifikat aus Amazon Redshift zu löschen, oder wählen Sie Cancel (, um zur Registerkarte Certificates ( zurückzukehren, ohne das Zertifikat zu löschen.

Rotieren der Verschlüsselungsschlüssel mit der Amazon Redshift console

Sie können die folgenden Verfahren verwenden, um mit der Amazon Redshift console Verschlüsselungsschlüssel zu rotieren.

Anmerkung

Für Amazon Redshift ist eine neue Konsole verfügbar. Wählen Sie je nach verwendeter Konsole eine der Anweisungen New console (Neue Konsole) oder Original console (Ursprüngliche Konsole) aus. Standardmäßig wird die Anweisung New Console (Neue Konsole) geöffnet.

So rotieren Sie die Verschlüsselungscodes für einen Cluster:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Wählen Sie im Navigationsmenü CLUSTERS (CLUSTER) und dann den Cluster aus, der die Schlüssel aktualisieren soll.

  3. Wählen Sie für Actions (Aktionen) Rotate encryption (Verschlüsselung rotieren) aus, um die Seite Rotate encryption keys (Verschlüsselungsschlüssel rotieren) anzuzeigen.

  4. Wählen Sie auf der Seite Rotate encryption keys (Schlüssel rotieren) die Option Rotate encryption keys (Schlüssel rotieren) aus.

So rotieren Sie einen Verschlüsselungsschlüssel:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Klicken Sie im Navigationsbereich auf Clusters (Cluster).

  3. Wählen Sie in der Liste den Cluster aus, für den Sie die Schlüssel rotieren möchten.

  4. Wählen Sie Database (Datenbank aus. Wählen Sie dann Rotate Encryption Keys (Verschlüsselungsschlüssel rotieren) aus.

  5. Wählen Sie Yes, Rotate Keys (Ja, Schlüssel rotieren) aus, wenn Sie die Schlüssel rotieren möchten, oder Cancel (Abbrechen), wenn Sie dies nicht tun möchten.

    Anmerkung

    Ihr Cluster wird kurzzeitig nicht verfügbar sein, bis der Schlüsselrotationsvorgang abgeschlossen ist.