Amazon Redshift
Clusterverwaltungshandbuch

Konfigurieren der Datenbankverschlüsselung mit der Konsole

Sie können die Amazon Redshift console verwenden, um Amazon Redshift zur Verwendung eines HSM und zur Rotation von Verschlüsselungsschlüsseln zu konfigurieren. Informationen zum Erstellen von Clustern mittels AWS KMS-Verschlüsselungsschlüsseln finden Sie in Erstellen eines Clusters und Verwaltung von Clustern mit der Amazon Redshift-CLI und -API.

Konfigurieren von Amazon Redshift zur Verwendung eines HSM mit der Amazon Redshift console

Sie können die folgenden Verfahren verwenden, um Informationen zur HSM-Verbindung und zur Konfiguration für Amazon Redshift mittels der Amazon Redshift console anzugeben.

So erstellen Sie eine HSM-Verbindung

  1. Melden Sie sich in der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Klicken Sie im linken Navigationsbereich auf Security (Sicherheit) und dann auf die Registerkarte HSM Connections (HSM-Verbindungen).

  3. Klicken Sie auf Create HSM Connection (HSM-Verbindung erstellen).

  4. Geben Sie auf der Seite Create HSM Connection (HSM Verbindung erstellen) die folgenden Informationen ein:

    1. Geben Sie im Feld HSM Connection Name (Name der HSM-Verbindung) einen Namen zur Identifizierung dieser Verbindung ein.

    2. Geben Sie im Feld Description (Beschreibung) eine Beschreibung der Verbindung ein.

    3. Geben Sie im Feld HSM IP Address (HSM-IP-Adresse) die IP-Adresse des HSM ein.

    4. Geben Sie im Feld HSM Partition Name (Name der HSM-Partition) den Namen der Partition ein, mit der Amazon Redshift eine Verbindung herstellen soll.

    5. Geben Sie im Feld HSM Partition Password (Passwort der HMS-Verbindung) das für die Verbindung mit der HSM-Partition erforderliche Passwort ein.

    6. Kopieren Sie das öffentliche Serverzertifikat aus dem HSM und fügen Sie es in das Feld Paste the HSM's public server certificate here (Öffentliches Serverzertifikat des HSM hier einfügen) ein.

    7. Klicken Sie auf Create.

  5. Nach der Herstellung der Verbindung können Sie ein HSM-Client-Zertifikat erstellen. Wenn Sie ein HSM-Client-Zertifikat sofort nach Herstellung der Verbindung erstellen möchten, klicken Sie auf Yes (Ja) und führen Sie die Schritte im nächsten Verfahren aus. Klicken Sie andernfalls auf Not now (Nicht jetzt). um zur Liste der HSM-Verbindungen zurückzukehren und den Rest des Vorgangs zu einem anderen Zeitpunkt abzuschließen.

So erstellen Sie ein HSM-Client-Zertifikat:

  1. Melden Sie sich in der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Klicken Sie im linken Navigationsbereich auf Security (Sicherheit) und dann auf die Registerkarte HSM Certificates (HSM-Zertifikate).

  3. Klicken Sie auf Create HSM Client Certificate (HSM-Clientzertifikat erstellen).

  4. Geben Sie auf der Seite Create HSM Client Certificate (HSM-Clientzertifikat erstellen) einen Namen in das Feld HSM Client Certificate Identifier (HSM-Clientzertifikat-IS) ein, um dieses Client-Zertifikat zu identifizieren.

  5. Klicken Sie auf Next (Weiter).

  6. Nach der Erstellung des Zertifikats wird eine Bestätigungsseite mit Informationen zur Registrierung des Schlüssels auf Ihrem HSM angezeigt. Wenn Sie nicht zur Konfiguration des HSM berechtigt sind, koordinieren Sie die folgenden Schritte mit einem HSM-Koordinator.

    1. Öffnen Sie auf Ihrem Computer eine neue Textdatei.

    2. Kopieren Sie in der Amazon Redshift console auf der Bestätigungsseite für Create HSM Client Certificate (HSM-Clientzertifikat erstellen) den öffentlichen Schlüssel.

    3. Fügen Sie den öffentlichen Schlüssel in die offene Datei ein, und speichern Sie sie mit dem in Schritt 1 auf der Bestätigungsseite angezeigten Namen. Achten Sie darauf, dass Sie die Datei mit der Erweiterung .pem speichern, beispielsweise: 123456789mykey.pem.

    4. Laden Sie die Datei .pem zu Ihrem HSM hoch.

    5. Öffnen Sie auf dem HSM eine Befehlszeile, und führen Sie die in Schritt 4 auf der Bestätigungsseite angegebenen Befehle aus, um den Schlüssel zu registrieren. Der Befehl verwendet das folgende Format, wobei ClientName, KeyFilename und PartitionName Werte sind, die Sie durch eigene Werte ersetzen müssen:

      client register -client ClientName -hostname KeyFilename

      client assignPartition -client ClientName -partition PartitionName

      Beispiel:

      client register -client MyClient -hostname 123456789mykey

      client assignPartition -client MyClient -partition MyPartition

    6. Klicken Sie nach der Registrierung des Schlüssels auf dem HSM auf Next (Weiter).

  7. Klicken Sie nach der Erstellung und Registrierung des Client-Zertifikats auf eine der folgenden Schaltflächen:

    1. Launch a Cluster with HSM (Cluster mit HSM starten). Diese Option löst den Start eines neuen Clusters aus. Während des Vorgangs können Sie ein HSM zum Speichern der Verschlüsselungsschlüssel auswählen. Weitere Informationen über den Vorgang des Clusterstarts finden Sie unter Verwalten von Clustern mithilfe der Konsole.

      Create an HSM Connection (HSM-Verbindung erstellen). Diese Option startet den Vorgang Create HSM Connection (HSM-Verbindung erstellen).

      View Certificates (Zertifikate anzeigen). Diese Option führt Sie zu HSM im Navigationsbereich zurück und zeigt eine Liste der Client-Zertifikate auf der Registerkarte Certificates (Zertifikate) an.

      Previous (Zurück). Diese Option bringt Sie zurück zur Bestätigungsseite Create HSM Client Certificates (HSM-Clientzertifikate erstellen).

      Close (Schließen). Diese Option leitet Sie zu HSM im Navigationsbereich zurück und zeigt eine Liste der HSM-Verbindungen auf der Registerkarte Connections (Verbindungen) an.

So zeigen Sie den öffentlichen Schlüssel für ein HSM-Client-Zertifikat an:

  1. Melden Sie sich in der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Klicken Sie im Navigationsbereich auf Security (Sicherheit) und dann auf die Registerkarte HSM Certificates (HSM-Zertifikate).

  3. Klicken Sie auf das HSM-Client-Zertifikat, um den öffentlichen Schlüssel anzuzeigen. Dieser Schlüssel ist derjenige, den Sie in der vorherigen Prozedur So erstellen Sie ein HSM-Client-Zertifikat: dem HSM hinzugefügt haben.

So löschen Sie eine HSM-Verbindung:

  1. Melden Sie sich in der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Klicken Sie im linken Navigationsbereich auf Security (Sicherheit) und dann auf die Registerkarte HSM Connections (HSM-Verbindungen).

  3. Klicken Sie auf die HSM-Verbindung, die Sie löschen möchten.

  4. Klicken Sie im Dialogfeld Delete HSM Connection (HSM-Verbindung löschen) auf Delete (Löschen), um die Verbindung aus Amazon Redshift zu löschen, oder klicken Sie auf Cancel (Abbrechen), um zur Registerkarte HSM Connections (HSM-Verbindungen) zurückzukehren, ohne die Verbindung zu löschen.

So löschen Sie ein HSM-Client-Zertifikat:

  1. Melden Sie sich in der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Klicken Sie im Navigationsbereich auf Security (Sicherheit) und dann auf die Registerkarte HSM Certificates (HSM-Zertifikate).

  3. Klicken Sie in der Liste auf das HSM-Client-Zertifikat, das Sie löschen möchten.

  4. Klicken Sie im Dialogfeld Delete HSM Client Certificate (HSM-Clientzertifikat löschen) auf Delete (Löschen), um das Zertifikat aus Amazon Redshift zu löschen, oder klicken Sie auf Cancel (Abbrechen), um zur Registerkarte Certificates (Zertifikate) zurückzukehren, ohne das Zertifikat zu löschen.

Rotieren der Verschlüsselungsschlüssel mit der Amazon Redshift console

Sie können die folgenden Verfahren verwenden, um mit der Amazon Redshift console Verschlüsselungsschlüssel zu rotieren.

So rotieren Sie einen Verschlüsselungsschlüssel:

  1. Melden Sie sich in der AWS Management Console an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.

  2. Klicken Sie im Navigationsbereich auf Clusters (Cluster).

  3. Klicken Sie in der Liste auf den Cluster, für den Sie die Schlüssel rotieren möchten.

  4. Klicken Sie auf Database (Datenbank) und dann auf Rotate Encryption Keys (Verschlüsselungsschlüssel rotieren).

  5. Klicken Sie auf Yes, Rotate Keys (Ja, Schlüssel rotieren), wenn Sie die Schlüssel rotieren möchten, oder auf Cancel (Abbrechen), wenn Sie die Schlüssel nicht rotieren möchten.

    Anmerkung

    Ihr Cluster wird kurzzeitig nicht verfügbar sein, bis der Schlüsselrotationsvorgang abgeschlossen ist.