Verschlüsselung im Ruhezustand - Amazon Redshift

Verschlüsselung im Ruhezustand

Serverseitige Verschlüsselung betrifft Datenverschlüsselung im Ruhezustand – das heißt, Amazon Redshift verschlüsselt optional Ihre Daten, wenn sie in die Rechenzentren des Services geschrieben werden, und entschlüsselt sie für Sie, wenn Sie darauf zugreifen. Wenn Sie Ihre Anfrage authentifizieren und Zugriffsberechtigungen besitzen, gibt es in Bezug auf die Art und Weise, wie Sie auf verschlüsselte oder nicht verschlüsselte Daten zugreifen, keinen Unterschied.

Amazon Redshift schützt Data-at-Rest durch Verschlüsselung. Optional können Sie alle auf Datenträgern gespeicherten Daten innerhalb eines Clusters und alle Backups in Amazon S3 mit Advanced Encryption Standard AES-256 schützen.

Verwenden Sie zur Verwaltung der Schlüssel für die Ver- und Entschlüsselung Ihrer Amazon-Redshift-Ressourcen AWS Key Management Service (AWS KMS). AWS KMS kombiniert sichere, hoch verfügbare Hard- und Software, um ein System für die Schlüsselverwaltung bereitzustellen, das für die Cloud skaliert ist. Mit AWS KMS können Sie Verschlüsselungsschlüssel erstellen und Richtlinien definieren, die steuern, wie diese Schlüssel verwendet werden können. AWS KMS unterstützt AWS CloudTrail, sodass Sie die Schlüsselverwendung überprüfen und sicherstellen können, dass die Schlüssel korrekt verwendet werden. Sie können Ihre AWS KMS-Schlüssel in Kombination mit Amazon Redshift und unterstützten AWS-Services verwenden. Eine Liste der Services, die AWS KMS unterstützen, finden Sie unter Wie AWS-Services AWS KMSverwenden im AWS Key Management Service-Entwicklerhandbuch.

AQUA (Advanced Query Accelerator) empfängt und verwendet dieselben Datenbankverschlüsselungsschlüssel (DEKs), die von Amazon Redshift zum Speichern der Daten-Snapshots in Amazon S3 verwendet werden. Amazon Redshift nutzt Envelope-Verschlüsselung. Das bedeutet, dass Sie Schlüssel rotieren können, ohne Datenblöcke erneut verschlüsseln zu müssen. Wenn der Amazon-Redshift-Cluster nicht verschlüsselt ist, verwendet AQUA eigene verwaltete Schlüssel, um die Daten zu verschlüsseln. Weitere Informationen finden Sie unter Verschlüsselung von Amazon-Redshift-Datenbanken.

In einigen Fällen könnten Sie den AWS KMS-Zugriff auf eine IAM-Rolle, die einem Cluster zugeordnet ist, widerrufen. Ist dies der Fall, ist nach Abschluss der derzeit übertragenen Abfragen kein weiterer Zugriff auf die in AQUA zwischengespeicherten Daten möglich. Das liegt daran, dass AQUA Schlüssel nicht über einen einzelnen Pushdown-Scan- oder Aggregationsvorgang hinaus dauerhaft speichert. Diese fehlende Persistenz bedeutet auch, dass Sie nicht auf Metadaten zu diesen Blöcken zugreifen können.

Der Amazon-Redshift-Abfrage-Editor v2 speichert die in den Abfrage-Editor eingegebenen Informationen sicher wie folgt:

  • Der Amazon-Ressourcenname (ARN) des KMS-Schlüssels zum Verschlüsseln von Daten des Abfrage-Editors v2.

  • Informationen zur Datenbankverbindung.

  • Namen und Inhalt von Dateien und Ordnern.

Der Amazon-Redshift-Abfrage-Editor v2 verschlüsselt Informationen mithilfe von Blockverschlüsselung entweder mit Ihrem KMS-Schlüssel oder dem KMS-Schlüssel des Servicekontos. Die Verschlüsselung Ihrer Amazon-Redshift-Redshift-Daten wird durch Ihre Amazon-Redshift-Cluster-Eigenschaften gesteuert.