Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment d'Amazon Redshift utilise AWS KMS
Cette rubrique explique comment Amazon Redshift utilise AWS KMS pour chiffrer des données.
Chiffrement Amazon Redshift
Un entrepôt de données Amazon Redshift est un ensemble de ressources informatiques appelées nœuds, qui sont organisées en un groupe appelé cluster. Chaque cluster exécute un moteur Amazon Redshift et contient une ou plusieurs bases de données.
Amazon Redshift utilise une architecture à quatre niveaux de clés pour le chiffrement. Cette architecture se compose de clés de chiffrement des données, d'une clé de base de données, d'une clé de cluster et d'une clé racine. Vous pouvez utiliser une AWS KMS key comme clé racine.
Les clés de chiffrement de données chiffrent les blocs de données contenus dans le cluster. Chaque bloc de données se voit attribuer une clé AES-256 générée de façon aléatoire. Ces clés sont chiffrées à l'aide de la clé de base de données du cluster.
La clé de base de données chiffre les clés de chiffrement de données contenues dans le cluster. La clé de base de données est une clé AES-256 générée de façon aléatoire. Elle est stockée sur disque dans un autre réseau que celui du cluster Amazon Redshift et transmise au cluster via un canal sécurisé.
La clé de cluster chiffre la clé de base de données du cluster Amazon Redshift. Vous pouvez utiliser AWS KMS, AWS CloudHSM ou un module de sécurité matérielle (module HSM) externe pour gérer la clé de cluster. Consultez la documentation relative au chiffrement de base de données Amazon Redshift pour plus d'informations.
Vous pouvez demander le chiffrement en cochant la case appropriée dans la console Amazon Redshift. Vous pouvez spécifier une clé gérée par le client en la choisissant dans la liste qui s'affiche sous la zone de chiffrement. Si vous ne spécifiez pas de clé gérée par le client, Amazon Redshift utilise la Clé gérée par AWS pour Amazon Redshift sous votre compte.
Important
Amazon Redshift prend uniquement en charge les clés KMS de chiffrement symétriques. Vous ne pouvez pas utiliser une clé KMS asymétrique dans un flux de travail de chiffrement Amazon Redshift. Pour obtenir de l'aide sur la détermination de la symétrie ou de l'asymétrie d'une clé KMS, consultez Identification des clés KMS asymétriques.
Contexte de chiffrement
Chaque service intégré à AWS KMS spécifie un contexte de chiffrement lors de la demande de clés de données, du chiffrement et du déchiffrement de données. Le contexte de chiffrement représente des informations authentifiées supplémentaires qu'AWS KMS utilise pour vérifier l'intégrité des données. Autrement dit, lorsqu'un contexte de chiffrement est spécifié pour une opération de chiffrement, le service le spécifie également pour l'opération de déchiffrement, ou le déchiffrement échoue. Amazon Redshift utilise l'ID de cluster et le temps de création du contexte de chiffrement. Dans le requestParameters champ d'un fichier CloudTrail journal, le contexte de chiffrement sera similaire à celui-ci.
"encryptionContext": { "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name", "aws:redshift:createtime": "20150206T1832Z" },
Vous pouvez effectuer une recherche sur le nom du cluster dans vos CloudTrail journaux pour comprendre quelles opérations ont été effectuées à l'aide d'une AWS KMS key (clé KMS). Les opérations incluent le chiffrement du cluster, le déchiffrement du cluster et la génération de clés de données.
