Configuration du chiffrement de base de données à l'aide de la console - Amazon Redshift

Configuration du chiffrement de base de données à l'aide de la console

Vous pouvez utiliser l'Amazon Redshift console pour configurer Amazon Redshift afin d'utiliser un modèle de sécurité matérielle (HSM) et pour appliquer une rotation aux clés de chiffrement. Pour obtenir des informations sur la création de clusters à l'aide des clés de chiffrement AWS KMS, consultez Création d'un cluster et Gérer les clusters à l'aide de l'Amazon Redshift CLI et de l'API.

Note

Une nouvelle console est disponible pour Amazon Redshift. Selon la console que vous utilisez, choisissez les instructions Nouvelle console ou Console d'origine. Les instructions Nouvelle console sont ouvertes par défaut.

Pour modifier le chiffrement de base de données sur un cluster

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon Redshift à l'adresse https://console.aws.amazon.com/redshift/.

  2. Dans le menu de navigation, choisissez CLUSTERS, puis le cluster dont vous souhaitez déplacer les instantanés.

  3. Pour Actions, choisissez Modifier pour afficher la page de configuration.

  4. Dans la section Configuration de la base de données, choisissez un paramètre pour Chiffrement, puis choisissez Modifier le cluster.

Configuration de Amazon Redshift pour utiliser un module de sécurité matérielle avec l'Amazon Redshift console

Vous pouvez utiliser les procédures suivantes pour spécifier une connexion HSM et les informations de configuration de Amazon Redshift avec l'Amazon Redshift console.

Pour créer une connexion HSM

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon Redshift à l'adresse https://console.aws.amazon.com/redshift/.

  2. Dans le panneau de navigation de gauche, choisissez Sécurité, puis l'onglet Connexions HSM.

  3. Choisissez Créer une connexion HSM.

  4. Sur la page Create HSM Connection, tapez les informations suivantes :

    1. Dans la zone HSM Connection Name, entrez un nom pour identifier cette connexion.

    2. Dans la zone Description, tapez une description de la connexion.

    3. Dans la zone HSM IP Address, entrez l'adresse IP de votre module de sécurité matérielle.

    4. Dans la zone HSM Partition Name, saisissez le nom de la partition à laquelle Amazon Redshift doit se connecter.

    5. Dans la zone HSM Partition Password, tapez le mot de passe requis pour se connecter à la partition HSM.

    6. Copiez le certificat de serveur public de votre HSM et collez-le dans la zone Paste the HSM's public server certificate here.

    7. Sélectionnez Create.

  5. Une fois que la connexion est créée, vous pouvez créer un certificat de client HSM. Si vous voulez créer un certificat de client HSM immédiatement après la création de la connexion, choisissez Oui, puis exécutez les étapes de la procédure suivante. Sinon, choisissez Pas maintenant pour revenir à la liste des connexions HSM et terminer le reste du processus à un autre moment.

Pour créer un certificat de client HSM

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon Redshift à l'adresse https://console.aws.amazon.com/redshift/.

  2. Dans le panneau de navigation de gauche, choisissez Sécurité, puis l'onglet Certificats HSM.

  3. Choisissez Créer un certificat client HSM.

  4. Sur la page Create HSM Client Certificate, entrez un nom dans la zone HSM Client Certificate Identifier pour identifier ce certificat de client.

  5. Choisissez Suivant.

  6. Une fois que le certificat est créé, une page de confirmation s'affiche avec les informations pour enregistrer la clé sur votre HSM. Si vous n'avez pas l'autorisation de configurer le HSM, coordonnez les étapes suivantes avec un administrateur HSM.

    1. Sur votre ordinateur, ouvrez un nouveau fichier texte.

    2. Dans Amazon Redshift console, sur la page de confirmation Créer un certificat de client HSM, copiez la clé publique.

    3. Collez la clé publique dans le fichier ouvert et enregistrez celui-ci sous le nom de fichier affiché à l'étape 1 à partir de la page de confirmation. Assurez-vous que vous enregistrez le fichier avec l'extension .pem : par exemple, 123456789mykey.pem.

    4. Téléchargez le fichier .pem sur votre HSM.

    5. Sur le module de sécurité matérielle, ouvrez une fenêtre d'invite de commande et exécutez les commandes répertoriées à l'étape 4 sur la page de confirmation pour enregistrer la clé. La commande utilise le format suivant, avec les valeurs ClientName, KeyFilename et PartitionName que vous devez remplacer par vos propres valeurs :

      client register -client ClientName -hostname KeyFilename

      client assignPartition -client ClientName -partition PartitionName

      Exemples :

      client register -client MyClient -hostname 123456789mykey

      client assignPartition -client MyClient -partition MyPartition

    6. Une fois que vous avez enregistré la clé sur le HSM, choisissez Suivant.

  7. Une fois que le certificat de client HSM est créé et enregistré, choisissez l'un des boutons suivants :

    1. Lancer un cluster avec HSM. Cette option démarre le processus de lancement d'un nouveau cluster. Au cours du processus, vous pouvez sélectionner un HSM pour stocker les clés de chiffrement. Pour plus d'informations sur le processus de lancement de cluster, consultez Gestion des clusters à l'aide de la console.

      Créer une connexion HSM. Cette option démarre le processus Créer une connexion HSM.

      Afficher les certificats. Cette option vous fait retourner sur HSM dans le volet de navigation et affiche une liste des certificats de clients sous l'onglet Certificats.

      Précédent. Cette option vous fait retourner sur la page de confirmation Créer un certificat de client HSM.

      Fermer. Cette option vous fait retourner sur HSM dans le volet de navigation affiche une liste des connexions HSM sous l'onglet Connexions.

Pour afficher la clé publique d'un certificat de client HSM

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon Redshift à l'adresse https://console.aws.amazon.com/redshift/.

  2. Dans le panneau de navigation de gauche, choisissez Sécurité, puis l'onglet Certificats HSM.

  3. Choisissez le certificat de client HSM pour afficher la clé publique. Cette clé est le même que celle que vous avez ajoutée au module de sécurité matérielle dans la procédure précédente, Pour créer un certificat de client HSM

Pour supprimer une connexion HSM

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon Redshift à l'adresse https://console.aws.amazon.com/redshift/.

  2. Dans le panneau de navigation de gauche, choisissez Sécurité, puis l'onglet Connexions HSM.

  3. Choisissez la connexion HSM que vous souhaitez supprimer.

  4. Dans la boîte de dialogue Supprimer la connexion HSM, choisissez Supprimer pour supprimer la connexion de Amazon Redshift ou choisissez Annuler pour revenir à l'onglet Connexions HSM sans supprimer la connexion.

Pour supprimer un certificat de client HSM

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon Redshift à l'adresse https://console.aws.amazon.com/redshift/.

  2. Dans le panneau de navigation, choisissez Sécurité, puis sélectionnez l'onglet Certificats HSM.

  3. Dans la liste, choisissez le certificat de client HSM que vous souhaitez supprimer.

  4. Dans la boîte de dialogue Supprimer le certificat de client HSM, choisissez Supprimer pour supprimer le certificat à partir de Amazon Redshift ou choisissez Annuler pour retourner à l'onglet Certificats sans supprimer le certificat.

Rotation des clés de chiffrement avec Amazon Redshift console

Vous pouvez utiliser la procédure suivante pour effectuer une rotation des clés de chiffrement avec Amazon Redshift console.

Note

Une nouvelle console est disponible pour Amazon Redshift. Selon la console que vous utilisez, choisissez les instructions Nouvelle console ou Console d'origine. Les instructions Nouvelle console sont ouvertes par défaut.

Pour effectuer une rotation des clés de chiffrement pour un cluster.

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon Redshift à l'adresse https://console.aws.amazon.com/redshift/.

  2. Dans le menu de navigation, choisissez CLUSTERS, puis le cluster pour lequel vous souhaitez mettre à jour les clés de chiffrement.

  3. Pour Actions, choisissez Effectuer une rotation du chiffrement pour afficher la page Effectuer une rotation des clés de chiffrement.

  4. Sur la page Effectuer une rotation des clés de chiffrement, choisissez Effectuer une rotation des clés de chiffrement.

Pour effectuer la rotation d'une clé de chiffrement

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon Redshift à l'adresse https://console.aws.amazon.com/redshift/.

  2. Dans le volet de navigation, choisissez Clusters.

  3. Dans la liste, choisissez le cluster pour lequel vous souhaitez effectuer une rotation des clés.

  4. Choisissez Base de données, puis Effectuer une rotation des clés de chiffrement.

  5. Choisissez Oui, effectuer une rotation des clés si vous souhaitez effectuer une rotation des clés ou choisissez Annuler dans le cas contraire.

    Note

    Votre cluster sera temporairement indisponible jusqu'à ce que le processus de rotation des clés soit terminé.