Membongkar file data terenkripsi - Amazon Redshift

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membongkar file data terenkripsi

UNLOADsecara otomatis membuat file menggunakan enkripsi sisi server Amazon S3 dengan AWS kunci enkripsi terkelola (SSE-S3). Anda juga dapat menentukan enkripsi sisi server dengan AWS Key Management Service kunci (SSE-KMS) atau enkripsi sisi klien dengan kunci yang dikelola pelanggan. UNLOADtidak mendukung enkripsi sisi server Amazon S3 menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, silakan lihat Melindungi data menggunakan enkripsi sisi server.

Untuk membongkar ke Amazon S3 menggunakan enkripsi sisi server dengan AWS KMS kunci, gunakan parameter KMS _ KEY _ID untuk memberikan ID kunci seperti yang ditunjukkan pada contoh berikut.

unload ('select venuename, venuecity from venue')
to 's3://amzn-s3-demo-bucket/encrypted/venue_' 
iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole'
KMS_KEY_ID '1234abcd-12ab-34cd-56ef-1234567890ab'
encrypted;

Jika Anda ingin memberikan kunci enkripsi Anda sendiri, Anda dapat membuat file data terenkripsi sisi klien di Amazon S3 dengan menggunakan perintah dengan opsi. UNLOAD ENCRYPTED UNLOADmenggunakan proses enkripsi amplop yang sama yang digunakan enkripsi sisi klien Amazon S3. Anda kemudian dapat menggunakan COPY perintah dengan ENCRYPTED opsi untuk memuat file terenkripsi.

Prosesnya bekerja seperti ini:

  1. Anda membuat kunci 256-bit yang dikodekan base64 yang akan Anda gunakan sebagai AES kunci enkripsi pribadi Anda, atau kunci simetris root.

  2. Anda mengeluarkan UNLOAD perintah yang menyertakan kunci simetris root Anda dan ENCRYPTED opsi.

  3. UNLOADmenghasilkan kunci one-time-use simetris (disebut kunci simetris amplop) dan vektor inisialisasi (IV), yang digunakan untuk mengenkripsi data Anda.

  4. UNLOADmengenkripsi kunci simetris amplop menggunakan kunci simetris root Anda.

  5. UNLOADkemudian menyimpan file data terenkripsi di Amazon S3 dan menyimpan kunci amplop terenkripsi dan IV sebagai metadata objek dengan setiap file. Kunci amplop terenkripsi disimpan sebagai metadata objek x-amz-meta-x-amz-key dan IV disimpan sebagai metadata objek. x-amz-meta-x-amz-iv

Untuk informasi selengkapnya tentang proses enkripsi amplop, lihat enkripsi data sisi klien dengan AWS SDKuntuk artikel Java dan Amazon S3.

Untuk membongkar file data terenkripsi, tambahkan nilai kunci root ke string kredensial dan sertakan opsi. ENCRYPTED Jika Anda menggunakan MANIFEST opsi, file manifes juga dienkripsi.

unload ('select venuename, venuecity from venue')
to 's3://amzn-s3-demo-bucket/encrypted/venue_' 
iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole'
master_symmetric_key '<root_key>' 
manifest
encrypted;

Untuk membongkar file data terenkripsi yang GZIP dikompresi, sertakan GZIP opsi bersama dengan nilai kunci root dan opsi. ENCRYPTED

unload ('select venuename, venuecity from venue')
to 's3://amzn-s3-demo-bucket/encrypted/venue_' 
iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole'
master_symmetric_key '<root_key>' 
encrypted gzip;

Untuk memuat file data terenkripsi, tambahkan KEY parameter MASTER _ SYMMETRIC _ dengan nilai kunci root yang sama dan sertakan opsi. ENCRYPTED 

copy venue from 's3://amzn-s3-demo-bucket/encrypted/venue_' 
iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole'
master_symmetric_key '<root_key>' 
encrypted;