Scaricamento di file di dati crittografati - Amazon Redshift

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scaricamento di file di dati crittografati

UNLOADcrea automaticamente file utilizzando la crittografia lato server di Amazon S3 con AWS chiavi di crittografia gestite (-S3)SSE. È inoltre possibile specificare la crittografia lato server con un AWS Key Management Service chiave (SSE-KMS) o crittografia lato client con una chiave gestita dal cliente. UNLOADnon supporta la crittografia lato server di Amazon S3 utilizzando una chiave gestita dal cliente. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato server.

Per eseguire lo scaricamento su Amazon S3 utilizzando la crittografia lato server con un AWS KMS key, usa il parametro KMS _ KEY _ID per fornire l'ID della chiave, come mostrato nell'esempio seguente.

unload ('select venuename, venuecity from venue')
to 's3://amzn-s3-demo-bucket/encrypted/venue_' 
iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole'
KMS_KEY_ID '1234abcd-12ab-34cd-56ef-1234567890ab'
encrypted;

Se desideri fornire la tua chiave di crittografia, puoi creare file di dati crittografati lato client in Amazon S3 utilizzando UNLOAD il comando con l'opzione. ENCRYPTED UNLOADutilizza lo stesso processo di crittografia a busta utilizzato dalla crittografia lato client di Amazon S3. È quindi possibile utilizzare il COPY comando con l'ENCRYPTEDopzione per caricare i file crittografati.

Il processo avviene in questo modo:

  1. Si crea una chiave a 256 bit codificata in base64 che verrà utilizzata come AES chiave di crittografia privata o chiave simmetrica principale.

  2. Si esegue un UNLOAD comando che include la chiave simmetrica root e l'opzione. ENCRYPTED

  3. UNLOADgenera una chiave one-time-use simmetrica (chiamata chiave simmetrica della busta) e un vettore di inizializzazione (IV), che utilizza per crittografare i dati.

  4. UNLOADcrittografa la chiave simmetrica dell'involucro utilizzando la chiave simmetrica root.

  5. UNLOADquindi archivia i file di dati crittografati in Amazon S3 e archivia la chiave di busta crittografata e IV come metadati dell'oggetto con ogni file. La chiave envelope crittografata viene archiviata come metadati degli oggetti x-amz-meta-x-amz-key e il vettore di inizializzazione viene archiviato come metadati degli oggetti x-amz-meta-x-amz-iv.

Per ulteriori informazioni sul processo di crittografia della busta, consulta la sezione Crittografia dei dati lato client con AWS SDKarticolo per Java e Amazon S3.

Per scaricare file di dati crittografati, aggiungi il valore della chiave principale alla stringa delle credenziali e includi l'opzione. ENCRYPTED Se utilizzate l'MANIFESTopzione, anche il file manifesto viene crittografato.

unload ('select venuename, venuecity from venue')
to 's3://amzn-s3-demo-bucket/encrypted/venue_' 
iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole'
master_symmetric_key '<root_key>' 
manifest
encrypted;

Per scaricare file di dati crittografati GZIP compressi, includete l'GZIPopzione insieme al valore della chiave principale e all'ENCRYPTEDopzione.

unload ('select venuename, venuecity from venue')
to 's3://amzn-s3-demo-bucket/encrypted/venue_' 
iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole'
master_symmetric_key '<root_key>' 
encrypted gzip;

Per caricare i file di dati crittografati, aggiungete il KEY parametro MASTER _ SYMMETRIC _ con lo stesso valore di chiave radice e includete l'ENCRYPTEDopzione. 

copy venue from 's3://amzn-s3-demo-bucket/encrypted/venue_' 
iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole'
master_symmetric_key '<root_key>' 
encrypted;