Amazon Redshift
クラスター管理ガイド (API バージョン 2012-12-01)

コンソールを使用したデータベース暗号化の設定

Amazon Redshift console を使用すると、HSM を使用して暗号化キーを更新するように Amazon Redshift を設定できます。AWS KMS 暗号化キーを使用してクラスターを作成する方法については、「クラスターの作成」または「Amazon Redshift CLI および API を使用してクラスターを管理する」を参照してください。

Amazon Redshift console を使用し、HSM を使用するように Amazon Redshift を設定する

次の手順を使用すると、Amazon Redshift console を使用して Amazon Redshift の HSM 接続と構成情報を指定できます。

HSM 接続を作成するには

  1. AWS マネジメントコンソールにサインインし、Amazon Redshift コンソール(https://console.aws.amazon.com/redshift/)を開きます。

  2. 左のナビゲーションペインで [セキュリティ] をクリックし、[HSM 接続] タブをクリックします。

  3. [HSM 接続の作成] をクリックします。

  4. [HSM 接続の作成] ページで、以下の情報を入力します。

    1. [HSM 接続名] ボックスに、この接続を識別する名前を入力します。

    2. [説明] ボックスに、接続に関する説明を入力します。

    3. [HSM の IP アドレス] ボックスに、HSM の IP アドレスを入力します。

    4. [HSM のパーティション名] ボックスに、Amazon Redshift が接続するパーティションの名前を入力します。

    5. [HSM のパーティションのパスワード] ボックスに、HSM パーティションに接続するために必要なパスワードを入力します。

    6. HSM からパブリックサーバー証明書をコピーし、[Paste the HSM's public server certificate here (こちらに HSM のパブリックサーバー証明書を貼り付ける)] ボックスに貼り付けます。

    7. [Create] をクリックします。

  5. 接続が作成されたら、HSM クライアント証明書を作成できます。接続を作成した後すぐに HSM クライアント証明書を作成する場合は、[はい] をクリックし、次の手順を実行します。すぐに作成しない場合は、[今はしない] をクリックして HSM 接続のリストに戻り、プロセスの残りの操作を後で実行します。

HSM クライアント証明書を作成するには

  1. AWS マネジメントコンソールにサインインし、Amazon Redshift コンソール(https://console.aws.amazon.com/redshift/)を開きます。

  2. 左のナビゲーションペインで [セキュリティ] をクリックし、[HSM 証明書] タブをクリックします。

  3. [HSM クライアント証明書の作成] をクリックします。

  4. [HSM クライアント証明書の作成] ページの [HSM Client Certificate Identifier (HSM クライアント証明書識別子)] ボックスに、このクライアント証明書を識別する名前を入力します。

  5. [Next] をクリックします。

  6. 証明書が作成されると、HSM にキーを登録するための情報を示す確認ページが表示されます。HSM を設定するアクセス許可がない場合は、HSM 管理者に依頼して次の手順を実行します。

    1. コンピュータで新しいテキストファイルを開きます。

    2. Amazon Redshift console の [HSM クライアント証明書の作成] 確認ページで、パブリックキーをコピーします。

    3. さきほど開いたファイルにパブリックキーを貼り付け、確認ページのステップ 1 に表示されたファイル名で保存します。ファイルには必ず拡張子 .pem を付けてください (例: 123456789mykey.pem)。

    4. .pem ファイルを HSM にアップロードします。

    5. HSM で、コマンドプロンプトウィンドウを開き、確認ページのステップ 4 に示されたコマンドを実行して、キーを登録します。コマンドの形式は次のとおりです。ここで、ClientNameKeyFilenamePartitionName は実際に必要な値に置き換えます。

      client register -client ClientName -hostname KeyFilename

      client assignPartition -client ClientName -partition PartitionName

      (例:

      client register -client MyClient -hostname 123456789mykey

      client assignPartition -client MyClient -partition MyPartition

    6. HSM にキーを登録したら、[次へ] をクリックします。

  7. HSM クライアント証明書が作成されて登録されたら、以下のボタンのうち 1 つをクリックします。

    1. [HSM を使用してクラスターを起動]。このオプションは、新しいクラスターを起動するプロセスを開始します。このプロセスの間に、暗号化キーを保存する HSM を選択できます。クラスターの起動プロセスの詳細については、「コンソールを使ったクラスターの管理」を参照してください。

      [HSM 接続を作成]。このオプションは、[HSM 接続を作成] プロセスを開始します。

      [証明書の表示]。このオプションは、ナビゲーションペインの [HSM] に戻り、[証明書] タブにクライアント証明書のリストを表示します。

      [戻る]。このオプションは、[HSM クライアント証明書の作成] 確認ページに戻ります。

      [閉じる]。このオプションは、ナビゲーションペインの [HSM] に戻り、[接続] タブに HSM 接続のリストを表示します。

HSM クライアント証明書のパブリックキーを表示するには

  1. AWS マネジメントコンソールにサインインし、Amazon Redshift コンソール(https://console.aws.amazon.com/redshift/)を開きます。

  2. ナビゲーションペインで [セキュリティ] をクリックし、[HSM 証明書] タブをクリックします。

  3. パブリックキーを表示する HSM クライアント証明書をクリックします。このキーは、前の手順「HSM クライアント証明書を作成するには」で HSM に追加したのと同じキーです。

HSM 接続を削除するには

  1. AWS マネジメントコンソールにサインインし、Amazon Redshift コンソール(https://console.aws.amazon.com/redshift/)を開きます。

  2. 左のナビゲーションペインで [セキュリティ] をクリックし、[HSM 接続] タブをクリックします。

  3. 削除する HSM 接続をクリックします。

  4. [HSM 接続の削除] ダイアログボックスで、[削除] をクリックして接続を Amazon Redshift から削除するか、[キャンセル] をクリックして接続を削除せずに [HSM 接続] タブに戻ります。

HSM クライアント証明書を削除するには

  1. AWS マネジメントコンソールにサインインし、Amazon Redshift コンソール(https://console.aws.amazon.com/redshift/)を開きます。

  2. ナビゲーションペインで [セキュリティ] をクリックし、[HSM 証明書] タブを選択します。

  3. リストで、削除する HSM クライアント証明書をクリックします。

  4. [HSM 接続の削除] ダイアログボックスで、[削除] をクリックして証明書を Amazon Redshift から削除するか、[キャンセル] をクリックして証明書を削除せずに [証明書] タブに戻ります。

Amazon Redshift console を使用した暗号化キーの更新

Amazon Redshift console を使用して暗号化キーを更新するには、次の手順を使用します。

暗号化キーを更新するには

  1. AWS マネジメントコンソールにサインインし、Amazon Redshift コンソール(https://console.aws.amazon.com/redshift/)を開きます。

  2. ナビゲーションペインで [Clusters (クラスター)] をクリックします。

  3. リストで、キーを更新するクラスターをクリックします。

  4. [データベース] をクリックし、[暗号化キーの更新] をクリックします。

  5. キーを更新する場合は [Yes, Rotate Keys (はい、キーを更新します)] を、更新しない場合は [キャンセル] をクリックします。

    注記

    キーの更新プロセスが完了するまで、クラスターは一時的に使用不能になります。