送信中の暗号化 - Amazon Redshift

送信中の暗号化

送信中の機密データと整合性データを保護するように環境を設定できます。

Amazon Redshift クラスターと SQL クライアントの間の送信時のデータを JDBC/ODBC 経由で暗号化します。

  • Java Database Connectivity (JDBC) と Open Database Connectivity (ODBC) 接続を介して SQL クライアントツールから Amazon Redshift クラスターに接続できます。

  • Amazon Redshift では Secure Sockets Layer (SSL) 接続がサポートされているため、データとサーバー証明書を暗号化でき、クライアントが接続するサーバー証明書を検証できます。このクライアントは、Amazon Redshift クラスターのリーダーノードに接続されます。詳細については、 接続のセキュリティオプションを設定するを参照してください。

  • SSL 接続をサポートするため、Amazon Redshift では AWS Certificate Manager (ACM) によって発行された証明書が作成され、各クラスターにインストールされます。詳細については、 SSL 接続用 ACM 証明書への移行を参照してください。

  • AWS クラウド内の送信中のデータを保護するため、Amazon Redshift では COPY、UNLOAD、バックアップ、および復元オペレーションを実行する際、ハードウェアによる SSL を使用して Amazon S3 または Amazon DynamoDB と通信が行われます。

Amazon Redshift クラスターと Amazon S3 または DynamoDB の間の送信中のデータを暗号化します。

  • Amazon Redshift では、COPY、UNLOAD、バックアップ、および復元オペレーションを実行する際、ハードウェアによる SSL を使用して、Amazon S3 または DynamoDB と通信します。

  • Redshift Spectrum では、 AWS Key Management Service (KMS) によって管理されるアカウントのデフォルトのキーを使用した Amazon S3 サーバー側の暗号化 (SSE) がサポートされています。

  • Amazon S3 と AWS KMS を使用して、Amazon Redshift のロードを暗号化できます。詳細については、「Encrypt Your Amazon Redshift Loads with Amazon S3 and AWS KMS」を参照してください。

AWS CLI、SDK、または API クライアントと Amazon Redshift エンドポイントの間で送信中のデータの暗号化と署名:

  • Amazon Redshift には、送信中のデータを暗号化するための HTTP エンドポイントが用意されています。

  • Amazon Redshift への API 要求の整合性を保護するには、API 呼び出しは呼び出し元によって署名されている必要があります。呼び出しは、署名バージョン 4 の署名プロセス (Sigv4) に従って、X.509 証明書またはお客様の AWS シークレットアクセスキーを使用して署名される必要があります。詳細については、https://docs.aws.amazon.com/general/latest/gr/signature-version-4.htmlの「AWS 全般のリファレンス署名バージョン 4 の署名プロセス」を参照してください。

  • AWS CLI または AWS SDK の 1 つを使用して、 AWSに要求を送信します。これらのツールで、設定時に指定されたアクセスキーを使用すると、自動的に要求に署名されます。

Amazon Redshift クラスターと Amazon Redshift クエリエディタ v2 の間の送信時のデータを暗号化する

  • データは、TLS で暗号化されたチャンネルを介してクエリエディタ v2 と Amazon Redshift クラスターとの間で送信されます。