保管中の暗号化
サーバー側の暗号化は、保管中のデータ暗号化に関するものです。つまり、Amazon Redshift は、データセンターの書き込み時にデータを暗号化し、お客様がデータにアクセスするときに復号します。リクエストが認証され、お客様がアクセス許可を持っている限りは、オブジェクトが暗号化されているかどうかに関係なく同じ方法でアクセスできます。
Amazon Redshift では暗号化を使用して、保管中のデータを保護します。必要に応じて、Advanced Encryption Standard AES-256 を使用して、クラスター内のディスクに保存されているデータと Amazon S3 のバックアップをすべて保護することができます。
Amazon Redshift リソースの暗号化と復号化のために使用するキーを管理するには、AWS Key Management Service (AWS KMS) を使用します。 AWS KMS では、安全で可用性の高いハードウェアとソフトウェアの組み合わせにより、クラウド向けに拡張されたキー管理システムが提供されます。AWS KMS を使用すると、キーの暗号化を作成し、このキーの使用方法を制御するポリシーを定義できます。 AWS KMS は AWS CloudTrail をサポートするため、キーの使用を監査して、キーが適切に使用されていることを確認できます。AWS KMS キーは、Amazon Redshift やサポートされている AWS サービスと組み合わせて使用できます。AWS KMSがサポートされているサービスの一覧については、 AWS Key Management Service デベロッパーガイドの How AWS Services Use AWS KMS を参照してください。
AWS Secrets Manager を使用して、プロビジョン済みのクラスターまたはサーバーレス名前空間の管理者パスワードで管理する場合、Amazon Redshift は AWS Secrets Manager が認証情報の暗号化に使用する追加の AWS KMS キーも受け入れます。この追加のキーは、AWS Secrets Manager から自動的に生成されたキーでも、ユーザーが提供するカスタムキーでも構いません。
Amazon Redshift クエリエディタ v2 は、次のようにクエリエディタに入力された情報を安全に保存します。
クエリエディタ v2 のデータの暗号化に使用する KMS キーの Amazon リソースネーム (ARN)。
データベース接続の情報
ファイルとフォルダの名前と内容。
Amazon Redshift クエリエディタ v2 は、KMS キーまたはサービスアカウント KMS キーを使用して、ブロックレベルの暗号化を使用して情報を暗号化します。Amazon Redshift データの暗号化は、Amazon Redshift クラスタープロパティによって制御されます。
