Como o Amazon Redshift usa o AWS KMS - AWS Key Management Service

Como o Amazon Redshift usa o AWS KMS

Este tópico discute como o Amazon Redshift usa o AWS KMS para criptografar dados.

Criptografia do Amazon Redshift

Um data warehouse do Amazon Redshift é um conjunto de recursos de computação chamados nós, que são organizados em um grupo chamado cluster. Cada cluster executa um mecanismo do Amazon Redshift e contém um ou mais bancos de dados.

O Amazon Redshift usa para criptografia uma arquitetura de quatro níveis baseada em chaves. A arquitetura consiste em chaves de criptografia dos dados, uma chave de banco de dados, uma chave de cluster e uma chave raiz. Você pode usar uma AWS KMS key como chave raiz.

As chaves de criptografia dos dados criptografam blocos de dados do cluster. Cada bloco de dados recebe uma chave AES-256 gerada aleatoriamente. Essas chaves são criptografadas com a chave do banco de dados do cluster.

A chave do banco de dados criptografa as chaves de criptografia dos dados do cluster. A chave do banco de dados é uma chave AES-256 gerada aleatoriamente. Ela é armazenada em disco em uma rede separada do cluster do Amazon Redshift e passada para o cluster por meio de um canal seguro.

A chave do cluster criptografa a chave do banco de dados do cluster do Amazon Redshift. Você pode usar o AWS KMS, o AWS CloudHSM ou um módulo de segurança de hardware (HSM) externo para gerenciar a chave do cluster. Para obter mais detalhes, consulte a documentação de Criptografia de banco de dados do Amazon Redshift .

Para solicitar criptografia, marque a caixa apropriada no console do Amazon Redshift. Para especificar uma chave gerenciada pelo cliente, escolha uma na lista que aparece abaixo da caixa de criptografia. Se você não especificar uma chave gerenciada pelo cliente, o Amazon Redshift usará a Chave gerenciada pela AWS na sua conta.

Importante

O Amazon Redshift só é compatível com chaves do KMS de criptografia simétrica. Não é possível usar uma chave do KMS assimétrica em um fluxo de trabalho de criptografia do Amazon Redshift. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte Identificar chaves do KMS assimétricas.

Contexto de criptografia

Cada serviço que é integrado ao AWS KMS especifica um contexto de criptografia ao solicitar chaves de dados, criptografia e descriptografia. O contexto de criptografia é dados autenticados adicionais (AAD) que o AWS KMS usa para verificar a integridade dos dados. Ou seja, quando um contexto de criptografia é especificado para uma operação de criptografia, o serviço também o especifica para a operação de descriptografia ou a descriptografia não terá êxito. O Amazon RedShift usa o ID do cluster e a hora de criação no contexto de criptografia. No campo requestParameters de um arquivo de log do CloudTrail, o contexto de criptografia será semelhante a este.

"encryptionContext": { "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name", "aws:redshift:createtime": "20150206T1832Z" },

É possível pesquisar o nome do cluster nos logs do CloudTrail para saber quais operações foram executadas usando uma AWS KMS key (chave do KMS). As operações incluem a criptografia e descriptografia do cluster e a geração de chaves de dados.