¿Cómo Amazon Redshift utiliza AWS KMS? - AWS Key Management Service
Cifrado de Amazon RedshiftContexto de cifrado

¿Cómo Amazon Redshift utiliza AWS KMS?

En este tema se explica cómo Amazon Redshift utiliza AWS KMS para cifrar los datos.

Cifrado de Amazon Redshift

Un almacén de datos de Amazon Redshift es una colección de recursos de computación denominados nodos que están organizados en un grupo llamado clúster. Cada clúster ejecuta un motor Amazon Redshift y contiene una o más bases de datos.

Amazon Redshift usa una arquitectura de cuatro niveles basada en claves para el cifrado. La arquitectura consta de claves de cifrado de datos, una clave de base de datos, una clave de clúster y una clave maestra. Puede utilizar una AWS KMS key como clave raíz.

Las claves de cifrado de datos cifran los bloques de datos del clúster. A cada bloque de datos se le asigna una clave AES-256 generada aleatoriamente. Estas claves se cifran mediante la clave de base de datos del clúster.

La clave de base de datos cifra las claves de cifrado de datos del clúster. La clave de base de datos es una clave AES-256 generada aleatoriamente. Se almacena en disco en una red diferente del clúster de Amazon Redshift y se pasa al clúster a través de un canal seguro.

La clave del clúster cifra la clave de base de datos del clúster de Amazon Redshift. Puede usar AWS KMS, AWS CloudHSM o un módulo de seguridad por hardware (HSM) externo para administrar la clave del clúster. Consulte la documentación sobre cifrado de base de datos de Amazon Redshift para obtener más información.

Puede solicitar el cifrado marcando la casilla correspondiente en la consola de Amazon Redshift. Puede especificar una clave administrada por el cliente para usarla seleccionando una en la lista que aparece debajo del cuadro de cifrado. Si no especifica una clave administrada por el cliente, Amazon Redshift utiliza el Clave administrada de AWS para Amazon Redshift en tu cuenta.

importante

Amazon Redshift solo admite claves KMS de cifrado simétricas. No se puede utilizar una clave KMS asimétrica en un flujo de trabajo de Amazon Redshift cifrado. Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte Identificación de diferentes tipos de claves.

Contexto de cifrado

Cada servicio que está integrado con AWS KMS especifica un contexto de cifrado cuando se solicitan claves de datos, cifrado y descifrado. El contexto de cifrado es información autenticada adicional (AAD) que usa AWS KMS para comprobar la integridad de los datos. Es decir, cuando se especifica un contexto de cifrado para una operación de cifrado, el servicio también lo especifica en la operación de descifrado; de lo contrario, el descifrado no se realizará correctamente. Amazon Redshift utiliza el ID de clúster y la hora de creación para el contexto de cifrado. En el campo requestParameters de un archivo de registro de CloudTrail, el contexto de cifrado será similar a este. 


"encryptionContext": {
    "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name",
    "aws:redshift:createtime": "20150206T1832Z"
},

Puede buscar el nombre del clúster en sus registros de CloudTrail para saber qué operaciones se han llevado a cabo usando una AWS KMS key (clave KMS). Las operaciones incluyen el cifrado del clúster, el descifrado del clúster y la generación de claves de datos.