Encryption 从未加密的红移群集迁移到加密群集_Encryption_Amazon Redshift

Encryption 从未加密的红移群集迁移到加密群集

encryption amazon-redshift

Encryption 从未加密的红移群集迁移到加密群集,encryption,amazon-redshift,Encryption,Amazon Redshift,我试图在我的生产红移集群中使用客户管理的CMK使SSE能够遵循某些安全协议出于POC的目的，我启动了一个1节点dc2.5的大型红移集群，然后启用了SSE 但是，我的问题是，启用SSE是否会加密集群中的现有数据？如果没有，应采取什么步骤总体而言，在生产红移集群中启用静态加密的缺点（如果有）是什么？最佳做法是什么？无需更改代码或现有管道/流程中的任何内容。这是磁盘加密。这与数据库连接或代码无关要了解更多有关流程的信息，请阅读以下链接启用静态加密的缺点是什么（如果有的话）-AWS声称没有性

我试图在我的生产红移集群中使用客户管理的CMK使SSE能够遵循某些安全协议

出于POC的目的，我启动了一个1节点dc2.5的大型红移集群，然后启用了SSE

但是，我的问题是，启用SSE是否会加密集群中的现有数据？如果没有，应采取什么步骤

总体而言，在生产红移集群中启用静态加密的缺点（如果有）是什么？最佳做法是什么？

无需更改代码或现有管道/流程中的任何内容。这是磁盘加密。这与数据库连接或代码无关

要了解更多有关流程的信息，请阅读以下链接

启用静态加密的缺点是什么（如果有的话）

-AWS声称没有性能损失（或微不足道），您必须确保访问存储的任何其他服务或身份将需要CMK的一些权限。谢谢@gusto2。假设我有一个Python脚本，它每天运行，并使用db用户连接到集群。这个数据库用户需要什么样的访问/权限？我不认为普通客户端需要任何特权。管理集群的活动需要获得

kms:Encrypt

、

kms:Decrypt

和

kms:GenerateDataKey

的权限，请参见感谢布瓦内什。但是管理集群的IAM用户/角色不需要kms密钥访问吗？另外，尝试了解启用磁盘加密是否会降低任何大型数据集的ETL性能。到目前为止，我还没有看到任何关于这方面的文档。是的，这就是集群管理（管理infra的团队需要小心，它永远不会影响任何应用程序、运行代码或红移数据库用户）。