从未加密的 Redshift 集群迁移到加密的集群答案

【问题标题】：Migrating from an unencrypted Redshift Cluster to Encrypted从未加密的 Redshift 集群迁移到加密的集群
【发布时间】：2020-11-09 10:31:27
【问题描述】：

我正在尝试在我的生产 Redshift 集群中使用客户管理的 CMK 启用 SSE，以遵循某些安全协议。

出于 POC 目的，我启动了一个 1 节点 dc2.large Redshift 集群，并按照此 doc，我能够启用 SSE。

但是，我的问题是，启用 SSE 是否会加密集群中的现有数据？如果不是，应该采取什么步骤？

总体而言，在生产 Redshift 集群中启用静态加密有哪些缺点（如果有的话）？最佳做法是什么？

【问题讨论】：

what are the downsides, if any, of enabling encryption at rest - AWS 声称没有性能损失（或无关紧要），您必须确保访问存储的任何其他服务或身份都需要 CMK 的一些权限。
谢谢@gusto2。假设我有一个 Python 脚本，它每天运行并使用 db 用户连接到集群。这个数据库用户需要什么样的访问/权限？
我不认为普通客户需要任何特权。管理集群的活动需要kms:Encrypt、kms:Decrypt 和kms:GenerateDataKey 的权限，请参阅docs.aws.amazon.com/redshift/latest/mgmt/…

【解决方案1】：

无需更改代码或现有管道/流程中的任何内容。这是磁盘加密。它与您的数据库连接或代码无关。

要了解有关该过程的更多信息，请阅读这些链接。

【讨论】：

感谢布瓦内什。但是管理集群的 IAM 用户/角色不需要 kms 密钥访问权限吗？此外，尝试了解启用磁盘加密是否会降低任何大型数据集的 ETL 性能。截至目前，我没有看到任何相关文档。
是的，就是集群管理，（管理基础设施的团队需要小心，它永远不会影响任何应用程序或正在运行的代码或 RedShift 数据库用户。