从 Simple Storage Service(Amazon S3)中加载加密的数据文件
您可以使用 COPY 命令加载使用服务器端加密、客户端加密或两种加密方式上载到 Simple Storage Service(Amazon S3)的数据文件。
COPY 命令支持以下 Simple Storage Service(Amazon S3)加密方式:
-
使用 Simple Storage Service(Amazon S3)托管密钥进行服务器端加密 (SSE-S3)
-
使用 Amazon KMS keys 的服务器端加密(SSE-KMS)
-
使用客户端对称根密钥进行客户端加密
COPY 命令不支持以下 Simple Storage Service(Amazon S3)加密方式:
-
使用客户提供的密钥进行服务器端加密 (SSE-C)
-
使用 Amazon KMS key 进行客户端加密
-
使用客户提供的对称根密钥进行客户端加密
有关 Simple Storage Service(Amazon S3)加密的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用服务器端加密保护数据和使用客户端加密保护数据。
UNLOAD 命令使用 SSE-S3 自动加密文件。您还可以使用 SSE-KMS 或客户托管式对称密钥进行客户端加密的方法进行卸载。有关更多信息,请参阅卸载加密的数据文件。
COPY 命令会自动识别并加载使用 SSE-S3 和 SSE-KMS 进行加密的文件。您可以指定 ENCRYPTED 选项并提供密钥值,加载使用客户端对称根密钥加密的文件。有关更多信息,请参阅将加密的数据上载到Simple Storage Service(Amazon S3)。
要加载客户端加密数据文件,请使用 MASTER_SYMMETRIC_KEY 参数提供根密钥值,并包括 ENCRYPTED 选项。
copy customer from 's3://mybucket/encrypted/customer' iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole' master_symmetric_key '<root_key>' encrypted delimiter '|';
要加载 gzip、lzop 或 bzip2 压缩的加密数据文件,请随根密钥值和 ENCRYPTED 选项包括 GZIP、LZOP 或 BZIP2 选项。
copy customer from 's3://mybucket/encrypted/customer' iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole' master_symmetric_key '<root_key>' encrypted delimiter '|' gzip;