Infrastruktursicherheit in Amazon Redshift - Amazon Redshift
NetzwerkisolierungSicherheitsgruppenSchnittstellen-VPC-Endpunkte

Amazon Redshift wird UDFs ab dem 1. November 2025 die Erstellung von neuem Python nicht mehr unterstützen. Wenn Sie Python verwenden möchten UDFs, erstellen Sie das UDFs vor diesem Datum liegende. Bestehendes Python UDFs wird weiterhin wie gewohnt funktionieren. Weitere Informationen finden Sie im Blogbeitrag.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Infrastruktursicherheit in Amazon Redshift

Als verwalteter Service ist Amazon Redshift durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter AWS Cloud-Sicherheit. Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Redshift zuzugreifen. Kunden müssen Folgendes unterstützen:

  • Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.

Netzwerkisolierung

Eine virtuelle private Cloud (VPC), die auf dem Amazon VPC-Service basiert, ist Ihr privates, logisch isoliertes Netzwerk in der Cloud. AWS Sie können einen Amazon Redshift Redshift-Cluster oder eine Redshift Serverless-Arbeitsgruppe innerhalb einer VPC bereitstellen, indem Sie die folgenden Schritte ausführen:

  • Erstellen Sie eine VPC in einer AWS Region. Weitere Informationen finden Sie unter Was ist Amazon VPC? im Amazon-VPC-Benutzerhandbuch.

  • Erstellen Sie zwei oder mehr private VPC-Subnetze. Weitere Informationen finden Sie unter VPCs Subnetze im Amazon VPC-Benutzerhandbuch.

  • Stellen Sie einen Amazon Redshift Redshift-Cluster oder eine Redshift Serverless-Arbeitsgruppe bereit. Weitere Informationen finden Sie unter Subnetze für Redshift-Ressourcen oder Arbeitsgruppen und Namespaces.

Ein Amazon-Redshift-Cluster ist bei der Bereitstellung standardmäßig gesperrt. Um eingehenden Netzwerkverkehr von Amazon-Redshift-Clients zuzulassen, ordnen Sie eine VPC-Sicherheitsgruppe einem Amazon-Redshift-Cluster zu. Weitere Informationen finden Sie unter Subnetze für Redshift-Ressourcen.

Um Datenverkehr nur in oder von bestimmten IP-Adressbereichen zuzulassen, aktualisieren Sie die Sicherheitsgruppen mit Ihrer VPC. Ein Beispiel ist, Datenverkehr nur von oder zu Ihrem Unternehmensnetzwerk zuzulassen.

Stellen Sie bei der Konfiguration von Netzwerkzugriffskontrolllisten für die Subnetze, mit denen Ihr Amazon Redshift Redshift-Cluster gekennzeichnet ist, sicher, dass die S3-CIDR-Bereiche der jeweiligen AWS Region der Zulassungsliste sowohl für Eingangs- als auch Ausgangsregeln hinzugefügt werden. Auf diese Weise können Sie S3-basierte Vorgänge wie Redshift Spectrum, COPY und UNLOAD ohne Unterbrechungen ausführen.

Der folgende Beispielbefehl analysiert die JSON-Antwort für alle IPv4 Adressen, die in Amazon S3 in der Region us-east-1 verwendet werden.

curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'

54.231.0.0/17

52.92.16.0/20

52.216.0.0/15

Anweisungen zum Abrufen von S3-IP-Bereichen für eine bestimmte Region finden Sie unter AWS -IP-Adressbereiche.

Amazon Redshift unterstützt die Bereitstellung von Clustern in einem dedizierten VPCs Mandantenverhältnis. Weitere Informationen finden Sie unter Dedicated Instances im EC2 Amazon-Benutzerhandbuch.

Amazon Redshift Redshift-Sicherheitsgruppen

Wenn Sie einen Amazon-Redshift-Cluster bereitstellen, ist dieser standardmäßig gesperrt, so dass niemand darauf zugreifen kann. Um anderen Benutzern eingehenden Zugriff auf einen Amazon-Redshift-Cluster zu gewähren, ordnen Sie den Cluster einer Sicherheitsgruppe zu. Wenn Sie sich auf der EC2 -VPC-Plattform befinden, können Sie entweder eine bestehende Amazon VPC-Sicherheitsgruppe verwenden oder eine neue definieren und sie dann einem Cluster zuordnen. Weitere Informationen zur Verwaltung eines Clusters auf der EC2 -VPC-Plattform finden Sie unter. Redshift-Ressourcen in einer VPC

Sie können eine direkte Verbindung zu den Amazon Redshift- und Amazon Redshift Serverless API-Diensten herstellen, indem Sie einen VPC-Endpunkt (AWS PrivateLink) in Ihrer Virtual Private Cloud (VPC) verwenden, anstatt eine Verbindung über das Internet herzustellen. Weitere Informationen zu den Amazon Redshift API-Aktionen finden Sie unter Aktionen in der Amazon-Redshift-API-Referenz. Informationen zu Redshift Serverless API-Aktionen finden Sie unter Aktionen in der Amazon Redshift Serverless API-Referenz. Weitere Informationen über AWS PrivateLink finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink)im Amazon-VPC-Benutzerhandbuch. Beachten Sie, dass die JDBC/ODBC-Verbindung zum Cluster oder Workspace nicht Teil des Amazon Redshift API-Service ist.

Wenn Sie einen VPC-Endpunkt mit Schnittstelle verwenden, erfolgt die Kommunikation zwischen Ihrer VPC und Amazon Redshift oder Redshift Serverless vollständig innerhalb des AWS Netzwerks, was für mehr Sicherheit sorgen kann. Jeder VPC-Endpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert. Weitere Informationen zu Elastic Network Interfaces finden Sie unter Elastic Network Interfaces im EC2 Amazon-Benutzerhandbuch.

Ein Schnittstellen-VPC Endpunkt verbindet Ihre VPC direkt mit Amazon Redshift. Es verwendet kein Internet-Gateway, kein NAT-Gerät (Network Address Translation), keine VPN-Verbindung (Virtual Private Network) oder AWS Direct Connect eine Verbindung. Die Instances in Ihrer VPC benötigen für die Kommunikation mit der Amazon Redshift API keine öffentlichen IP-Adressen.

Um Amazon Redshift oder Redshift Serverless über Ihre VPC zu verwenden, haben Sie zwei Möglichkeiten. Eine besteht darin, eine Verbindung von einer Instance innerhalb Ihrer VPC herzustellen. Die andere Möglichkeit besteht darin, Ihr privates Netzwerk mithilfe einer AWS VPN Option oder AWS Direct Connect mit Ihrer VPC zu verbinden. Weitere Informationen zu den AWS VPN Optionen finden Sie unter VPN-Verbindungen im Amazon VPC-Benutzerhandbuch. Informationen zu AWS Direct Connect finden Sie unter Erstellen einer Verbindung im AWS Direct Connect -Benutzerhandbuch.

Sie können einen VPC-Schnittstellen-Endpunkt erstellen, um mit den Befehlen AWS Management Console oder AWS Command Line Interface (AWS CLI) eine Verbindung zu Amazon Redshift herzustellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts.

Nachdem Sie einen Schnittstellen-VPC-Endpunkt erstellt haben, können Sie private DNS-Hostnamen für den Endpunkt aktivieren. In diesem Fall lautet der Standardendpunkt wie folgt:

  • Amazon Redshift hat Folgendes bereitgestellt: https://redshift.Region.amazonaws.com

  • Amazon Redshift Serverlos: https://redshift-serverless.Region.amazonaws.com

Wenn Sie private DNS-Hostnamen nicht aktivieren, stellt Amazon VPC einen DNS-Endpunktnamen bereit, den Sie im folgenden Format verwenden können.

  • Amazon Redshift hat Folgendes bereitgestellt: VPC_endpoint_ID.redshift.Region.vpce.amazonaws.com

  • Amazon Redshift Serverlos: VPC_endpoint_ID.redshift-serverless.Region.vpce.amazonaws.com

Weitere Informationen finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon-VPC-Benutzerhandbuch.

Amazon Redshift und Redshift Serverless unterstützen Aufrufe aller Amazon Redshift API-Operationen und Redshift Serverless API-Operationen innerhalb Ihrer VPC.

Sie können VPC-Endpunktrichtlinien an einen VPC-Endpunkt anfügen, um den Zugriff für AWS Identity and Access Management (IAM)-Prinzipale zu steuern. Sie können einem VPC-Endpunkt auch Sicherheitsgruppen zuordnen, um den eingehenden und ausgehenden Zugriff basierend auf Quelle und Ziel des Netzwerkdatenverkehrs zu steuern. Ein Beispiel ist ein IP-Adressbereich. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC User Guide.

Sie können eine Richtlinie für VPC-Endpunkte für Amazon Redshift erstellen, in der Sie Folgendes angeben:

  • Prinzipal, der Aktionen ausführen bzw. nicht ausführen kann

  • Aktionen, die ausgeführt werden können

  • Ressourcen, für die Aktionen ausgeführt werden können

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.

Im Folgenden finden Sie Beispiele für VPC-Endpunktrichtlinien.

Im Folgenden finden Sie Beispiele für VPC-Endpunktrichtlinien für Amazon Redshift Provisioned.

Die folgende VPC-Endpunktrichtlinie verweigert dem AWS Konto 123456789012 jeglichen Zugriff auf Ressourcen, die diesen Endpunkt verwenden.


{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Die folgende VPC-Endpunktrichtlinie ermöglicht vollen Zugriff nur auf die IAM-Rolle redshiftrole im AWS Konto. 123456789012 Allen anderen IAM-Prinzipalen wird der Zugriff über den Endpunkt verweigert.


   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:role/redshiftrole"
                ]
            }
        }]
}

Dies ist nur ein Beispiel. In den meisten Anwendungsfällen empfehlen wir, Berechtigungen für bestimmte Aktionen anzufügen, um den Umfang der Berechtigungen einzuschränken.

Die folgende VPC-Endpunktrichtlinie ermöglicht vollen Zugriff nur für das IAM-Benutzerkontoredshiftadmin. AWS 123456789012 Allen anderen IAM-Prinzipalen wird der Zugriff über den Endpunkt verweigert.


   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/redshiftadmin"
                ]
            }
        }]
}

Dies ist nur ein Beispiel. In den meisten Anwendungsfällen empfehlen wir, einer Rolle Berechtigungen anzufügen, bevor Sie sie einem Benutzer zuweisen. Darüber hinaus empfehlen wir, spezifische Aktionen zu verwenden, um den Umfang der Berechtigungen einzuschränken.

Die folgende VPC-Endpunktrichtlinie erlaubt nur AWS Konten123456789012, die angegebenen Amazon Redshift Redshift-Aktionen auszuführen.

Die angegebenen Aktionen stellen das Äquivalent von schreibgeschütztem Zugriff für Amazon Redshift dar. Alle anderen Aktionen in der VPC werden dem angegebenen Konto verweigert. Allen anderen Konten wird außerdem jeglicher Zugriff verweigert. Eine Liste der Amazon-Redshift-Aktionen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Redshift im IAM-Benutzerhandbuch.


  {
    "Statement": [
        {
            "Action": [
                "redshift:DescribeAccountAttributes",
                "redshift:DescribeClusterParameterGroups",
                "redshift:DescribeClusterParameters",
                "redshift:DescribeClusterSecurityGroups",
                "redshift:DescribeClusterSnapshots",
                "redshift:DescribeClusterSubnetGroups",
                "redshift:DescribeClusterVersions",
                "redshift:DescribeDefaultClusterParameters",
                "redshift:DescribeEventCategories",
                "redshift:DescribeEventSubscriptions",
                "redshift:DescribeHsmClientCertificates",
                "redshift:DescribeHsmConfigurations",
                "redshift:DescribeLoggingStatus",
                "redshift:DescribeOrderableClusterOptions",
                "redshift:DescribeQuery",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "redshift:DescribeResize",
                "redshift:DescribeSavedQueries",
                "redshift:DescribeScheduledActions",
                "redshift:DescribeSnapshotCopyGrants",
                "redshift:DescribeSnapshotSchedules",
                "redshift:DescribeStorage",
                "redshift:DescribeTable",
                "redshift:DescribeTableRestoreStatus",
                "redshift:DescribeTags",
                "redshift:FetchResults",
                "redshift:GetReservedNodeExchangeOfferings"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Die folgende VPC-Endpunktrichtlinie gewährt vollen Zugriff für alle Konten und Prinzipale. Gleichzeitig wird jeder AWS 123456789012 Kontozugriff auf Aktionen verweigert, die auf dem Amazon Redshift Redshift-Cluster mit Cluster-ID ausgeführt werden. my-redshift-cluster Andere Amazon-Redshift-Aktionen, die keine Berechtigungen auf Ressourcenebene für Cluster unterstützen, sind weiterhin zulässig. Eine Liste der Amazon-Redshift-Aktionen und ihrer entsprechenden Ressourcentypen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Redshift im IAM-Benutzerhandbuch. 


 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Im Folgenden finden Sie Beispiele für VPC-Endpunktrichtlinien für Redshift Serverless.

Die folgende VPC-Endpunktrichtlinie erlaubt nur AWS Konten123456789012, die angegebenen Redshift Serverless-Aktionen auszuführen.

Die angegebenen Aktionen entsprechen dem Nur-Lese-Zugriff für Redshift Serverless. Alle anderen Aktionen in der VPC werden dem angegebenen Konto verweigert. Allen anderen Konten wird außerdem jeglicher Zugriff verweigert. Eine Liste der Redshift Serverless-Aktionen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Redshift Serverless im IAM-Benutzerhandbuch.


  {
    "Statement": [
        {
            "Action": [
                "redshift-serverless:DescribeOneTimeCredit",
                "redshift-serverless:GetCustomDomainAssociation",
                "redshift-serverless:GetEndpointAccess",
                "redshift-serverless:GetNamespace",
                "redshift-serverless:GetRecoveryPoint",
                "redshift-serverless:GetResourcePolicy",
                "redshift-serverless:GetScheduledAction",
                "redshift-serverless:GetSnapshot",
                "redshift-serverless:GetTableRestoreStatus",
                "redshift-serverless:GetUsageLimit",
                "redshift-serverless:GetWorkgroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Die folgende VPC-Endpunktrichtlinie gewährt vollen Zugriff für alle Konten und Prinzipale. Gleichzeitig wird dem AWS Konto 123456789012 der Zugriff auf Aktionen verweigert, die in der Amazon Redshift Redshift-Arbeitsgruppe mit der Arbeitsgruppen-ID ausgeführt werden. my-redshift-workgroup Andere Amazon Redshift Redshift-Aktionen, die keine Berechtigungen auf Ressourcenebene für Arbeitsgruppen unterstützen, sind weiterhin zulässig. Eine Liste der Redshift Serverless-Aktionen und ihres entsprechenden Ressourcentyps finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Redshift Serverless im IAM-Benutzerhandbuch. 


 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:redshift-serverless:us-east-1:123456789012:workgroup:my-redshift-workgroup",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}