Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im [Blog-Posting](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Infrastruktursicherheit in Amazon Redshift
Als verwalteter Service ist Amazon Redshift durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Redshift zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
## Netzwerkisolierung
Eine virtuelle private Cloud (VPC), die auf dem Amazon VPC-Service basiert, ist Ihr privates, logisch isoliertes Netzwerk in der Cloud. AWS Sie können einen Amazon-Redshift-Cluster oder eine Redshift-Serverless-Arbeitsgruppe in einer VPC bereitstellen, indem Sie die folgenden Schritte ausführen:
+ Erstellen Sie eine VPC in einer AWS Region. Weitere Informationen finden Sie unter [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) im *Amazon-VPC-Benutzerhandbuch*.
+ Erstellen Sie zwei oder mehr private VPC-Subnetze. Weitere Informationen finden Sie unter [VPCs Subnetze](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html) im *Amazon VPC-Benutzerhandbuch*.
+ Bereitstellen eines Amazon-Redshift-Clusters oder einer Redshift-Serverless-Arbeitsgruppe Für weitere Informationen siehe [Subnetze für Redshift-Ressourcen](working-with-cluster-subnet-groups.md) oder [Arbeitsgruppen und Namespaces](serverless-workgroup-namespace.md).
Ein Amazon-Redshift-Cluster ist bei der Bereitstellung standardmäßig gesperrt. Um eingehenden Netzwerkverkehr von Amazon-Redshift-Clients zuzulassen, ordnen Sie eine VPC-Sicherheitsgruppe einem Amazon-Redshift-Cluster zu. Weitere Informationen finden Sie unter [Subnetze für Redshift-Ressourcen](working-with-cluster-subnet-groups.md).
Um Datenverkehr nur in oder von bestimmten IP-Adressbereichen zuzulassen, aktualisieren Sie die Sicherheitsgruppen mit Ihrer VPC. Ein Beispiel ist, Datenverkehr nur von oder zu Ihrem Unternehmensnetzwerk zuzulassen.
Stellen Sie bei der Konfiguration von Netzwerkzugriffskontrolllisten für die Subnetze, mit denen Ihr Amazon Redshift Redshift-Cluster gekennzeichnet ist, sicher, dass die S3-CIDR-Bereiche der jeweiligen AWS Region der Zulassungsliste sowohl für Eingangs- als auch Ausgangsregeln hinzugefügt werden. Auf diese Weise können Sie S3-basierte Vorgänge wie Redshift Spectrum, COPY und UNLOAD ohne Unterbrechungen ausführen.
Der folgende Beispielbefehl analysiert die JSON-Antwort für alle IPv4 Adressen, die in Amazon S3 in der Region us-east-1 verwendet werden.
```
curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'
54.231.0.0/17
52.92.16.0/20
52.216.0.0/15
```
Anweisungen zum Abrufen von S3-IP-Bereichen für eine bestimmte Region finden Sie unter [AWS -IP-Adressbereiche](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html).
Amazon Redshift unterstützt die Bereitstellung von Clustern in einem dedizierten VPCs Mandantenverhältnis. Weitere Informationen finden Sie unter [Dedicated Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) im *Amazon EC2-Benutzerhandbuch*.
## Amazon-Redshift-Sicherheitsgruppen
Wenn Sie einen Amazon-Redshift-Cluster bereitstellen, ist dieser standardmäßig gesperrt, so dass niemand darauf zugreifen kann. Um anderen Benutzern eingehenden Zugriff auf einen Amazon-Redshift-Cluster zu gewähren, ordnen Sie den Cluster einer Sicherheitsgruppe zu. Wenn Sie auf der EC2-VPC-Plattform arbeiten, können Sie eine vorhandene Amazon-VPC-Sicherheitsgruppe verwenden oder eine neue definieren und diese dann einem Cluster zuordnen. Weitere Informationen zur Verwaltung eines Clusters auf der EC2-VPC-Plattform finden Sie unter [Redshift-Ressourcen in einer VPC](managing-clusters-vpc.md).
## Schnittstellen-VPC-Endpunkte
Sie können sich über einen Schnittstellen-VPC-Endpunkt (AWS PrivateLink) in Ihrer Virtual Private Cloud (VPC) direkt mit der Amazon-Redshift- und der Amazon-Redshift-Serverless-API verbinden, anstatt eine Verbindung über das Internet herzustellen. Weitere Informationen zu den Amazon Redshift API-Aktionen finden Sie unter [Aktionen](https://docs.aws.amazon.com/redshift/latest/APIReference/API_Operations.html) in der *Amazon-Redshift-API-Referenz*. Weitere Informationen zu den API-Aktionen von Redshift Serverless finden Sie unter [Aktionen](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_Operations.html) in der *API-Referenz zu Amazon Redshift Serverless*. Weitere Informationen über AWS PrivateLink finden Sie unter [Schnittstellen-VPC-Endpunkte (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)im *Amazon-VPC-Benutzerhandbuch*. Beachten Sie, dass die JDBC/ODBC Verbindung zum Cluster oder Workspace nicht Teil des Amazon Redshift API-Service ist.
Wenn Sie einen VPC-Endpunkt mit Schnittstelle verwenden, erfolgt die Kommunikation zwischen Ihrer VPC und Amazon Redshift oder Redshift Serverless vollständig innerhalb des AWS Netzwerks, was für mehr Sicherheit sorgen kann. Jeder VPC-Endpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert. Weitere Informationen zu Elastic Network-Schnittstellen finden Sie unter [Elastic Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) im *Amazon EC2 Benutzerhandbuch.*
Ein Schnittstellen-VPC Endpunkt verbindet Ihre VPC direkt mit Amazon Redshift. Es verwendet kein Internet-Gateway, kein NAT-Gerät (Network Address Translation), keine VPN-Verbindung (Virtual Private Network) oder eine Verbindung. Direct Connect Die Instances in Ihrer VPC benötigen für die Kommunikation mit der Amazon Redshift API keine öffentlichen IP-Adressen.
Um Amazon Redshift oder Redshift Serverless über Ihre VPC zu verwenden, haben Sie zwei Optionen. Eine besteht darin, eine Verbindung von einer Instance innerhalb Ihrer VPC herzustellen. Die andere Möglichkeit besteht darin, Ihr privates Netzwerk mithilfe einer Site-to-Site VPN Option oder Direct Connect mit Ihrer VPC zu verbinden. Weitere Informationen zu den Site-to-Site VPN Optionen finden Sie unter [VPN-Verbindungen](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) im *Amazon VPC-Benutzerhandbuch*. Informationen zu Direct Connect finden Sie unter [Erstellen einer Verbindung](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) im *Direct Connect -Benutzerhandbuch*.
Sie können einen VPC-Schnittstellen-Endpunkt erstellen, um mit den Befehlen AWS-Managementkonsole oder AWS Command Line Interface (AWS CLI) eine Verbindung zu Amazon Redshift herzustellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).
Nachdem Sie einen Schnittstellen-VPC-Endpunkt erstellt haben, können Sie private DNS-Hostnamen für den Endpunkt aktivieren. Wenn Sie dies tun, ist der Standardendpunkt wie folgt:
+ **Von Amazon Redshift bereitgestellt**: `https://redshift.Region.amazonaws.com`
+ **Amazon Redshift Serverless**: `https://redshift-serverless.Region.amazonaws.com`
Wenn Sie private DNS-Hostnamen nicht aktivieren, stellt Amazon VPC einen DNS-Endpunktnamen bereit, den Sie im folgenden Format verwenden können.
+ **Von Amazon Redshift bereitgestellt**: `VPC_endpoint_ID.redshift.Region.vpce.amazonaws.com`
+ **Amazon Redshift Serverless**: `VPC_endpoint_ID.redshift-serverless.Region.vpce.amazonaws.com`
Weitere Informationen finden Sie unter [Schnittstellen-VPC-Endpunkte (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) im *Amazon-VPC-Benutzerhandbuch*.
Amazon Redshift und Redshift Serverless unterstützen Aufrufe aller [API-Operationen von Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/APIReference/API_Operations.html) und [API-Operationen von Redshift Serverless](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_Operations.html) innerhalb der VPC.
Sie können VPC-Endpunktrichtlinien an einen VPC-Endpunkt anfügen, um den Zugriff für AWS Identity and Access Management (IAM)-Prinzipale zu steuern. Sie können einem VPC-Endpunkt auch Sicherheitsgruppen zuordnen, um den eingehenden und ausgehenden Zugriff basierend auf Quelle und Ziel des Netzwerkdatenverkehrs zu steuern. Ein Beispiel ist ein IP-Adressbereich. Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon VPC User Guide*.
### Richtlinien für Amazon-VPC-Endpunkte für Amazon Redshift
Sie können eine Richtlinie für VPC-Endpunkte für Amazon Redshift erstellen, in der Sie Folgendes angeben:
+ Prinzipal, der Aktionen ausführen bzw. nicht ausführen kann
+ Aktionen, die ausgeführt werden können
+ Ressourcen, für die Aktionen ausgeführt werden können
Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*.
Im Folgenden finden Sie Beispiele für VPC-Endpunktrichtlinien.
#### Beispiele für Richtlinien für von Amazon Redshift bereitgestellte Endpunkte
Nachfolgend finden Sie Beispiele für VPC-Endpunktrichtlinien für von Amazon Redshift bereitgestellte Endpunkte.
##### Beispiel: VPC-Endpunktrichtlinie, um jeglichen Zugriff von einem bestimmten AWS Konto aus zu verweigern
Die folgende VPC-Endpunktrichtlinie verweigert dem AWS Konto `123456789012` jeglichen Zugriff auf Ressourcen, die diesen Endpunkt verwenden.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "*",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```
##### Beispiel: VPC-Endpunktrichtlinie, die nur einer angegebenen IAM-Rolle VPC-Zugriff gewährt
Die folgende VPC-Endpunktrichtlinie ermöglicht vollen Zugriff nur auf die IAM-Rolle *`redshiftrole`* im AWS Konto. *123456789012* Allen anderen IAM-Prinzipalen wird der Zugriff über den Endpunkt verweigert.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:role/redshiftrole"
]
}
}]
}
```
Dies ist nur ein Beispiel. In den meisten Anwendungsfällen empfehlen wir, Berechtigungen für bestimmte Aktionen anzufügen, um den Umfang der Berechtigungen einzuschränken.
##### Beispiel: VPC-Endpunktrichtlinie, die nur einem angegebenen IAM-Prinzipal (Benutzer) VPC-Zugriff gewährt
Die folgende VPC-Endpunktrichtlinie ermöglicht vollen Zugriff nur für das IAM-Benutzerkonto*`redshiftadmin`*. AWS *123456789012* Allen anderen IAM-Prinzipalen wird der Zugriff über den Endpunkt verweigert.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/redshiftadmin"
]
}
}]
}
```
Dies ist nur ein Beispiel. In den meisten Anwendungsfällen empfehlen wir, einer Rolle Berechtigungen anzufügen, bevor Sie sie einem Benutzer zuweisen. Darüber hinaus empfehlen wir, spezifische Aktionen zu verwenden, um den Umfang der Berechtigungen einzuschränken.
##### Beispiel: VPC-Endpunktrichtlinie zum Zulassen schreibgeschützter Amazon-Redshift-Vorgänge
Die folgende VPC-Endpunktrichtlinie erlaubt nur AWS Konten*`123456789012`*, die angegebenen Amazon Redshift Redshift-Aktionen auszuführen.
Die angegebenen Aktionen stellen das Äquivalent von schreibgeschütztem Zugriff für Amazon Redshift dar. Alle anderen Aktionen in der VPC werden dem angegebenen Konto verweigert. Allen anderen Konten wird außerdem jeglicher Zugriff verweigert. Eine Liste der Amazon-Redshift-Aktionen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Redshift](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonredshift.html) im *IAM-Benutzerhandbuch*.
```
{
"Statement": [
{
"Action": [
"redshift:DescribeAccountAttributes",
"redshift:DescribeClusterParameterGroups",
"redshift:DescribeClusterParameters",
"redshift:DescribeClusterSecurityGroups",
"redshift:DescribeClusterSnapshots",
"redshift:DescribeClusterSubnetGroups",
"redshift:DescribeClusterVersions",
"redshift:DescribeDefaultClusterParameters",
"redshift:DescribeEventCategories",
"redshift:DescribeEventSubscriptions",
"redshift:DescribeHsmClientCertificates",
"redshift:DescribeHsmConfigurations",
"redshift:DescribeLoggingStatus",
"redshift:DescribeOrderableClusterOptions",
"redshift:DescribeQuery",
"redshift:DescribeReservedNodeOfferings",
"redshift:DescribeReservedNodes",
"redshift:DescribeResize",
"redshift:DescribeSavedQueries",
"redshift:DescribeScheduledActions",
"redshift:DescribeSnapshotCopyGrants",
"redshift:DescribeSnapshotSchedules",
"redshift:DescribeStorage",
"redshift:DescribeTable",
"redshift:DescribeTableRestoreStatus",
"redshift:DescribeTags",
"redshift:FetchResults",
"redshift:GetReservedNodeExchangeOfferings"
],
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```
##### Beispiel: VPC-Endpunktrichtlinie, die den Zugriff auf einen angegebenen Cluster verweigert
Die folgende VPC-Endpunktrichtlinie gewährt vollen Zugriff für alle Konten und Prinzipale. Gleichzeitig wird jeder AWS *`123456789012`* Kontozugriff auf Aktionen verweigert, die auf dem Amazon Redshift Redshift-Cluster mit Cluster-ID ausgeführt werden. `my-redshift-cluster` Andere Amazon-Redshift-Aktionen, die keine Berechtigungen auf Ressourcenebene für Cluster unterstützen, sind weiterhin zulässig. Eine Liste der Amazon-Redshift-Aktionen und ihrer entsprechenden Ressourcentypen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Redshift](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonredshift.html) im *IAM-Benutzerhandbuch*.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```
#### Beispiele für Richtlinien für Endpunkte von Amazon Redshift Serverless
Nachfolgend finden Sie Beispiele für Richtlinien für VPC-Endpunkte von Redshift Serverless.
##### Beispiel: VPC-Endpunktrichtlinie zum Zulassen schreibgeschützter Redshift-Serverless-Vorgänge
Die folgende VPC-Endpunktrichtlinie erlaubt nur AWS Konten*`123456789012`*, die angegebenen Redshift Serverless-Aktionen auszuführen.
Die angegebenen Aktionen stellen das Äquivalent von schreibgeschütztem Zugriff für Redshift Serverless dar. Alle anderen Aktionen in der VPC werden dem angegebenen Konto verweigert. Allen anderen Konten wird außerdem jeglicher Zugriff verweigert. Eine Liste der Redshift-Serverless-Aktionen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Redshift Serverless](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonredshiftserverless.html) im *IAM-Benutzerhandbuch*.
```
{
"Statement": [
{
"Action": [
"redshift-serverless:DescribeOneTimeCredit",
"redshift-serverless:GetCustomDomainAssociation",
"redshift-serverless:GetEndpointAccess",
"redshift-serverless:GetNamespace",
"redshift-serverless:GetRecoveryPoint",
"redshift-serverless:GetResourcePolicy",
"redshift-serverless:GetScheduledAction",
"redshift-serverless:GetSnapshot",
"redshift-serverless:GetTableRestoreStatus",
"redshift-serverless:GetUsageLimit",
"redshift-serverless:GetWorkgroup"
],
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```
##### Beispiel: VPC-Endpunktrichtlinie, die den Zugriff auf eine angegebene Arbeitsgruppe verweigert
Die folgende VPC-Endpunktrichtlinie gewährt vollen Zugriff für alle Konten und Prinzipale. Gleichzeitig wird dem AWS Konto *`123456789012`* der Zugriff auf Aktionen verweigert, die in der Amazon Redshift Redshift-Arbeitsgruppe mit der Arbeitsgruppen-ID ausgeführt werden. `my-redshift-workgroup` Andere Amazon-Redshift-Aktionen, die keine Berechtigungen auf Ressourcenebene für Arbeitsgruppen unterstützen, sind weiterhin zulässig. Eine Liste der Redshift-Serverless-Aktionen und ihrer entsprechenden Ressourcentypen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Redshift Serverless](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonredshiftserverless.html) im *IAM-Benutzerhandbuch*.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "arn:aws:redshift-serverless:us-east-1:123456789012:workgroup:my-redshift-workgroup",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```