Configuration des options de sécurité des connexions - Amazon Redshift
SSLProtocole SSL et certificats CA approuvés dans ODBCProtocole SSL et certificats de serveur dans Java

Amazon Redshift ne prendra plus en charge la création de nouvelles fonctions Python définies par l’utilisateur à compter du 1er novembre 2025. Si vous souhaitez utiliser des fonctions Python définies par l’utilisateur, créez-les avant cette date. Les fonctions Python définies par l’utilisateur existantes continueront de fonctionner normalement. Pour plus d’informations, consultez le billet de blog .

Configuration des options de sécurité des connexions

Amazon Redshift prend en charge les connexions SSL (Secure Sockets Layer) pour chiffrer les données et les certificats de serveur pour valider le certificat du serveur auquel le client se connecte.

SSL

Pour prendre en charge les connexions SSL, Amazon Redshift crée et installe un certificat SSL émis par AWS Certificate Manager (ACM) sur chaque cluster. Les certificats ACM sont publiquement approuvés par la plupart des systèmes d’exploitation, des navigateurs web et des clients. Vous pourriez devoir télécharger une solution groupée de certificats si vos clients ou applications SQL se connectent à Amazon Redshift en utilisant SSL avec l’option de connexion sslmode définie sur require, verify-ca ou verify-full. Si votre client a besoin d’un certificat, Amazon Redshift fournit un certificat de solution groupée comme suit :

  • Téléchargez la solution groupée depuis https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundle.crt.

    • Le numéro de total de contrôle MD5 prévu est 418dea9b6d5d5de7a8f1ac42e164cdcf.

    • Le numéro de total de contrôle sha256 est 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

    N’utilisez pas la solution groupée de certificats précédente qui se trouvait à l’adresse https://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt.

  • Dans la Région AWS de Chine, téléchargez la solution groupée depuis https://s3---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn/redshift-downloads-cn/amazon-trust-ca-bundle.crt.

    • Le numéro de total de contrôle MD5 prévu est 418dea9b6d5d5de7a8f1ac42e164cdcf.

    • Le numéro de total de contrôle sha256 est 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

    N’utilisez pas les solutions groupées de certificats antérieures qui se trouvait à l’adresse https://s3---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn/redshift-downloads-cn/redshift-ca-bundle.crt et https://s3---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem.

Important

Amazon Redshift a changé la méthode de gestion des certificats SSL. Il se peut que vous ayez besoin de mettre à jour vos certificats actuels d’autorité de certification racine approuvée pour pouvoir continuer à vous connecter à vos clusters à l’aide du protocole SSL. Pour plus d'informations, consultez Transition vers les certificats ACM pour les connexions SSL.

Par défaut, les bases de données du cluster acceptent une connexion qu’elle s’appuie sur le protocole SSL ou non. Pour configurer votre cluster afin d’exiger une connexion SSL, définissez le paramètre require_SSL sur true dans le groupe de paramètres associé au cluster.

Amazon Redshift prend en charge un mode SSL conforme à la norme Federal Information Processing Standard (FIPS) 140-2. Par défaut, le mode SSL conforme à la norme FIPS est désactivé.

Important

N’activez le mode SSL compatible FIPS que si votre système doit être compatible FIPS.

Pour activer le mode SSL conforme à la norme FIPS, définissez les paramètres use_fips_ssl et require_SSL sur true dans le groupe de paramètres associé au cluster Amazon Redshift ou le groupe de travail Redshift sans serveur. Pour plus d’informations sur la modification d’un groupe de paramètres sur un cluster, consultez Groupes de paramètres Amazon Redshift. Pour plus d’informations sur la modification d’un groupe de paramètres sur un groupe de travail, consultez Configuration d’une connexion SSL conforme à FIPS à Amazon Redshift sans serveur .

Amazon Redshift prend en charge le protocole d’accord de clé Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). Avec le protocole ECDHE, le client et le serveur disposent chacun d’une paire de clés publiques-privées à courbes elliptiques qui permettent d’établir un secret partagé via un canal non sécurisé. Vous n’avez pas besoin de configurer quoi que ce soit dans Amazon Redshift pour activer ECDHE. Si vous vous connectez à partir d’un outil client SQL qui utilise le protocole ECDHE pour chiffrer les communications entre le client et le serveur, Amazon Redshift utilise la liste de chiffrement fournie pour établir les connexions appropriées. Pour plus d’informations, consultez Elliptic curve diffie—hellman sur Wikipedia et Ciphers sur le site d’OpenSSL.

Protocole SSL et certificats CA approuvés dans ODBC

Si vous vous connectez à l’aide des derniers pilotes ODBC Amazon Redshift (version 1.3.7.1000 ou ultérieure), vous pouvez ignorer cette section. Pour télécharger les pilotes les plus récents, consultez Configuration d’une connexion pour le pilote ODBC version 2.x pour Amazon Redshift.

Il se peut que vous ayez besoin de mettre à jour vos certificats actuels d’autorité de certification racine approuvée pour pouvoir continuer à vous connecter à vos clusters à l’aide du protocole SSL. Pour plus d'informations, consultez SSL.

Vous pouvez vérifier que le certificat que vous avez téléchargé correspond au chiffre de la somme de contrôle MD5 attendu. Pour ce faire, vous pouvez utiliser le programme MD5sum sur les systèmes d’exploitation Linux, ou un autre outil sur les systèmes d’exploitation Windows et macOS X.

Les DSN ODBC contiennent un paramètre sslmode qui détermine comment gérer le cryptage pour les connexions client et la vérification du certificat du serveur. Amazon Redshift prend en charge les valeurs sslmode suivantes à partir de la connexion client :

  • disable

    Le protocole SSL est désactivé et la connexion n’est pas chiffrée.

  • allow

    Le protocole SSL est utilisé si le serveur l’exige.

  • prefer

    Le protocole SSL est utilisé si le serveur le prend en charge. Amazon Redshift prend en charge le protocole SSL. Celui-ci est donc utilisé lorsque vous définissez le sslmode sur prefer.

  • require

    Le protocole SSL est obligatoire.

  • verify-ca

    Le protocole SSL doit être utilisé et le certificat de serveur doit être vérifié.

  • verify-full

    Le protocole SSL doit être utilisé. Le certificat de serveur doit être vérifié et le nom d’hôte du serveur doit correspondre à l’attribut de nom d’hôte sur le certificat.

Vous pouvez déterminer si SSL est utilisé et les certificats de serveur sont vérifiés dans une connexion entre le client et le serveur. Pour ce faire, vous devez revoir le paramètre sslmode pour votre DSN ODBC sur le client et le paramètre require_SSL pour le cluster Amazon Redshift sur le serveur. Le tableau suivant décrit le résultat du chiffrement pour les différentes combinaisons de paramètres client et serveur :

sslmode (client) require_SSL (serveur) Résultat
disable false La connexion n’est pas chiffrée.
disable true La connexion ne peut pas être établie, car le serveur requiert le protocole SSL qui est désactivé sur le client pour la connexion.
allow true La connexion est chiffrée.
allow false La connexion n’est pas chiffrée.
prefer or require true La connexion est chiffrée.
prefer or require false La connexion est chiffrée.
verify-ca true La connexion est chiffrée et le certificat de serveur est vérifié.
verify-ca false La connexion est chiffrée et le certificat de serveur est vérifié.
verify-full true La connexion est chiffrée et le certificat de serveur et le nom d’hôte sont vérifiés.
verify-full false La connexion est chiffrée et le certificat de serveur et le nom d’hôte sont vérifiés.

Connexion à l’aide du certificat de serveur avec ODBC sous Microsoft Windows

Si vous souhaitez vous connecter à votre cluster en utilisant SSL et le certificat du serveur, téléchargez d’abord le certificat sur votre ordinateur client ou votre instance Amazon EC2. Configurez ensuite le DSN ODBC.

  1. Téléchargez la solution groupée d’autorité de certification Amazon Redshift sur votre ordinateur client dans le dossier lib du répertoire d’installation de votre pilote, et enregistrez le fichier en tant que root.crt. Pour obtenir des informations sur le téléchargement, consultez SSL.

  2. Ouvrez Administrateur de sources de données ODBC et ajoutez ou modifiez l’entrée de la DSN système pour votre connexion ODBC. Pour Mode SSL, sélectionnez verify-full à moins que vous n’utilisiez un alias DNS. Si vous utilisez un alias DNS, sélectionnez verify-ca. Ensuite, choisissez Save (Enregistrer).

    Pour plus d’informations sur la configuration de la DSN ODBC, consultez Configuration d’une connexion pour le pilote ODBC version 2.x pour Amazon Redshift.

Protocole SSL et certificats de serveur dans Java

Le protocole SSL fournit une couche de sécurité en chiffrant les données qui se déplacent entre votre client et le cluster. L’utilisation d’un certificat de serveur fournit une couche supplémentaire de sécurité en validant que le cluster est un cluster Amazon Redshift. Pour cela, il vérifie le certificat de serveur installé automatiquement sur tous les clusters que vous mettez en service. Pour plus d’informations sur l’utilisation de certificats de serveur avec JDBC, accédez à la page de configuration du client de la documentation sur PostgreSQL.

Connexion à l’aide de certificats d’autorités de certification approuvées dans Java

Important

Amazon Redshift a changé la méthode de gestion des certificats SSL. Il se peut que vous ayez besoin de mettre à jour vos certificats actuels d’autorité de certification racine approuvée pour pouvoir continuer à vous connecter à vos clusters à l’aide du protocole SSL. Pour plus d'informations, consultez SSL.

Pour se connecter à l’aide de certificats d’autorités de certification approuvées

Vous pouvez utiliser le fichier redshift-keytool.jar pour importer des certificats d’AC dans le paquet d’autorité de certification Amazon Redshift dans un TrustStore Java ou votre TrustStore privé.

  1. Si vous utilisez l’option de ligne de commande Java -Djavax.net.ssl.trustStore, supprimez-la de la ligne de commande, si possible.

  2. Téléchargez redshift-keytool.jar.

  3. Effectuez l’une des actions suivantes :

    • Pour importer le paquet d’autorité de certification Amazon Redshift dans un TrustStore Java, exécutez la commande suivante. 

      java -jar redshift-keytool.jar -s

    • Pour importer le paquet d’autorité de certification Amazon Redshift dans votre TrustStore privé, exécutez la commande suivante : 

      java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password>