Amazon Redshift ne prendra plus en charge la création de nouveaux Python à UDFs partir du patch 198. UDFs Le Python existant continuera de fonctionner jusqu'au 30 juin 2026. Pour plus d’informations, consultez le [ billet de blog ](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration des options de sécurité des connexions
<a name="connecting-ssl-support"></a>

Amazon Redshift prend en charge les connexions SSL (Secure Sockets Layer) pour chiffrer les données et les certificats de serveur pour valider le certificat du serveur auquel le client se connecte. 

## SSL
<a name="connect-using-ssl"></a>

Pour prendre en charge les connexions SSL, Amazon Redshift crée et installe un certificat SSL émis par [AWS Certificate Manager (ACM)](https://aws.amazon.com/certificate-manager/) sur chaque cluster. Les certificats ACM sont publiquement approuvés par la plupart des systèmes d’exploitation, des navigateurs web et des clients. Vous pourriez devoir télécharger une solution groupée de certificats si vos clients ou applications SQL se connectent à Amazon Redshift en utilisant SSL avec l’option de connexion `sslmode` définie sur `require`, `verify-ca` ou `verify-full`. Si votre client a besoin d’un certificat, Amazon Redshift fournit un certificat de solution groupée comme suit :
+ Téléchargez le bundle depuis le [https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundlefichier .crt.](https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundle.crt) 
  + Le nombre de MD5 checksum attendu est 418dea9b6d5d5de7a8f1ac42e164cdcf.
  + Le numéro de total de contrôle sha256 est 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

  N’utilisez pas la solution groupée de certificats précédente qui se trouvait à l’adresse `https://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt`. 
+  En Chine Région AWS, téléchargez le bundle depuis [https://s3.cn-north-1.amazonaws.com. cn/redshift-downloads-cn/amazon- trust-ca-bundle .crt.](https://s3---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn/redshift-downloads-cn/amazon-trust-ca-bundle.crt) 
  + Le nombre de MD5 checksum attendu est 418dea9b6d5d5de7a8f1ac42e164cdcf.
  + Le numéro de total de contrôle sha256 est 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

  N’utilisez pas les solutions groupées de certificats antérieures qui se trouvait à l’adresse `https://s3---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn/redshift-downloads-cn/redshift-ca-bundle.crt` et `https://s3---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem`.

**Important**  
Amazon Redshift a changé la méthode de gestion des certificats SSL. Il se peut que vous ayez besoin de mettre à jour vos certificats actuels d’autorité de certification racine approuvée pour pouvoir continuer à vous connecter à vos clusters à l’aide du protocole SSL. Pour plus d'informations, consultez [Transition vers les certificats ACM pour les connexions SSL](connecting-transitioning-to-acm-certs.md).

Par défaut, les bases de données du cluster acceptent une connexion qu’elle s’appuie sur le protocole SSL ou non. Pour configurer votre cluster afin d’exiger une connexion SSL, définissez le paramètre `require_SSL` sur `true` dans le groupe de paramètres associé au cluster. 

Amazon Redshift prend en charge un mode SSL conforme à la norme Federal Information Processing Standard (FIPS) 140-2. Par défaut, le mode SSL conforme à la norme FIPS est désactivé. 

**Important**  
N’activez le mode SSL compatible FIPS que si votre système doit être compatible FIPS.

Pour activer le mode SSL conforme à la norme FIPS, définissez les paramètres `use_fips_ssl` et `require_SSL` sur `true` dans le groupe de paramètres associé au cluster Amazon Redshift ou le groupe de travail Redshift sans serveur. Pour plus d’informations sur la modification d’un groupe de paramètres sur un cluster, consultez [Groupes de paramètres Amazon Redshift](working-with-parameter-groups.md). Pour plus d’informations sur la modification d’un groupe de paramètres sur un groupe de travail, consultez [Configuration d’une connexion SSL conforme à FIPS à Amazon Redshift sans serveur](serverless-connecting.md#serverless_secure-fips-ssl). 

 Amazon Redshift prend en charge le protocole d’accord de clé Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). Avec le protocole ECDHE, le client et le serveur disposent chacun d’une paire de clés publiques-privées à courbes elliptiques qui permettent d’établir un secret partagé via un canal non sécurisé. Vous n’avez pas besoin de configurer quoi que ce soit dans Amazon Redshift pour activer ECDHE. Si vous vous connectez à partir d’un outil client SQL qui utilise le protocole ECDHE pour chiffrer les communications entre le client et le serveur, Amazon Redshift utilise la liste de chiffrement fournie pour établir les connexions appropriées. Pour plus d’informations, consultez [Elliptic curve diffie—hellman](https://en.wikipedia.org/wiki/Elliptic_curve_Diffie%E2%80%93Hellman) sur Wikipedia et [Ciphers](https://www.openssl.org/) sur le site d’OpenSSL. 

## Protocole SSL et certificats CA approuvés dans ODBC
<a name="connecting-ssl-support-odbc"></a>

Si vous vous connectez à l’aide des derniers pilotes ODBC Amazon Redshift (version 1.3.7.1000 ou ultérieure), vous pouvez ignorer cette section. Pour télécharger les pilotes les plus récents, consultez [Configuration d’une connexion pour le pilote ODBC version 2.x pour Amazon Redshift](odbc20-install.md). 

Il se peut que vous ayez besoin de mettre à jour vos certificats actuels d’autorité de certification racine approuvée pour pouvoir continuer à vous connecter à vos clusters à l’aide du protocole SSL. Pour de plus amples informations, veuillez consulter [SSL](#connect-using-ssl).

Vous pouvez vérifier que le certificat que vous avez téléchargé correspond au numéro de MD5 contrôle attendu. Pour ce faire, vous pouvez utiliser le programme MD5sum sur les systèmes d’exploitation Linux, ou un autre outil sur les systèmes d’exploitation Windows et macOS X.

 ODBC DSNs contient un `sslmode` paramètre qui détermine comment gérer le chiffrement pour les connexions client et la vérification des certificats de serveur. Amazon Redshift prend en charge les valeurs `sslmode` suivantes à partir de la connexion client : 
+ `disable`

  Le protocole SSL est désactivé et la connexion n’est pas chiffrée.
+ `allow`

  Le protocole SSL est utilisé si le serveur l’exige.
+ `prefer`

  Le protocole SSL est utilisé si le serveur le prend en charge. Amazon Redshift prend en charge le protocole SSL. Celui-ci est donc utilisé lorsque vous définissez le `sslmode` sur `prefer`.
+ `require`

  Le protocole SSL est obligatoire.
+ `verify-ca`

  Le protocole SSL doit être utilisé et le certificat de serveur doit être vérifié.
+ `verify-full`

  Le protocole SSL doit être utilisé. Le certificat de serveur doit être vérifié et le nom d’hôte du serveur doit correspondre à l’attribut de nom d’hôte sur le certificat. 

Vous pouvez déterminer si SSL est utilisé et les certificats de serveur sont vérifiés dans une connexion entre le client et le serveur. Pour ce faire, vous devez revoir le paramètre `sslmode` pour votre DSN ODBC sur le client et le paramètre `require_SSL` pour le cluster Amazon Redshift sur le serveur. Le tableau suivant décrit le résultat du chiffrement pour les différentes combinaisons de paramètres client et serveur : 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/redshift/latest/mgmt/connecting-ssl-support.html)

### Connexion à l’aide du certificat de serveur avec ODBC sous Microsoft Windows
<a name="connecting-ssl-support-odbc-with-cert"></a>

 Si vous souhaitez vous connecter à votre cluster en utilisant SSL et le certificat du serveur, téléchargez d’abord le certificat sur votre ordinateur client ou votre instance Amazon EC2. Configurez ensuite le DSN ODBC. 

1.  Téléchargez la solution groupée d’autorité de certification Amazon Redshift sur votre ordinateur client dans le dossier `lib` du répertoire d’installation de votre pilote, et enregistrez le fichier en tant que `root.crt`. Pour obtenir des informations sur le téléchargement, consultez [SSL](#connect-using-ssl).

1.  Ouvrez **Administrateur de sources de données ODBC** et ajoutez ou modifiez l’entrée de la DSN système pour votre connexion ODBC. Pour **Mode SSL**, sélectionnez `verify-full` à moins que vous n’utilisiez un alias DNS. Si vous utilisez un alias DNS, sélectionnez `verify-ca`. Ensuite, choisissez **Save** (Enregistrer). 

    Pour plus d’informations sur la configuration de la DSN ODBC, consultez [Configuration d’une connexion pour le pilote ODBC version 2.x pour Amazon Redshift](odbc20-install.md). 

## Protocole SSL et certificats de serveur dans Java
<a name="connecting-ssl-support-java"></a>

Le protocole SSL fournit une couche de sécurité en chiffrant les données qui se déplacent entre votre client et le cluster. L’utilisation d’un certificat de serveur fournit une couche supplémentaire de sécurité en validant que le cluster est un cluster Amazon Redshift. Pour cela, il vérifie le certificat de serveur installé automatiquement sur tous les clusters que vous mettez en service. Pour plus d’informations sur l’utilisation de certificats de serveur avec JDBC, accédez à la page de [configuration du client](https://jdbc.postgresql.org/documentation/ssl/#configuring-the-client) de la documentation sur PostgreSQL.

### Connexion à l’aide de certificats d’autorités de certification approuvées dans Java
<a name="connecting-ssl-support-java-with-cert"></a>

**Important**  
Amazon Redshift a changé la méthode de gestion des certificats SSL. Il se peut que vous ayez besoin de mettre à jour vos certificats actuels d’autorité de certification racine approuvée pour pouvoir continuer à vous connecter à vos clusters à l’aide du protocole SSL. Pour plus d'informations, consultez [SSL](#connect-using-ssl).

**Pour se connecter à l’aide de certificats d’autorités de certification approuvées**

Vous pouvez utiliser le `redshift-keytool.jar` fichier pour importer les certificats CA du bundle Amazon Redshift Certificate Authority dans un Java TrustStore ou dans un fichier privé. TrustStore

1. Si vous utilisez l’option de ligne de commande Java `-Djavax.net.ssl.trustStore`, supprimez-la de la ligne de commande, si possible.

1. Téléchargez [redshift-keytool.jar](https://s3.amazonaws.com/redshift-downloads/redshift-keytool.jar).

1. Effectuez l’une des actions suivantes :
   + Pour importer le bundle Amazon Redshift Certificate Authority dans un Java TrustStore, exécutez la commande suivante. 

     ```
     java -jar redshift-keytool.jar -s
     ```
   + Pour importer le bundle Amazon Redshift Certificate Authority dans votre compte privé TrustStore, exécutez la commande suivante : 

     ```
     java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 
     ```

# Transition vers les certificats ACM pour les connexions SSL
<a name="connecting-transitioning-to-acm-certs"></a>

Amazon Redshift remplace les certificats SSL sur vos clusters par des certificats émis par [AWS Certificate Manager (ACM)](https://aws.amazon.com/certificate-manager/). ACM est une autorité de certification publique de confiance, approuvée par la plupart des systèmes actuels. Il se peut que vous ayez besoin de mettre à jour vos certificats actuels d’autorité de certification racine approuvée pour pouvoir continuer à vous connecter à vos clusters à l’aide du protocole SSL. 

Cette modification ne vous affecte que si l’ensemble des conditions suivantes s’applique :
+  Vos clients ou applications SQL se connectent aux clusters Amazon Redshift à l’aide du protocole SSL avec l’option de connexion `sslMode` définie sur l’option de configuration `require`, `verify-ca` ou `verify-full`. 
+ Vous n’utilisez pas les pilotes ODBC ou JDBC d’Amazon Redshift, ou vous utilisez des pilotes Amazon Redshift antérieurs à ODBC version 1.3.7.1000 ou JDBC version 1.2.8.1005. 

Si ce changement vous affecte sur les régions commerciales Amazon Redshift, alors vous devez mettre à jour vos certificats AC racine de confiance actuels avant le 23 octobre 2017. Amazon Redshift assurera la transition de vos clusters afin qu’ils utilisent les certificats ACM entre aujourd’hui et le 23 octobre 2017. La modification n’aura aucun effet ou presque sur les performances ou la disponibilité de votre cluster.

Si cette modification vous concerne dans les régions AWS GovCloud (US) (États-Unis), vous devez mettre à jour vos certificats Trust Root CA actuels avant le 1er avril 2020 pour éviter toute interruption de service. À partir de cette date, les clients qui se connectent aux clusters Amazon Redshift en utilisant des connexions cryptées SSL ont besoin d’une autorité de certification (AC) de confiance supplémentaire. Les clients utilisent des autorités de certification de confiance pour confirmer l’identité du cluster Amazon Redshift lorsqu’ils s’y connectent. Votre action est requise pour mettre à jour vos clients et applications SQL afin d’utiliser un bundle de certificats mis à jour qui inclut la nouvelle autorité de certification approuvée. 

**Important**  
Dans les régions de Chine, le 5 janvier 2021, Amazon Redshift remplace les certificats SSL de vos clusters par des certificats émis AWS Certificate Manager (ACM). Si ce changement vous affecte sur la région de la Chine (Beijing) ou la région de la Chine (Ningxia), vous devez mettre à jour vos certificats d’autorité de certification racine approuvés actuels avant le 5 janvier 2021 pour éviter toute interruption de service. À partir de cette date, les clients qui se connectent aux clusters Amazon Redshift en utilisant des connexions cryptées SSL ont besoin d’une autorité de certification (AC) de confiance supplémentaire. Les clients utilisent des autorités de certification de confiance pour confirmer l’identité du cluster Amazon Redshift lorsqu’ils s’y connectent. Votre action est requise pour mettre à jour vos clients et applications SQL afin d’utiliser un bundle de certificats mis à jour qui inclut la nouvelle autorité de certification approuvée.
+ [Utilisation des derniers pilotes ODBC ou JDBC d’Amazon Redshift](#connecting-transitioning-to-acm-latest-odbc-jdbc)
+ [Utilisation de pilotes ODBC ou JDBC antérieurs d’Amazon Redshift](#connecting-transitioning-to-acm-earlier-odbc-jdbc)
+ [Utilisation d’autres types de connexion SSL](#connecting-transitioning-to-acm-other-ssl-types)

## Utilisation des derniers pilotes ODBC ou JDBC d’Amazon Redshift
<a name="connecting-transitioning-to-acm-latest-odbc-jdbc"></a>

La méthode privilégiée consiste à utiliser les derniers pilotes ODBC ou JDBC Amazon Redshift. Les pilotes Amazon Redshift à partir des versions ODBC 1.3.7.1000 et JDBC 1.2.8.1005 gèrent automatiquement la transition entre un certificat Amazon Redshift auto-signé et un certificat ACM. Pour télécharger les pilotes les plus récents, consultez [Configuration d’une connexion pour la version 2.x du pilote JDBC pour Amazon Redshift](jdbc20-install.md). 

Si vous utilisez le dernier pilote JDBC Amazon Redshift, il est préférable de ne pas utiliser `-Djavax.net.ssl.trustStore` dans les options JVM. Si vous devez utiliser `-Djavax.net.ssl.trustStore`, importez le bundle d’autorités de certification Redshift dans le truststore vers lequel il pointe. Pour obtenir des informations sur le téléchargement, consultez [SSL](connecting-ssl-support.md#connect-using-ssl). Pour plus d'informations, consultez [Importation du bundle d'autorités de certification Amazon Redshift dans un TrustStore](#importing-the-acm-bundle-to-truststore).

## Utilisation de pilotes ODBC ou JDBC antérieurs d’Amazon Redshift
<a name="connecting-transitioning-to-acm-earlier-odbc-jdbc"></a>
+ Si votre ODBC DSN est configuré avec `SSLCertPath`, remplacez le fichier de certificats dans le chemin spécifié.
+ Si `SSLCertPath` n’est pas défini, remplacez le fichier de certificat nommé `root.crt` dans l’emplacement DLL du pilote. 

Si vous devez utiliser un pilote JDBC Amazon Redshift antérieur à la version 1.2.8.1005, effectuez l’une des opérations suivantes :
+ Si votre chaîne de connexion JDBC utilise l’option `sslCert`, supprimez l’option `sslCert`. Importez ensuite le bundle d'autorités de certification Redshift dans votre Java. TrustStore Pour obtenir des informations sur le téléchargement, consultez [SSL](connecting-ssl-support.md#connect-using-ssl). Pour plus d'informations, consultez [Importation du bundle d'autorités de certification Amazon Redshift dans un TrustStore](#importing-the-acm-bundle-to-truststore). 
+ Si vous utilisez l’option de ligne de commande Java `-Djavax.net.ssl.trustStore`, supprimez-la de la ligne de commande, si possible. Importez ensuite le bundle d'autorités de certification Redshift dans votre Java. TrustStore Pour obtenir des informations sur le téléchargement, consultez [SSL](connecting-ssl-support.md#connect-using-ssl). Pour de plus amples informations, veuillez consulter [Importation du bundle d'autorités de certification Amazon Redshift dans un TrustStore](#importing-the-acm-bundle-to-truststore).

### Importation du bundle d'autorités de certification Amazon Redshift dans un TrustStore
<a name="importing-the-acm-bundle-to-truststore"></a>

Vous pouvez les utiliser `redshift-keytool.jar` pour importer les certificats CA du bundle Amazon Redshift Certificate Authority dans un environnement Java TrustStore ou dans votre boutique de confiance privée.

**Pour importer le bundle d'autorités de certification Amazon Redshift dans un TrustStore**

1. Téléchargez [redshift-keytool.jar](https://s3.amazonaws.com/redshift-downloads/redshift-keytool.jar).

1. Effectuez l’une des actions suivantes :
   + Pour importer le bundle Amazon Redshift Certificate Authority dans un Java TrustStore, exécutez la commande suivante. 

     ```
     java -jar redshift-keytool.jar -s
     ```
   + Pour importer le bundle Amazon Redshift Certificate Authority dans votre compte privé TrustStore, exécutez la commande suivante : 

     ```
     java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 
     ```

## Utilisation d’autres types de connexion SSL
<a name="connecting-transitioning-to-acm-other-ssl-types"></a>

Si vous souhaitez vous connecter à l’aide de l’une des solutions ci-dessous, suivez les étapes décrites dans cette section :
+  Pilote ODBC open source 
+  Pilote JDBC open source 
+  Interface de ligne de commande [Amazon Redshift RSQL](https://docs.aws.amazon.com/redshift/latest/mgmt/rsql-query-tool.html) 
+  Toute liaison de langages basée sur libpq, telle que psycopg2 (Python) et ruby-pg (Ruby) 

**Pour utiliser les certificats ACM avec d’autres types de connexion SSL :**

1.  Téléchargez le Paquet d’autorité de certification Amazon Redshift. Pour obtenir des informations sur le téléchargement, consultez [SSL](connecting-ssl-support.md#connect-using-ssl).

1. Placez les certificats du bundle dans votre fichier `root.crt`. 
   + Sur les systèmes d’exploitation Linux et macOS X, le fichier est `~/.postgresql/root.crt`
   + Sous Microsoft Windows, le fichier est `%APPDATA%\postgresql\root.crt`