Amazon Redshift ne prendra plus en charge la création de nouveaux Python à UDFs partir du patch 198. UDFs Le Python existant continuera de fonctionner jusqu'au 30 juin 2026. Pour plus d’informations, consultez le billet de blog
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles de chiffrement VPC avec Amazon Redshift
Amazon Redshift prend en charge les contrôles de chiffrement VPC, une fonctionnalité de sécurité qui vous aide à appliquer le chiffrement en transit pour tout le trafic à l'intérieur et à travers VPCs une région. Ce document explique comment utiliser les contrôles de chiffrement VPC avec les clusters Amazon Redshift et les groupes de travail sans serveur.
Les contrôles de chiffrement VPC fournissent un contrôle centralisé pour surveiller et appliquer le chiffrement en transit au sein de votre entreprise. VPCs Lorsqu'il est activé en mode Enforce, il garantit que tout le trafic réseau est crypté soit au niveau de la couche matérielle (avec AWS Nitro System) soit au niveau de la couche application (avec TLS/SSL).
Amazon Redshift s'intègre aux contrôles de chiffrement VPC pour vous aider à répondre aux exigences de conformité dans des secteurs tels que la santé (HIPAA), le gouvernement (FedRAMP) et les finances (PCI DSS).
Comment fonctionnent les contrôles de chiffrement VPC avec Amazon Redshift
Les contrôles de chiffrement VPC fonctionnent selon deux modes :
-
Mode surveillance : fournit une visibilité sur l'état de chiffrement des flux de trafic et aide à identifier les ressources qui autorisent le trafic non chiffré.
-
Mode d'application : empêche la création ou l'utilisation de ressources qui autorisent le trafic non chiffré au sein du VPC. Tout le trafic doit être chiffré au niveau de la couche matérielle (instances basées sur Nitro) ou de la couche application (TLS/SSL).
Exigences relatives à l'utilisation des contrôles de chiffrement VPC
Exigences relatives au type d'instance
Amazon Redshift nécessite des instances basées sur Nitro pour prendre en charge les contrôles de chiffrement VPC. Tous les types d'instances Redshift modernes prennent en charge les fonctionnalités de chiffrement nécessaires.
Exigences SSL/TLS
Lorsque les contrôles de chiffrement VPC sont activés en mode d'application, le paramètre require_ssl doit être défini sur true et ne peut pas être désactivé. Cela garantit que toutes les connexions client utilisent des connexions TLS cryptées.
Migration vers les contrôles de chiffrement VPC
Pour les clusters et groupes de travail existants
Vous ne pouvez pas activer les contrôles de chiffrement VPC en mode renforcé sur un VPC qui contient des clusters Redshift ou des groupes de travail sans serveur existants. Consultez les étapes suivantes pour utiliser les contrôles de chiffrement si vous possédez déjà un cluster ou un groupe de travail :
-
Créez un instantané de votre cluster ou espace de noms existant
-
Créez un nouveau VPC avec les contrôles de chiffrement VPC activés en mode d'application
-
Effectuez une restauration depuis le snapshot vers le nouveau VPC à l'aide de l'une des opérations suivantes :
-
Pour les clusters provisionnés : utilisez l'opération
restore-from-cluster-snapshot -
Pour le mode sans serveur : utilisez l'
restore-from-snapshotopération sur votre groupe de travail
-
Lorsque vous créez de nouveaux clusters ou groupes de travail dans un VPC avec les contrôles de chiffrement activés, le paramètre require_ssl doit être défini sur true.
Amazon Redshift nécessite des instances basées sur Nitro pour prendre en charge les contrôles de chiffrement VPC. Tous les types d'instances Redshift modernes prennent en charge les fonctionnalités de chiffrement nécessaires.
Exigences SSL/TLS
Lorsque les contrôles de chiffrement VPC sont activés en mode d'application, le paramètre require_ssl doit être défini sur true et ne peut pas être désactivé. Cela garantit que toutes les connexions client utilisent des connexions TLS cryptées.
Considérations et restrictions
Lorsque vous utilisez les contrôles de chiffrement VPC dans Amazon Redshift, tenez compte des points suivants :
Restrictions relatives à l'état du VPC
-
La création de clusters et de groupes de travail est bloquée lorsque les contrôles de chiffrement VPC sont activés
enforce-in-progress -
Vous devez attendre que le VPC passe en
enforcemode mode avant de créer de nouvelles ressources
Configuration du protocole SSL
-
Paramètre require_ssl : doit toujours être destiné aux clusters et aux groupes de travail créés dans
truele cadre d'une procédure de chiffrement appliquée VPCs -
Une fois qu'un cluster ou un groupe de travail est créé dans un VPC à chiffrement renforcé
require_ssl, il ne peut pas être désactivé pendant toute sa durée de vie
Disponibilité dans les Régions
Cette fonctionnalité n'est pas disponible en mode d'application avec Amazon Redshift Serverless dans les régions suivantes :
-
Amérique du Sud (São Paulo)
-
Europe (Zurich)
