Amazon Redshift tidak akan lagi mendukung pembuatan Python UDFs baru mulai 1 November 2025. Jika Anda ingin menggunakan Python UDFs, buat UDFs sebelum tanggal tersebut. Python yang ada UDFs akan terus berfungsi seperti biasa. Untuk informasi lebih lanjut, lihat posting blog
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keamanan infrastruktur di Amazon Redshift
Sebagai layanan terkelola, Amazon Redshift dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon Redshift melalui jaringan. Klien harus mendukung hal-hal berikut:
-
Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
-
Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan prinsipal IAM. Atau, Anda bisa menggunakan AWS Security Token Service (AWS STS) untuk membuat kredensial keamanan sementara untuk menandatangani permintaan.
Isolasi jaringan
Virtual Private Cloud (VPC) berbasis layanan Amazon VPC adalah jaringan pribadi Anda yang terisolasi secara logis di Cloud. AWS Anda dapat menerapkan cluster Amazon Redshift atau workgroup Redshift Serverless dalam VPC dengan mengambil langkah-langkah berikut:
-
Buat VPC di Wilayah. AWS Untuk informasi lebih lanjut, lihat Apa itu Amazon VPC? di Panduan Pengguna Amazon VPC.
-
Buat dua atau lebih subnet VPC pribadi. Untuk informasi lebih lanjut, lihat VPCs dan subnet di Panduan Pengguna Amazon VPC.
-
Menerapkan cluster Amazon Redshift atau grup kerja Redshift Serverless. Untuk informasi selengkapnya, lihat Subnet untuk sumber daya Redshift atau Kelompok kerja dan ruang nama.
Cluster Amazon Redshift dikunci secara default saat penyediaan. Untuk mengizinkan lalu lintas jaringan masuk dari klien Amazon Redshift, kaitkan grup keamanan VPC dengan cluster Amazon Redshift. Untuk informasi selengkapnya, lihat Subnet untuk sumber daya Redshift.
Untuk mengizinkan lalu lintas hanya ke atau dari rentang alamat IP tertentu, perbarui grup keamanan dengan VPC Anda. Contohnya adalah mengizinkan lalu lintas hanya dari atau ke jaringan perusahaan Anda.
Saat mengonfigurasi daftar kontrol akses jaringan yang terkait dengan subnet yang ditandai dengan klaster Amazon Redshift Anda, pastikan rentang CIDR S3 Wilayah AWS masing-masing ditambahkan ke daftar yang diizinkan untuk aturan masuk dan keluar. Melakukannya memungkinkan Anda menjalankan operasi berbasis S3 seperti Redshift Spectrum, COPY, dan UNLOAD tanpa gangguan apa pun.
Contoh perintah berikut mem-parsing respons JSON untuk semua IPv4 alamat yang digunakan di Amazon S3 di Wilayah us-east-1.
curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix' 54.231.0.0/17 52.92.16.0/20 52.216.0.0/15
Untuk petunjuk tentang cara mendapatkan rentang IP S3 untuk wilayah tertentu, lihat rentang alamat AWS IP.
Amazon Redshift mendukung penerapan cluster ke dalam penyewaan khusus. VPCs Untuk informasi selengkapnya, lihat Instans khusus di Panduan EC2 Pengguna Amazon.
Grup keamanan Amazon Redshift
Saat Anda menyediakan klaster Amazon Redshift, klaster tersebut dikunci secara default sehingga tidak ada yang memiliki akses ke sana. Untuk memberi pengguna lain akses masuk ke klaster Amazon Redshift, Anda mengaitkan klaster dengan grup keamanan. Jika Anda menggunakan platform EC2 -VPC, Anda dapat menggunakan grup keamanan Amazon VPC yang ada atau menentukan yang baru dan kemudian mengaitkannya dengan cluster. Untuk informasi lebih lanjut tentang mengelola cluster pada platform EC2 -VPC, lihat. Sumber daya Redshift dalam VPC
Titik akhir VPC antarmuka
Anda dapat terhubung langsung ke layanan Amazon Redshift dan Amazon Redshift Serverless API menggunakan antarmuka VPC endpoint (AWS PrivateLink) di cloud pribadi virtual (VPC) Anda alih-alih terhubung melalui internet. Untuk informasi tentang tindakan Amazon Redshift API, lihat Tindakan di Referensi API Amazon Redshift. Untuk informasi tentang tindakan Redshift API Tanpa Server, lihat Tindakan di Referensi API Tanpa Server Amazon Redshift. Untuk informasi selengkapnya AWS PrivateLink, lihat Titik akhir VPC Antarmuka (AWS PrivateLink) di Panduan Pengguna Amazon VPC. Perhatikan bahwa koneksi JDBC/ODBC ke cluster atau ruang kerja bukan bagian dari layanan Amazon Redshift API.
Saat Anda menggunakan titik akhir VPC antarmuka, komunikasi antara VPC dan Amazon Redshift atau Redshift Serverless dilakukan sepenuhnya di dalam jaringan, yang dapat memberikan keamanan yang lebih besar. AWS Setiap titik akhir VPC diwakili oleh satu atau lebih antarmuka jaringan elastis dengan alamat IP pribadi di subnet VPC Anda. Untuk informasi selengkapnya tentang antarmuka jaringan elastis, lihat Antarmuka jaringan elastis di EC2 Panduan Pengguna Amazon.
Titik akhir VPC antarmuka menghubungkan VPC Anda langsung ke Amazon Redshift. Itu tidak menggunakan gateway internet, perangkat terjemahan alamat jaringan (NAT), koneksi jaringan pribadi virtual (VPN), atau AWS Direct Connect koneksi. Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan Amazon Redshift API.
Untuk menggunakan Amazon Redshift atau Redshift Serverless melalui VPC Anda, Anda memiliki dua opsi. Salah satunya adalah terhubung dari instance yang ada di dalam VPC Anda. Yang lainnya adalah menghubungkan jaringan pribadi Anda ke VPC Anda dengan menggunakan AWS VPN opsi atau. AWS Direct Connect Untuk informasi selengkapnya tentang AWS VPN opsi, lihat Koneksi VPN di Panduan Pengguna Amazon VPC. Untuk informasi tentang AWS Direct Connect, lihat Membuat hubungan di Panduan Pengguna AWS Direct Connect .
Anda dapat membuat titik akhir VPC antarmuka untuk terhubung ke Amazon Redshift menggunakan perintah or (). AWS Management Console AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat Membuat Titik Akhir Antarmuka.
Setelah Anda membuat antarmuka VPC endpoint, Anda dapat mengaktifkan nama host DNS pribadi untuk titik akhir. Ketika Anda melakukannya, titik akhir default adalah sebagai berikut:
-
Amazon Redshift disediakan:
https://redshift.
.amazonaws.com.rproxy.govskope.caRegion
-
Amazon Redshift Tanpa Server:
https://redshift-serverless.
.amazonaws.com.rproxy.govskope.caRegion
Jika Anda tidak mengaktifkan nama host DNS pribadi, Amazon VPC menyediakan nama endpoint DNS yang dapat Anda gunakan dalam format berikut.
-
Amazon Redshift disediakan:
VPC_endpoint_ID
.redshift.Region
.vpce.amazonaws.com -
Amazon Redshift Tanpa Server:
VPC_endpoint_ID
.redshift-serverless.Region
.vpce.amazonaws.com
Untuk informasi selengkapnya, lihat Antarmuka VPC endpoint (AWS PrivateLink) dalam Panduan Pengguna Amazon VPC.
Dukungan Amazon Redshift dan Redshift Serverless melakukan panggilan ke semua operasi Amazon Redshift API dan operasi Redshift Serverless API di dalam VPC Anda.
Anda dapat melampirkan kebijakan titik akhir VPC ke titik akhir VPC untuk mengontrol akses bagi prinsipal (IAM). AWS Identity and Access Management Anda juga dapat mengaitkan grup keamanan dengan titik akhir VPC untuk mengontrol akses masuk dan keluar berdasarkan asal dan tujuan lalu lintas jaringan. Contohnya adalah berbagai alamat IP. Untuk informasi selengkapnya, silakan lihat Mengendalikan Akses ke Layanan dengan titik akhir VPC dalam Panduan Pengguna Amazon VPC.
Kebijakan titik akhir VPC untuk Amazon Redshift
Anda dapat membuat kebijakan untuk titik akhir VPC untuk Amazon Redshift untuk menentukan hal berikut:
-
Kepala sekolah yang bisa atau tidak bisa melakukan tindakan
-
Tindakan-tindakan yang dapat dilakukan
-
Sumber daya yang dapat digunakan untuk mengambil tindakan
Untuk informasi selengkapnya, lihat Mengendalikan akses ke layanan dengan VPC endpoint di Panduan Pengguna Amazon VPC.
Berikut ini, Anda dapat menemukan contoh kebijakan titik akhir VPC.
Contoh Kebijakan Titik Akhir yang Disediakan Amazon Redshift
Berikut ini, Anda dapat menemukan contoh kebijakan titik akhir VPC untuk Amazon Redshift Provisioned.
Contoh: Kebijakan titik akhir VPC untuk menolak semua akses dari akun tertentu AWS
Kebijakan titik akhir VPC berikut menyangkal
semua akses AWS akun ke sumber daya menggunakan titik akhir ini.123456789012
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Contoh: Kebijakan titik akhir VPC untuk mengizinkan akses VPC hanya ke peran IAM tertentu
Kebijakan titik akhir VPC berikut memungkinkan akses penuh hanya ke peran IAM di akun.
AWS redshiftrole
123456789012
Semua prinsipal IAM lain ditolak aksesnya menggunakan titik akhir.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:role/redshiftrole" ] } }] }
Ini hanya sampel. Dalam sebagian besar kasus penggunaan, kami menyarankan untuk melampirkan izin untuk tindakan tertentu untuk mempersempit ruang lingkup izin.
Contoh: Kebijakan titik akhir VPC untuk mengizinkan akses VPC hanya ke prinsipal IAM tertentu (pengguna)
Kebijakan titik akhir VPC berikut memungkinkan akses penuh hanya ke akun pengguna IAM.
AWS redshiftadmin
123456789012
Semua prinsipal IAM lain ditolak aksesnya menggunakan titik akhir.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/redshiftadmin" ] } }] }
Ini hanya sampel. Dalam sebagian besar kasus penggunaan, kami menyarankan untuk melampirkan izin ke peran sebelum menetapkan ke pengguna. Selain itu, sebaiknya gunakan tindakan khusus untuk mempersempit ruang lingkup izin.
Contoh: Kebijakan titik akhir VPC untuk mengizinkan operasi Amazon Redshift hanya-baca
Kebijakan titik akhir VPC berikut hanya mengizinkan AWS akun
untuk melakukan tindakan Amazon Redshift yang ditentukan. 123456789012
Tindakan yang ditentukan menyediakan akses hanya-baca yang setara untuk Amazon Redshift. Semua tindakan lain pada VPC ditolak untuk akun yang ditentukan. Juga, semua akun lain ditolak aksesnya. Untuk daftar tindakan Amazon Redshift, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon Redshift di Panduan Pengguna IAM.
{ "Statement": [ { "Action": [ "redshift:DescribeAccountAttributes", "redshift:DescribeClusterParameterGroups", "redshift:DescribeClusterParameters", "redshift:DescribeClusterSecurityGroups", "redshift:DescribeClusterSnapshots", "redshift:DescribeClusterSubnetGroups", "redshift:DescribeClusterVersions", "redshift:DescribeDefaultClusterParameters", "redshift:DescribeEventCategories", "redshift:DescribeEventSubscriptions", "redshift:DescribeHsmClientCertificates", "redshift:DescribeHsmConfigurations", "redshift:DescribeLoggingStatus", "redshift:DescribeOrderableClusterOptions", "redshift:DescribeQuery", "redshift:DescribeReservedNodeOfferings", "redshift:DescribeReservedNodes", "redshift:DescribeResize", "redshift:DescribeSavedQueries", "redshift:DescribeScheduledActions", "redshift:DescribeSnapshotCopyGrants", "redshift:DescribeSnapshotSchedules", "redshift:DescribeStorage", "redshift:DescribeTable", "redshift:DescribeTableRestoreStatus", "redshift:DescribeTags", "redshift:FetchResults", "redshift:GetReservedNodeExchangeOfferings" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Contoh: Kebijakan titik akhir VPC yang menolak akses ke cluster tertentu
Kebijakan titik akhir VPC berikut memungkinkan akses penuh untuk semua akun dan prinsipal. Pada saat yang sama, ia menolak akses apa pun untuk AWS akun
ke tindakan yang dilakukan di cluster Amazon Redshift dengan ID cluster. 123456789012
Tindakan Amazon Redshift lainnya yang tidak mendukung izin tingkat sumber daya untuk kluster masih diizinkan. Untuk daftar tindakan Amazon Redshift dan jenis sumber daya yang sesuai, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon Redshift di Panduan Pengguna IAM. my-redshift-cluster
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster", "Principal": { "AWS": [ "123456789012" ] } } ] }
Contoh Kebijakan Titik Akhir Tanpa Server Amazon Redshift
Berikut ini, Anda dapat menemukan contoh kebijakan titik akhir VPC untuk Redshift Serverless.
Contoh: Kebijakan titik akhir VPC untuk mengizinkan operasi Redshift Tanpa Server hanya-baca
Kebijakan titik akhir VPC berikut hanya mengizinkan AWS akun
untuk melakukan tindakan Redshift Tanpa Server yang ditentukan. 123456789012
Tindakan yang ditentukan menyediakan akses hanya-baca yang setara untuk Redshift Tanpa Server. Semua tindakan lain pada VPC ditolak untuk akun yang ditentukan. Juga, semua akun lain ditolak aksesnya. Untuk daftar tindakan Redshift Tanpa Server, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk Redshift Tanpa Server di Panduan Pengguna IAM.
{ "Statement": [ { "Action": [ "redshift-serverless:DescribeOneTimeCredit", "redshift-serverless:GetCustomDomainAssociation", "redshift-serverless:GetEndpointAccess", "redshift-serverless:GetNamespace", "redshift-serverless:GetRecoveryPoint", "redshift-serverless:GetResourcePolicy", "redshift-serverless:GetScheduledAction", "redshift-serverless:GetSnapshot", "redshift-serverless:GetTableRestoreStatus", "redshift-serverless:GetUsageLimit", "redshift-serverless:GetWorkgroup" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Contoh: Kebijakan titik akhir VPC yang menolak akses ke workgroup tertentu
Kebijakan titik akhir VPC berikut memungkinkan akses penuh untuk semua akun dan prinsipal. Pada saat yang sama, ia menolak akses apa pun untuk AWS akun
ke tindakan yang dilakukan pada workgroup Amazon Redshift dengan ID workgroup. 123456789012
Tindakan Amazon Redshift lainnya yang tidak mendukung izin tingkat sumber daya untuk grup kerja masih diizinkan. Untuk daftar tindakan Redshift Tanpa Server dan jenis sumber daya yang sesuai, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk Redshift Tanpa Server di Panduan Pengguna IAM. my-redshift-workgroup
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:redshift-serverless:us-east-1:123456789012:workgroup:my-redshift-workgroup", "Principal": { "AWS": [ "123456789012" ] } } ] }