Amazon Redshift tidak akan lagi mendukung pembuatan Python UDFs baru mulai Patch 198. Python yang ada UDFs akan terus berfungsi hingga 30 Juni 2026. Untuk informasi lebih lanjut, lihat [posting blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan infrastruktur di Amazon Redshift
Sebagai layanan terkelola, Amazon Redshift dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon Redshift melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
## Isolasi jaringan
Virtual Private Cloud (VPC) berbasis layanan Amazon VPC adalah jaringan pribadi Anda yang terisolasi secara logis di Cloud. AWS Anda dapat menerapkan cluster Amazon Redshift atau workgroup Redshift Tanpa Server dalam VPC dengan mengambil langkah-langkah berikut:
+ Buat VPC di Wilayah. AWS Untuk informasi lebih lanjut, lihat [Apa itu Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) di* Panduan Pengguna Amazon VPC*.
+ Buat dua atau lebih subnet VPC pribadi. Untuk informasi lebih lanjut, lihat [VPCs dan subnet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html) di *Panduan Pengguna Amazon VPC*.
+ Menerapkan cluster Amazon Redshift atau grup kerja Redshift Serverless. Untuk informasi selengkapnya, lihat [Subnet untuk sumber daya Redshift](working-with-cluster-subnet-groups.md) atau [Kelompok kerja dan ruang nama](serverless-workgroup-namespace.md).
Cluster Amazon Redshift dikunci secara default saat penyediaan. Untuk mengizinkan lalu lintas jaringan masuk dari klien Amazon Redshift, kaitkan grup keamanan VPC dengan cluster Amazon Redshift. Untuk informasi selengkapnya, lihat [Subnet untuk sumber daya Redshift](working-with-cluster-subnet-groups.md).
Untuk mengizinkan lalu lintas hanya ke atau dari rentang alamat IP tertentu, perbarui grup keamanan dengan VPC Anda. Contohnya adalah mengizinkan lalu lintas hanya dari atau ke jaringan perusahaan Anda.
Saat mengonfigurasi daftar kontrol akses jaringan yang terkait dengan subnet yang ditandai dengan klaster Amazon Redshift Anda, pastikan rentang CIDR S3 Wilayah AWS masing-masing ditambahkan ke daftar yang diizinkan untuk aturan masuk dan keluar. Melakukannya memungkinkan Anda menjalankan operasi berbasis S3 seperti Redshift Spectrum, COPY, dan UNLOAD tanpa gangguan apa pun.
Contoh perintah berikut mem-parsing respons JSON untuk semua IPv4 alamat yang digunakan di Amazon S3 di Wilayah us-east-1.
```
curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'
54.231.0.0/17
52.92.16.0/20
52.216.0.0/15
```
Untuk petunjuk tentang cara mendapatkan rentang IP S3 untuk wilayah tertentu, lihat [rentang alamat AWS IP](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html).
Amazon Redshift mendukung penerapan cluster ke dalam penyewaan khusus. VPCs Untuk informasi selengkapnya, lihat [Instans khusus](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) di Panduan *Pengguna Amazon EC2*.
## Grup keamanan Amazon Redshift
Saat Anda menyediakan klaster Amazon Redshift, klaster tersebut dikunci secara default sehingga tidak ada yang memiliki akses ke sana. Untuk memberi pengguna lain akses masuk ke klaster Amazon Redshift, Anda mengaitkan klaster dengan grup keamanan. Jika Anda menggunakan platform EC2-VPC, Anda dapat menggunakan grup keamanan Amazon VPC yang ada atau menentukan yang baru dan kemudian mengaitkannya dengan cluster. Untuk informasi lebih lanjut tentang mengelola cluster pada platform EC2-VPC, lihat. [Sumber daya Redshift dalam VPC](managing-clusters-vpc.md)
## Titik akhir VPC antarmuka
Anda dapat terhubung langsung ke layanan Amazon Redshift dan Amazon Redshift Serverless API menggunakan antarmuka VPC endpoint (AWS PrivateLink) di cloud pribadi virtual (VPC) Anda alih-alih terhubung melalui internet. Untuk informasi tentang tindakan Amazon Redshift API, lihat [Tindakan](https://docs.aws.amazon.com/redshift/latest/APIReference/API_Operations.html) di Referensi API *Amazon Redshift*. *Untuk informasi tentang tindakan Redshift API Tanpa Server, lihat [Tindakan](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_Operations.html) di Referensi API Tanpa Server Amazon Redshift.* Untuk informasi selengkapnya AWS PrivateLink, lihat [Titik akhir VPC Antarmuka (AWS PrivateLink) di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) Pengguna Amazon *VPC*. Perhatikan bahwa JDBC/ODBC koneksi ke cluster atau ruang kerja bukan bagian dari layanan Amazon Redshift API.
Saat Anda menggunakan titik akhir VPC antarmuka, komunikasi antara VPC dan Amazon Redshift atau Redshift Serverless dilakukan sepenuhnya di dalam jaringan, yang dapat memberikan keamanan yang lebih besar. AWS Setiap titik akhir VPC diwakili oleh satu atau lebih antarmuka jaringan elastis dengan alamat IP pribadi di subnet VPC Anda. Untuk informasi selengkapnya tentang antarmuka jaringan elastis, lihat [Antarmuka jaringan elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dalam *Panduan Pengguna Amazon EC2*.
Titik akhir VPC antarmuka menghubungkan VPC Anda langsung ke Amazon Redshift. Itu tidak menggunakan gateway internet, perangkat terjemahan alamat jaringan (NAT), koneksi jaringan pribadi virtual (VPN), atau Direct Connect koneksi. Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan Amazon Redshift API.
Untuk menggunakan Amazon Redshift atau Redshift Serverless melalui VPC Anda, Anda memiliki dua opsi. Salah satunya adalah terhubung dari instance yang ada di dalam VPC Anda. Yang lainnya adalah menghubungkan jaringan pribadi Anda ke VPC Anda dengan menggunakan Site-to-Site VPN opsi atau. Direct Connect Untuk informasi selengkapnya tentang Site-to-Site VPN opsi, lihat [Koneksi VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) di *Panduan Pengguna Amazon VPC*. Untuk informasi tentang Direct Connect, lihat [Membuat hubungan ](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html)di *Panduan Pengguna Direct Connect *.
Anda dapat membuat titik akhir VPC antarmuka untuk terhubung ke Amazon Redshift menggunakan perintah or (). Konsol Manajemen AWS AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat [Membuat Titik Akhir Antarmuka](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).
Setelah Anda membuat antarmuka VPC endpoint, Anda dapat mengaktifkan nama host DNS pribadi untuk titik akhir. Ketika Anda melakukannya, titik akhir default adalah sebagai berikut:
+ **Amazon Redshift disediakan**: `https://redshift.Region.amazonaws.com`
+ **Amazon Redshift Tanpa Server**: `https://redshift-serverless.Region.amazonaws.com`
Jika Anda tidak mengaktifkan nama host DNS pribadi, Amazon VPC menyediakan nama endpoint DNS yang dapat Anda gunakan dalam format berikut.
+ **Amazon Redshift disediakan**: `VPC_endpoint_ID.redshift.Region.vpce.amazonaws.com`
+ **Amazon Redshift Tanpa Server**: `VPC_endpoint_ID.redshift-serverless.Region.vpce.amazonaws.com`
Untuk informasi selengkapnya, lihat [Antarmuka VPC endpoint (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) dalam *Panduan Pengguna Amazon VPC*.
[Dukungan Amazon Redshift dan Redshift Serverless melakukan panggilan ke semua operasi Amazon Redshift API [dan operasi Redshift Serverless API](https://docs.aws.amazon.com/redshift/latest/APIReference/API_Operations.html) di dalam VPC Anda.](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_Operations.html)
Anda dapat melampirkan kebijakan titik akhir VPC ke titik akhir VPC untuk mengontrol akses bagi prinsipal (IAM). AWS Identity and Access Management Anda juga dapat mengaitkan grup keamanan dengan titik akhir VPC untuk mengontrol akses masuk dan keluar berdasarkan asal dan tujuan lalu lintas jaringan. Contohnya adalah berbagai alamat IP. Untuk informasi selengkapnya, silakan lihat [Mengendalikan Akses ke Layanan dengan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dalam *Panduan Pengguna Amazon VPC*.
### Kebijakan titik akhir VPC untuk Amazon Redshift
Anda dapat membuat kebijakan untuk titik akhir VPC untuk Amazon Redshift untuk menentukan hal berikut:
+ Kepala sekolah yang bisa atau tidak bisa melakukan tindakan
+ Tindakan-tindakan yang dapat dilakukan
+ Sumber daya yang dapat digunakan untuk mengambil tindakan
Untuk informasi selengkapnya, lihat [Mengendalikan akses ke layanan dengan VPC endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) di *Panduan Pengguna Amazon VPC*.
Berikut ini, Anda dapat menemukan contoh kebijakan titik akhir VPC.
#### Contoh Kebijakan Titik Akhir yang Disediakan Amazon Redshift
Berikut ini, Anda dapat menemukan contoh kebijakan titik akhir VPC untuk Amazon Redshift Provisioned.
##### Contoh: Kebijakan titik akhir VPC untuk menolak semua akses dari akun tertentu AWS
Kebijakan titik akhir VPC berikut menyangkal `123456789012` semua akses AWS akun ke sumber daya menggunakan titik akhir ini.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "*",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```
##### Contoh: Kebijakan titik akhir VPC untuk mengizinkan akses VPC hanya ke peran IAM tertentu
Kebijakan titik akhir VPC berikut memungkinkan akses penuh hanya ke peran IAM di akun. *`redshiftrole`* AWS *123456789012* Semua prinsipal IAM lain ditolak aksesnya menggunakan titik akhir.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:role/redshiftrole"
]
}
}]
}
```
Ini hanya sampel. Dalam sebagian besar kasus penggunaan, kami menyarankan untuk melampirkan izin untuk tindakan tertentu untuk mempersempit ruang lingkup izin.
##### Contoh: Kebijakan titik akhir VPC untuk mengizinkan akses VPC hanya ke prinsipal IAM tertentu (pengguna)
Kebijakan titik akhir VPC berikut memungkinkan akses penuh hanya ke akun pengguna IAM. *`redshiftadmin`* AWS *123456789012* Semua prinsipal IAM lain ditolak aksesnya menggunakan titik akhir.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/redshiftadmin"
]
}
}]
}
```
Ini hanya sampel. Dalam sebagian besar kasus penggunaan, kami menyarankan untuk melampirkan izin ke peran sebelum menetapkan ke pengguna. Selain itu, sebaiknya gunakan tindakan khusus untuk mempersempit ruang lingkup izin.
##### Contoh: Kebijakan titik akhir VPC untuk mengizinkan operasi Amazon Redshift hanya-baca
Kebijakan titik akhir VPC berikut hanya mengizinkan AWS akun *`123456789012`* untuk melakukan tindakan Amazon Redshift yang ditentukan.
Tindakan yang ditentukan menyediakan akses hanya-baca yang setara untuk Amazon Redshift. Semua tindakan lain pada VPC ditolak untuk akun yang ditentukan. Juga, semua akun lain ditolak aksesnya. *Untuk daftar tindakan Amazon Redshift, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon Redshift](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonredshift.html) di Panduan Pengguna IAM.*
```
{
"Statement": [
{
"Action": [
"redshift:DescribeAccountAttributes",
"redshift:DescribeClusterParameterGroups",
"redshift:DescribeClusterParameters",
"redshift:DescribeClusterSecurityGroups",
"redshift:DescribeClusterSnapshots",
"redshift:DescribeClusterSubnetGroups",
"redshift:DescribeClusterVersions",
"redshift:DescribeDefaultClusterParameters",
"redshift:DescribeEventCategories",
"redshift:DescribeEventSubscriptions",
"redshift:DescribeHsmClientCertificates",
"redshift:DescribeHsmConfigurations",
"redshift:DescribeLoggingStatus",
"redshift:DescribeOrderableClusterOptions",
"redshift:DescribeQuery",
"redshift:DescribeReservedNodeOfferings",
"redshift:DescribeReservedNodes",
"redshift:DescribeResize",
"redshift:DescribeSavedQueries",
"redshift:DescribeScheduledActions",
"redshift:DescribeSnapshotCopyGrants",
"redshift:DescribeSnapshotSchedules",
"redshift:DescribeStorage",
"redshift:DescribeTable",
"redshift:DescribeTableRestoreStatus",
"redshift:DescribeTags",
"redshift:FetchResults",
"redshift:GetReservedNodeExchangeOfferings"
],
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```
##### Contoh: Kebijakan titik akhir VPC yang menolak akses ke cluster tertentu
Kebijakan titik akhir VPC berikut memungkinkan akses penuh untuk semua akun dan prinsipal. Pada saat yang sama, ia menolak akses apa pun untuk AWS akun *`123456789012`* ke tindakan yang dilakukan di cluster Amazon Redshift dengan ID cluster. `my-redshift-cluster` Tindakan Amazon Redshift lainnya yang tidak mendukung izin tingkat sumber daya untuk kluster masih diizinkan. *Untuk daftar tindakan Amazon Redshift dan jenis sumber daya yang sesuai, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon Redshift](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonredshift.html) di Panduan Pengguna IAM.*
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```
#### Contoh Kebijakan Titik Akhir Tanpa Server Amazon Redshift
Berikut ini, Anda dapat menemukan contoh kebijakan titik akhir VPC untuk Redshift Serverless.
##### Contoh: Kebijakan titik akhir VPC untuk mengizinkan operasi Redshift Tanpa Server hanya-baca
Kebijakan titik akhir VPC berikut hanya mengizinkan AWS akun *`123456789012`* untuk melakukan tindakan Redshift Tanpa Server yang ditentukan.
Tindakan yang ditentukan menyediakan akses hanya-baca yang setara untuk Redshift Tanpa Server. Semua tindakan lain pada VPC ditolak untuk akun yang ditentukan. Juga, semua akun lain ditolak aksesnya. *Untuk daftar tindakan Redshift Tanpa Server, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk Redshift Tanpa Server](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonredshiftserverless.html) di Panduan Pengguna IAM.*
```
{
"Statement": [
{
"Action": [
"redshift-serverless:DescribeOneTimeCredit",
"redshift-serverless:GetCustomDomainAssociation",
"redshift-serverless:GetEndpointAccess",
"redshift-serverless:GetNamespace",
"redshift-serverless:GetRecoveryPoint",
"redshift-serverless:GetResourcePolicy",
"redshift-serverless:GetScheduledAction",
"redshift-serverless:GetSnapshot",
"redshift-serverless:GetTableRestoreStatus",
"redshift-serverless:GetUsageLimit",
"redshift-serverless:GetWorkgroup"
],
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```
##### Contoh: Kebijakan titik akhir VPC yang menolak akses ke workgroup tertentu
Kebijakan titik akhir VPC berikut memungkinkan akses penuh untuk semua akun dan prinsipal. Pada saat yang sama, ia menolak akses apa pun untuk AWS akun *`123456789012`* ke tindakan yang dilakukan pada workgroup Amazon Redshift dengan ID workgroup. `my-redshift-workgroup` Tindakan Amazon Redshift lainnya yang tidak mendukung izin tingkat sumber daya untuk grup kerja masih diizinkan. *Untuk daftar tindakan Redshift Tanpa Server dan jenis sumber daya yang sesuai, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk Redshift Tanpa Server](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonredshiftserverless.html) di Panduan Pengguna IAM.*
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "arn:aws:redshift-serverless:us-east-1:123456789012:workgroup:my-redshift-workgroup",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```