Gestione delle password dell'amministratore di Amazon Redshift tramite Gestione dei segreti AWS - Amazon Redshift
Autorizzazioni necessarie per l'integrazione di Gestione dei segreti AWSRotazione del segreto della password amministratoreConsiderazioni sull'utilizzo di Gestione dei segreti AWS con Amazon Redshift

Amazon Redshift non supporterà più la creazione di nuove UDF Python a partire dal 1º novembre 2025. Se desideri utilizzare le UDF Python, creale prima di tale data. Le UDF Python esistenti continueranno a funzionare normalmente. Per ulteriori informazioni, consulta il post del blog.

Gestione delle password dell'amministratore di Amazon Redshift tramite Gestione dei segreti AWS

Amazon Redshift può integrarsi con Gestione dei segreti AWS per generare e gestire le credenziali di amministratore in un segreto crittografato. Con Gestione dei segreti AWS, puoi sostituire le password dell'amministratore con una chiamata API per recuperare a livello di programmazione il segreto quando è necessario. L'uso di credenziali segrete anziché a codifica fissa riduce il rischio che le credenziali vengano esposte o compromesse. Per ulteriori informazioni su Gestione dei segreti AWS, consulta la Guida per l'utente diGestione dei segreti AWS.

Puoi specificare che Amazon Redshift gestisce la password dell'amministratore tramite Gestione dei segreti AWS quando esegui una delle seguenti operazioni:

  • Creare un cluster con provisioning o un namespace serverless

  • Modifica, aggiorna o cambia le credenziali dell’amministratore di un cluster con provisioning o un namespace serverless

  • Ripristinare un cluster o un namespace serverless da uno snapshot

Quando specifichi la gestione della password dell'amministratore da parte di Amazon Redshift in Gestione dei segreti AWS, Amazon Redshift genera la password e la memorizza in Secrets Manager. Puoi accedere direttamente al segreto in Gestione dei segreti AWS per recuperare le credenziali dell'utente amministratore. Facoltativamente, puoi specificare una chiave gestita dal cliente per crittografare il segreto. se è necessario accedervi da un altro account AWS. Inoltre, puoi utilizzare la chiave KMS fornita da Gestione dei segreti AWS.

Amazon Redshift gestisce le impostazioni del segreto e lo ruota ogni 30 giorni per impostazione predefinita, ma puoi ruotare manualmente il segreto in qualsiasi momento. Se elimini un cluster con provisioning o uno spazio dei nomi serverless che gestisce un segreto in Gestione dei segreti AWS, vengono eliminati anche il segreto e i metadati associati.

Per connetterti a un cluster o a uno spazio dei nomi serverless con le credenziali gestite da segreti, puoi recuperare il segreto da Gestione dei segreti AWS usando la console Secrets Manager o la chiamata API GetSecretValue di Secrets Manager. Per ulteriori informazioni, consulta Recuperare segreti da Gestione dei segreti AWS e Connettersi a un database SQL con credenziali in un segreto Gestione dei segreti AWS nella Guida per l'utente di Gestione dei segreti AWS.

Autorizzazioni necessarie per l'integrazione di Gestione dei segreti AWS

Gli utenti devono disporre delle autorizzazioni necessarie per eseguire le operazioni relative all'integrazione di Gestione dei segreti AWS. Crea le policy IAM che forniscono l'autorizzazione per eseguire operazioni API specifiche sulle risorse indicate necessarie. Quindi collega tali policy ai ruoli o ai set di autorizzazioni IAM che richiedono le autorizzazioni. Per ulteriori informazioni, consulta Identity and Access Management in Amazon Redshift.

L'utente che specifica la gestione della password dell'amministratore da parte di Amazon Redshift in Gestione dei segreti AWS deve disporre delle autorizzazioni per eseguire le seguenti operazioni:

  • secretsmanager:CreateSecret

  • secretsmanager:RotateSecret

  • secretsmanager:DescribeSecret

  • secretsmanager:UpdateSecret

  • secretsmanager:DeleteSecret

  • secretsmanager:GetRandomPassword

  • secretsmanager:TagResource

Se l'utente desidera passare una chiave KMS nel parametro MasterPasswordSecretKmsKeyId per i cluster con provisioning o il parametro AdminPasswordSecretKmsKeyId per gli spazi dei nomi serverless, sono necessarie le seguenti autorizzazioni oltre a quelle sopra elencate.

  • kms:Decrypt

  • kms:GenerateDataKey

  • kms:CreateGrant

  • kms:RetireGrant

Rotazione del segreto della password amministratore

Per impostazione predefinita, Amazon Redshift ruota automaticamente il segreto ogni 30 giorni per garantire che le credenziali non rimangano invariate per periodi prolungati. Quando Amazon Redshift ruota il segreto di una password dell'amministratore, Gestione dei segreti AWS aggiorna il segreto esistente con la nuova password dell'amministratore. Amazon Redshift modifica la password dell'amministratore per il cluster in modo che corrisponda alla password presente nel segreto aggiornato.

Con Gestione dei segreti AWS puoi ruotare un segreto immediatamente invece di aspettare la rotazione programmata. Per ulteriori informazioni sulla rotazione dei segreti, consulta Rotate Gestione dei segreti AWS secrets nella Guida per l'utente di Gestione dei segreti AWS.

Considerazioni sull'utilizzo di Gestione dei segreti AWS con Amazon Redshift

Quando utilizzi Gestione dei segreti AWS per gestire le credenziali dell'amministratore del cluster con provisioning o dello spazio dei nomi serverless, considera quanto segue:

  • Quando sospendi un cluster le cui credenziali dell'amministratore sono gestite da Gestione dei segreti AWS, il segreto del cluster non viene eliminato e continua a essere fatturato. I segreti vengono eliminati solo quando elimini il cluster.

  • Se il cluster è sospeso quando Amazon Redshift tenta di ruotare il segreto associato, la rotazione avrà esito negativo. In questo caso, Amazon Redshift interrompe la rotazione automatica e non la ritenta, neanche dopo la ripresa del cluster. Dovrai riavviare la pianificazione della rotazione automatica utilizzando la chiamata API secretsmanager:RotateSecret per permettere ad Gestione dei segreti AWS di continuare a ruotare automaticamente il segreto.

  • Se lo spazio dei nomi serverless non ha un gruppo di lavoro associato quando Amazon Redshift tenta di ruotare il segreto collegato, la rotazione avrà esito negativo e viene più ritentata, neanche dopo aver collegato un gruppo di lavoro. Dovrai riavviare la pianificazione della rotazione automatica utilizzando la chiamata API secretsmanager:RotateSecret per permettere ad Gestione dei segreti AWS di continuare a ruotare automaticamente il segreto.