Amazon Redshift non supporterà più la creazione di nuovi Python UDFs a partire dalla Patch 198. Python esistente UDFs continuerà a funzionare fino al 30 giugno 2026. Per ulteriori informazioni, consulta il post del blog
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli di crittografia VPC con Amazon Redshift
Amazon Redshift supporta i controlli di crittografia VPC, una funzionalità di sicurezza che consente di applicare la crittografia in transito per tutto il traffico all'interno e all'interno di una regione. VPCs Questo documento descrive come utilizzare i controlli di crittografia VPC con i cluster Amazon Redshift e i gruppi di lavoro serverless.
I controlli di crittografia VPC forniscono un controllo centralizzato per monitorare e applicare la crittografia in transito all'interno dell'azienda. VPCs Se abilitato in modalità enforce, garantisce che tutto il traffico di rete sia crittografato a livello hardware (utilizzando AWS Nitro System) o a livello applicativo (utilizzando TLS/SSL).
Amazon Redshift si integra con i controlli di crittografia VPC per aiutarti a soddisfare i requisiti di conformità per settori come l'assistenza sanitaria (HIPAA), la pubblica amministrazione (FedRAMP) e la finanza (PCI DSS).
Come funzionano i controlli di crittografia VPC con Amazon Redshift
I controlli di crittografia VPC funzionano in due modalità:
-
Modalità di monitoraggio: fornisce visibilità sullo stato di crittografia dei flussi di traffico e aiuta a identificare le risorse che consentono il traffico non crittografato.
-
Modalità di applicazione: impedisce la creazione o l'uso di risorse che consentono il traffico non crittografato all'interno del VPC. Tutto il traffico deve essere crittografato a livello hardware (istanze basate su Nitro) o a livello applicativo (TLS/SSL).
Requisiti per l'utilizzo dei controlli di crittografia VPC
Requisiti relativi al tipo di
Amazon Redshift richiede istanze basate su Nitro per supportare i controlli di crittografia VPC. Tutti i tipi di istanze Redshift moderni supportano le funzionalità di crittografia necessarie.
Requisiti SSL/TLS
Quando i controlli di crittografia VPC sono abilitati in modalità enforce, il parametro require_ssl deve essere impostato su true e non può essere disabilitato. Ciò garantisce che tutte le connessioni client utilizzino connessioni TLS crittografate.
Migrazione ai controlli di crittografia VPC
Per cluster e gruppi di lavoro esistenti
Non è possibile abilitare i controlli di crittografia VPC in modalità Enforce su un VPC che contiene cluster Redshift o gruppi di lavoro serverless esistenti. Consulta i seguenti passaggi per utilizzare i controlli di crittografia se disponi di un cluster o di un gruppo di lavoro esistente:
-
Crea un'istantanea del cluster o dello spazio dei nomi esistente
-
Crea un nuovo VPC con controlli di crittografia VPC abilitati in modalità Enforce
-
Esegui il ripristino dall'istantanea nel nuovo VPC utilizzando una di queste operazioni:
-
Per i cluster a cui è stato assegnato il provisioning: utilizzare l'operazione
restore-from-cluster-snapshot -
Per sistemi serverless: utilizza l'
restore-from-snapshotoperazione sul tuo gruppo di lavoro
-
Quando si creano nuovi cluster o gruppi di lavoro in un VPC con controlli di crittografia abilitati, il parametro require_ssl deve essere impostato su true.
Amazon Redshift richiede istanze basate su Nitro per supportare i controlli di crittografia VPC. Tutti i tipi di istanze Redshift moderni supportano le funzionalità di crittografia necessarie.
Requisiti SSL/TLS
Quando i controlli di crittografia VPC sono abilitati in modalità enforce, il parametro require_ssl deve essere impostato su true e non può essere disabilitato. Ciò garantisce che tutte le connessioni client utilizzino connessioni TLS crittografate.
Considerazioni e limitazioni
Quando utilizzi i controlli di crittografia VPC in Amazon Redshift, considera quanto segue:
Restrizioni dello stato del VPC
-
La creazione di cluster e gruppi di lavoro è bloccata quando i controlli di crittografia VPC sono attivi
enforce-in-progress -
È necessario attendere che il VPC raggiunga la
enforcemodalità prima di creare nuove risorse
Configurazione SSL
-
Parametro require_ssl: deve essere sempre valido
trueper i cluster e i gruppi di lavoro creati con crittografia applicata VPCs -
Una volta creato un cluster o un gruppo di lavoro in un VPC
require_sslcon crittografia applicata, non può essere disabilitato per tutta la sua durata
Disponibilità nelle Regioni
Questa funzionalità non è disponibile in modalità Enforce con Amazon Redshift Serverless nelle seguenti regioni:
-
Sud America (San Paolo)
-
Europa (Zurigo)
