Amazon Redshift による VPC 暗号化コントロール - Amazon Redshift
仕組み要件移行考慮事項

Amazon Redshift は、パッチ 198 以降、新しい Python UDF の作成をサポートしなくなります。既存の Python UDF は、2026 年 6 月 30 日まで引き続き機能します。詳細については、ブログ記事を参照してください。

Amazon Redshift による VPC 暗号化コントロール

Amazon Redshift は、VPC 暗号化コントロールをサポートしています。VPC 暗号化コントロールは、リージョン内の VPC 内および VPC 間で転送中のすべてのトラフィックに対して暗号化を適用するのに役立つセキュリティ機能です。このドキュメントでは、Amazon Redshift クラスターとサーバーレスワークグループで VPC 暗号化コントロールを使用する方法について説明します。

VPC 暗号化コントロールは、VPC 内の転送中の暗号化を監視および適用するための一元的なコントロールを提供します。強制モードで有効にすると、すべてのネットワークトラフィックがハードウェアレイヤー (AWS Nitro System を使用) またはアプリケーションレイヤー (TLS/SSL を使用) で暗号化されます。

Amazon Redshift は VPC 暗号化コントロールと統合され、医療 (HIPAA)、政府 (FedRAMP)、財務 (PCI DSS) などの業界のコンプライアンス要件を満たすのに役立ちます。

Amazon Redshift での VPC 暗号化コントロールの仕組み

VPC 暗号化コントロールは 2 つのモードで動作します。

  • モニタリングモード: トラフィックフローの暗号化ステータスを可視化し、暗号化されていないトラフィックを許可するリソースを特定するのに役立ちます。

  • 強制モード: VPC 内の暗号化されていないトラフィックを許可するリソースの作成または使用を防止します。すべてのトラフィックは、ハードウェアレイヤー (Nitro ベースのインスタンス) またはアプリケーションレイヤー (TLS/SSL) で暗号化する必要があります。

VPC 暗号化コントロールを使用するための要件

インスタンスタイプの要件

Amazon Redshift では、VPC 暗号化コントロールをサポートするために Nitro ベースのインスタンスが必要です。最新の Redshift インスタンスタイプはすべて、必要な暗号化機能をサポートしています。

SSL/TLS の要件

VPC 暗号化コントロールが強制モードで有効になっている場合、require_ssl パラメータを true に設定する必要があり、無効にすることはできません。これにより、すべてのクライアント接続で、暗号化された TLS 接続が使用されます。

VPC 暗号化コントロールへの移行

既存のクラスターとワークグループの場合

既存の Redshift クラスターまたはサーバーレスワークグループを含む VPC では、強制モードで VPC 暗号化コントロールを有効にすることはできません。既存のクラスターまたはワークグループがある場合は、次の手順を参照して暗号化コントロールを使用します。

  1. 既存のクラスターまたは名前空間のスナップショットを作成します。

  2. 強制モードで VPC 暗号化コントロールを有効にして新しい VPC を作成する

  3. 次のいずれかの操作を使用して、スナップショットから新しい VPC に復元します。

    • プロビジョニングされたクラスターの場合: restore-from-cluster-snapshot オペレーションを使用します。

    • サーバーレスの場合: ワークグループで restore-from-snapshot オペレーションを使用します。

暗号化コントロールを有効にして VPC に新しいクラスターまたはワークグループを作成する場合、require_ssl パラメータを true に設定する必要があります。

Amazon Redshift では、VPC 暗号化コントロールをサポートするために Nitro ベースのインスタンスが必要です。最新の Redshift インスタンスタイプはすべて、必要な暗号化機能をサポートしています。

SSL/TLS の要件

VPC 暗号化コントロールが強制モードで有効になっている場合、require_ssl パラメータを true に設定する必要があり、無効にすることはできません。これにより、すべてのクライアント接続で、暗号化された TLS 接続が使用されます。

考慮事項と制限

Amazon Redshift で VPC 暗号化コントロールを使用する場合は、次の点を考慮してください。

VPC の状態の制限

  • VPC 暗号化コントロールが enforce-in-progress 状態になると、クラスターとワークグループの作成がブロックされます

  • 新しいリソースを作成する前に、VPC が enforce モードになるまで待つ必要があります

SSL 設定

  • require_ssl パラメータ: 暗号化が強制された VPC で作成されたクラスターとワークグループの場合は常に true である必要があります

  • クラスターまたはワークグループが暗号化が強制された VPC に作成されると、require_ssl はその有効期間にわたって無効にすることはできません。

リージョンの可用性

この機能は、次のリージョンの Amazon Redshift Serverless では、強制モードで使用できません。

  • 南米 (サンパウロ)

  • 欧州 (チューリッヒ)