

 Amazon Redshift は、パッチ 198 以降、新しい Python UDF の作成をサポートしなくなります。既存の Python UDF は、2026 年 6 月 30 日まで引き続き機能します。詳細については、[ブログ記事](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)を参照してください。

# Amazon Redshift による VPC 暗号化コントロール
<a name="security-vpc-encryption-controls"></a>

Amazon Redshift は、[VPC 暗号化コントロール](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html)をサポートしています。VPC 暗号化コントロールは、リージョン内の VPC 内および VPC 間で転送中のすべてのトラフィックに対して暗号化を適用するのに役立つセキュリティ機能です。このドキュメントでは、Amazon Redshift クラスターとサーバーレスワークグループで VPC 暗号化コントロールを使用する方法について説明します。

VPC 暗号化コントロールは、VPC 内の転送中の暗号化を監視および適用するための一元的なコントロールを提供します。強制モードで有効にすると、すべてのネットワークトラフィックがハードウェアレイヤー (AWS Nitro System を使用) またはアプリケーションレイヤー (TLS/SSL を使用) で暗号化されます。

Amazon Redshift は VPC 暗号化コントロールと統合され、医療 (HIPAA)、政府 (FedRAMP)、財務 (PCI DSS) などの業界のコンプライアンス要件を満たすのに役立ちます。

## Amazon Redshift での VPC 暗号化コントロールの仕組み
<a name="security-vpc-encryption-controls-sypnosis"></a>

VPC 暗号化コントロールは 2 つのモードで動作します。
+ モニタリングモード: トラフィックフローの暗号化ステータスを可視化し、暗号化されていないトラフィックを許可するリソースを特定するのに役立ちます。
+ 強制モード: VPC 内の暗号化されていないトラフィックを許可するリソースの作成または使用を防止します。すべてのトラフィックは、ハードウェアレイヤー (Nitro ベースのインスタンス) またはアプリケーションレイヤー (TLS/SSL) で暗号化する必要があります。

## VPC 暗号化コントロールを使用するための要件
<a name="security-vpc-encryption-controls-requirements"></a>

**インスタンスタイプの要件**

Amazon Redshift では、VPC 暗号化コントロールをサポートするために Nitro ベースのインスタンスが必要です。最新の Redshift インスタンスタイプはすべて、必要な暗号化機能をサポートしています。

**SSL/TLS の要件**

VPC 暗号化コントロールが強制モードで有効になっている場合、require\$1ssl パラメータを true に設定する必要があり、無効にすることはできません。これにより、すべてのクライアント接続で、暗号化された TLS 接続が使用されます。

## VPC 暗号化コントロールへの移行
<a name="security-vpc-encryption-controls-migration"></a>

**既存のクラスターとワークグループの場合**

既存の Redshift クラスターまたはサーバーレスワークグループを含む VPC では、強制モードで VPC 暗号化コントロールを有効にすることはできません。既存のクラスターまたはワークグループがある場合は、次の手順を参照して暗号化コントロールを使用します。

1. 既存のクラスターまたは名前空間のスナップショットを作成します。

1. 強制モードで VPC 暗号化コントロールを有効にして新しい VPC を作成する

1. 次のいずれかの操作を使用して、スナップショットから新しい VPC に復元します。
   + プロビジョニングされたクラスターの場合: `restore-from-cluster-snapshot` オペレーションを使用します。
   + サーバーレスの場合: ワークグループで `restore-from-snapshot` オペレーションを使用します。

**暗号化コントロールを有効にして VPC に新しいクラスターまたはワークグループを作成する場合、require\$1ssl パラメータを true に設定する必要があります。**

Amazon Redshift では、VPC 暗号化コントロールをサポートするために Nitro ベースのインスタンスが必要です。最新の Redshift インスタンスタイプはすべて、必要な暗号化機能をサポートしています。

**SSL/TLS の要件**

VPC 暗号化コントロールが強制モードで有効になっている場合、require\$1ssl パラメータを true に設定する必要があり、無効にすることはできません。これにより、すべてのクライアント接続で、暗号化された TLS 接続が使用されます。

## 考慮事項と制限
<a name="security-vpc-encryption-controls-limitations"></a>

Amazon Redshift で VPC 暗号化コントロールを使用する場合は、次の点を考慮してください。

**VPC の状態の制限**
+ VPC 暗号化コントロールが `enforce-in-progress` 状態になると、クラスターとワークグループの作成がブロックされます
+ 新しいリソースを作成する前に、VPC が `enforce` モードになるまで待つ必要があります

**SSL 設定**
+ require\$1ssl パラメータ: 暗号化が強制された VPC で作成されたクラスターとワークグループの場合は常に `true` である必要があります
+ クラスターまたはワークグループが暗号化が強制された VPC に作成されると、`require_ssl` はその有効期間にわたって無効にすることはできません。

**リージョンの可用性**

この機能は、次のリージョンの Amazon Redshift Serverless では、強制モードで使用できません。
+ 南米 (サンパウロ)
+ 欧州 (チューリッヒ)