从补丁 198 开始,Amazon Redshift 将不再支持创建新的 Python UDF。现有的 Python UDF 将继续正常运行至 2026 年 6 月 30 日。有关更多信息,请参阅博客文章
通过 Amazon Redshift 执行 VPC 加密控制功能
Amazon Redshift 支持 VPC 加密控制,这是一项安全功能,可助您对某个区域中的 VPC 内部以及跨 VPC 的所有流量强制执行传输中加密。本文档介绍如何在 Amazon Redshift 集群和无服务器工作组中执行 VPC 加密控制功能。
VPC 加密控制功能提供了集中化控制能力,以便在您的 VPC 内部监控并强制执行传输中加密。在强制模式下启用此功能后,它可确保所有网络流量都在硬件层(使用 AWS Nitro System)或应用层(使用 TLS/SSL)进行加密。
Amazon Redshift 与 VPC 加密控制功能集成,助您满足医疗保健(HIPAA)、政府(FedRAMP)和金融(PCI DSS)等行业的合规要求。
VPC 加密控制功能与 Amazon Redshift 的协作方式
VPC 加密控制功能在两种模式下运行:
-
监控模式:可清晰呈现流量的加密状态,并帮助识别允许非加密流量的资源。
-
强制模式:禁止在 VPC 中创建或使用允许非加密流量的资源。所有流量都必须在硬件层(基于 Nitro 的实例)或应用层(TLS/SSL)进行加密。
使用 VPC 加密控制功能的要求
实例类型要求
Amazon Redshift 要求使用基于 Nitro 的实例来支持 VPC 加密控制功能。所有现代 Redshift 实例类型都支持必要的加密功能。
SSL/TLS 要求
在强制模式下启用 VPC 加密控制功能时,require_ssl 参数必须设置为 true 且不能禁用。这可确保所有客户端连接均采用加密的 TLS 连接。
迁移到 VPC 加密控制功能
对于现有集群和工作组
在包含现有 Redshift 集群或无服务器工作组的 VPC 上,无法在强制模式下启用 VPC 加密控制功能。如果您已有集群或工作组,请按以下步骤操作来使用加密控制功能:
-
创建现有集群或命名空间的快照
-
创建一个新的 VPC,并在强制模式下启用 VPC 加密控制功能
-
通过使用下列操作之一,从快照还原至新 VPC:
-
对于预调配集群:使用
restore-from-cluster-snapshot操作 -
对于无服务器:在工作组上使用
restore-from-snapshot操作
-
在 VPC 中创建新的集群或工作组并启用加密控制功能时,必须将 require_ssl 参数设置为 true。
Amazon Redshift 要求使用基于 Nitro 的实例来支持 VPC 加密控制功能。所有现代 Redshift 实例类型都支持必要的加密功能。
SSL/TLS 要求
在强制模式下启用 VPC 加密控制功能时,require_ssl 参数必须设置为 true 且不能禁用。这可确保所有客户端连接均采用加密的 TLS 连接。
注意事项和限制
在 Amazon Redshift 中使用 VPC 加密控制功能时,需注意以下几点:
VPC 状态限制
-
当 VPC 加密控制功能处于
enforce-in-progress状态时,集群和工作组创建操作将被阻止 -
您必须等到 VPC 进入
enforce模式后,再创建新的资源
SSL 配置
-
require_ssl 参数:对于在已实施加密的 VPC 中创建的集群与工作组,该参数的值必须始终为
true -
在已实施加密的 VPC 中创建集群或工作组后,
require_ssl在其生命周期内不能禁用
区域可用性
在以下区域内,Amazon Redshift Serverless 不支持在强制模式下启用 VPC 加密控制功能:
-
南美洲(圣保罗)
-
欧洲(苏黎世)
