从补丁 198 开始,Amazon Redshift 将不再支持创建新的 Python UDF。现有的 Python UDF 将继续正常运行至 2026 年 6 月 30 日。有关更多信息,请参阅[博客文章](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)。
# 通过 Amazon Redshift 执行 VPC 加密控制功能
Amazon Redshift 支持 [VPC 加密控制](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html),这是一项安全功能,可助您对某个区域中的 VPC 内部以及跨 VPC 的所有流量强制执行传输中加密。本文档介绍如何在 Amazon Redshift 集群和无服务器工作组中执行 VPC 加密控制功能。
VPC 加密控制功能提供了集中化控制能力,以便在您的 VPC 内部监控并强制执行传输中加密。在强制模式下启用此功能后,它可确保所有网络流量都在硬件层(使用 AWS Nitro System)或应用层(使用 TLS/SSL)进行加密。
Amazon Redshift 与 VPC 加密控制功能集成,助您满足医疗保健(HIPAA)、政府(FedRAMP)和金融(PCI DSS)等行业的合规要求。
## VPC 加密控制功能与 Amazon Redshift 的协作方式
VPC 加密控制功能在两种模式下运行:
+ 监控模式:可清晰呈现流量的加密状态,并帮助识别允许非加密流量的资源。
+ 强制模式:禁止在 VPC 中创建或使用允许非加密流量的资源。所有流量都必须在硬件层(基于 Nitro 的实例)或应用层(TLS/SSL)进行加密。
## 使用 VPC 加密控制功能的要求
**实例类型要求**
Amazon Redshift 要求使用基于 Nitro 的实例来支持 VPC 加密控制功能。所有现代 Redshift 实例类型都支持必要的加密功能。
**SSL/TLS 要求**
在强制模式下启用 VPC 加密控制功能时,require\$1ssl 参数必须设置为 true 且不能禁用。这可确保所有客户端连接均采用加密的 TLS 连接。
## 迁移到 VPC 加密控制功能
**对于现有集群和工作组**
在包含现有 Redshift 集群或无服务器工作组的 VPC 上,无法在强制模式下启用 VPC 加密控制功能。如果您已有集群或工作组,请按以下步骤操作来使用加密控制功能:
1. 创建现有集群或命名空间的快照
1. 创建一个新的 VPC,并在强制模式下启用 VPC 加密控制功能
1. 通过使用下列操作之一,从快照还原至新 VPC:
+ 对于预调配集群:使用 `restore-from-cluster-snapshot` 操作
+ 对于无服务器:在工作组上使用 `restore-from-snapshot` 操作
**在 VPC 中创建新的集群或工作组并启用加密控制功能时,必须将 require\$1ssl 参数设置为 true。**
Amazon Redshift 要求使用基于 Nitro 的实例来支持 VPC 加密控制功能。所有现代 Redshift 实例类型都支持必要的加密功能。
**SSL/TLS 要求**
在强制模式下启用 VPC 加密控制功能时,require\$1ssl 参数必须设置为 true 且不能禁用。这可确保所有客户端连接均采用加密的 TLS 连接。
## 注意事项和限制
在 Amazon Redshift 中使用 VPC 加密控制功能时,需注意以下几点:
**VPC 状态限制**
+ 当 VPC 加密控制功能处于 `enforce-in-progress` 状态时,集群和工作组创建操作将被阻止
+ 您必须等到 VPC 进入 `enforce` 模式后,再创建新的资源
**SSL 配置**
+ require\$1ssl 参数:对于在已实施加密的 VPC 中创建的集群与工作组,该参数的值必须始终为 `true`
+ 在已实施加密的 VPC 中创建集群或工作组后,`require_ssl` 在其生命周期内不能禁用
**区域可用性**
在以下区域内,Amazon Redshift Serverless 不支持在强制模式下启用 VPC 加密控制功能:
+ 南美洲(圣保罗)
+ 欧洲(苏黎世)