Infrastruktursicherheit in Amazon Redshift

Als verwalteter Service ist Amazon Redshift durch die globale Netzwerksicherheit von AWS geschützt. Informationen zu AWS-Sicherheitsdiensten und wie AWS die Infrastruktur schützt, finden Sie unter AWSCloud-Sicherheit. Informationen zum Entwerfen Ihrer AWS-Umgebung anhand der bewährten Methoden für die Infrastruktursicherheit finden Sie unter Infrastrukturschutz im Security Pillar AWS Well‐Architected Framework.

Sie verwenden von AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Redshift zuzugreifen. Kunden müssen Folgendes unterstützen:

Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systemen wie Java 7 und höher unterstützen diese Modi.

Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.

Netzwerkisolierung

Eine Virtual Private Cloud (VPC), die auf dem Amazon-VPC-Service basiert, ist Ihr privates, logisch isoliertes Netzwerk in der AWS-Cloud. Sie können einen Amazon-Redshift-Cluster in einer VPC bereitstellen, indem Sie die folgenden Schritte ausführen:

Erstellen Sie eine VPC in einer AWS-Region. Weitere Informationen finden Sie unter Was ist Amazon VPC? im Amazon-VPC-Benutzerhandbuch.
Erstellen Sie zwei oder mehr private VPC-Subnetze. Weitere Informationen finden Sie unter VPCs und Subnetze im Amazon-VPC-Benutzerhandbuch.
Stellen Sie einen Amazon-Redshift-Cluster bereit. Weitere Informationen finden Sie unter Amazon-Redshift-Cluster-Subnetzgruppen.

Ein Amazon-Redshift-Cluster ist bei der Bereitstellung standardmäßig gesperrt. Um eingehenden Netzwerkverkehr von Amazon-Redshift-Clients zuzulassen, ordnen Sie eine VPC-Sicherheitsgruppe einem Amazon-Redshift-Cluster zu. Weitere Informationen finden Sie unter Amazon-Redshift-Cluster-Subnetzgruppen.

Um Datenverkehr nur in oder von bestimmten IP-Adressbereichen zuzulassen, aktualisieren Sie die Sicherheitsgruppen mit Ihrer VPC. Ein Beispiel ist, Datenverkehr nur von oder zu Ihrem Unternehmensnetzwerk zuzulassen.

Stellen Sie beim Konfigurieren von Netzwerk-Zugriffssteuerungslisten, die den Subnetzen zugeordnet sind, mit denen Ihr Amazon-Redshift-Cluster gekennzeichnet ist, sicher, dass die S3-CIDR-Bereiche der jeweiligen AWS-Region zur Zulassungsliste für Eingangs- und Ausgangsregeln hinzugefügt werden. Auf diese Weise können Sie S3-basierte Vorgänge wie Redshift Spectrum, COPY und UNLOAD ohne Unterbrechungen ausführen.

Der folgende Beispielbefehl analysiert die JSON-Antwort für alle IPv4-Adressen, die in Amazon S3 in der Region us-east-1 verwendet werden.


curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'

54.231.0.0/17

52.92.16.0/20

52.216.0.0/15

Anweisungen zum Abrufen von S3-IP-Bereichen für eine bestimmte Region finden Sie unter AWS-IP-Adressbereiche.

Amazon Redshift unterstützt die Bereitstellung von Clustern in Dedicated-Tenancy-VPCs. Weitere Informationen finden Sie unter Dedicated Instances im Amazon EC2-Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ausfallsicherheit

Sicherheitsgruppen