Infrastruktursicherheit in Amazon Redshift - Amazon Redshift

Infrastruktursicherheit in Amazon Redshift

Als verwalteter Service ist Amazon Redshift durch die globalen Verfahren zur Gewährleistung der Netzwerksicherheit von AWS geschützt, die im Whitepaper Amazon Web Services: Übersicht über die Sicherheitsprozesse beschrieben sind.

Sie verwenden von AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Redshift zuzugreifen. Clients müssen Transport Layer Security (TLS) 1.0 oder höher unterstützen. Wir empfehlen TLS 1.2 oder höher. Clients müssen außerdem Cipher Suites mit PFS (Perfect Forward Secrecy) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systemen wie Java 7 und höher unterstützen diese Modi.

Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit AWS Security Token ServiceAWS STS () temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.

Sie können diese API-Vorgänge von einem beliebigen Netzwerkstandort aus aufrufen. Amazon Redshift unterstützt außerdem ressourcenbasierte Zugriffsrichtlinien. Dazu können Einschränkungen basierend auf der Quell-IP-Adresse zählen.

Netzwerkisolierung

Eine Virtual Private Cloud (VPC), die auf dem Amazon-VPC-Service basiert, ist Ihr privates, logisch isoliertes Netzwerk in der AWS-Cloud. Sie können einen Amazon-Redshift-Cluster in einer VPC bereitstellen, indem Sie die folgenden Schritte ausführen:

  • Erstellen Sie eine VPC in einer AWS-Region. Weitere Informationen finden Sie unter Was ist Amazon VPC? im Amazon-VPC-Benutzerhandbuch.

  • Erstellen Sie zwei oder mehr private VPC-Subnetze. Weitere Informationen finden Sie unter VPCs und Subnetze im Amazon-VPC-Benutzerhandbuch.

  • Stellen Sie einen Amazon-Redshift-Cluster bereit. Weitere Informationen finden Sie unter Amazon-Redshift-Cluster-Subnetzgruppen.

Ein Amazon-Redshift-Cluster ist bei der Bereitstellung standardmäßig gesperrt. Um eingehenden Netzwerkverkehr von Amazon-Redshift-Clients zuzulassen, ordnen Sie eine VPC-Sicherheitsgruppe einem Amazon-Redshift-Cluster zu. Weitere Informationen finden Sie unter Amazon-Redshift-Cluster-Subnetzgruppen.

Um Datenverkehr nur in oder von bestimmten IP-Adressbereichen zuzulassen, aktualisieren Sie die Sicherheitsgruppen mit Ihrer VPC. Ein Beispiel ist, Datenverkehr nur von oder zu Ihrem Unternehmensnetzwerk zuzulassen.

Amazon Redshift unterstützt die Bereitstellung von Clustern in Dedicated-Tenancy-VPCs. Weitere Informationen finden Sie unter Dedicated Instances im Amazon EC2-Benutzerhandbuch.