VPC-Verschlüsselungskontrollen mit Amazon Redshift - Amazon Redshift
FunktionsweiseVoraussetzungenMigrationÜberlegungen

Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im Blog-Posting.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

VPC-Verschlüsselungskontrollen mit Amazon Redshift

Amazon Redshift unterstützt VPC-Verschlüsselungskontrollen, eine Sicherheitsfunktion, mit der Sie die Verschlüsselung während der Übertragung für den gesamten Datenverkehr innerhalb und zwischen VPCs einer Region durchsetzen können. In diesem Dokument wird beschrieben, wie VPC-Verschlüsselungskontrollen mit Amazon Redshift Redshift-Clustern und serverlosen Arbeitsgruppen verwendet werden.

VPC-Verschlüsselungskontrollen bieten eine zentrale Steuerung zur Überwachung und Durchsetzung der Verschlüsselung während der Übertragung innerhalb Ihres VPCs Unternehmens. Wenn sie im Erzwingungsmodus aktiviert ist, wird sichergestellt, dass der gesamte Netzwerkverkehr entweder auf der Hardwareebene (mit AWS Nitro System) oder auf der Anwendungsebene (mit TLS/SSL) verschlüsselt wird.

Amazon Redshift lässt sich in VPC-Verschlüsselungskontrollen integrieren, um Sie bei der Erfüllung von Compliance-Anforderungen für Branchen wie Gesundheitswesen (HIPAA), Behörden (FedRAMP) und Finanzen (PCI DSS) zu unterstützen.

So funktionieren VPC-Verschlüsselungskontrollen mit Amazon Redshift

VPC-Verschlüsselungskontrollen funktionieren in zwei Modi:

  • Überwachungsmodus: Bietet Einblick in den Verschlüsselungsstatus von Datenströmen und hilft bei der Identifizierung von Ressourcen, die unverschlüsselten Datenverkehr zulassen.

  • Erzwingungsmodus: Verhindert die Erstellung oder Verwendung von Ressourcen, die unverschlüsselten Datenverkehr innerhalb der VPC zulassen. Der gesamte Datenverkehr muss entweder auf der Hardwareebene (Nitro-basierte Instances) oder auf der Anwendungsebene (TLS/SSL) verschlüsselt werden.

Anforderungen für die Verwendung von VPC-Verschlüsselungskontrollen

Anforderungen an den Instanztyp

Amazon Redshift benötigt Nitro-basierte Instances, um VPC-Verschlüsselungskontrollen zu unterstützen. Alle modernen Redshift-Instanztypen unterstützen die erforderlichen Verschlüsselungsfunktionen.

SSL/TLS-Anforderungen

Wenn VPC-Verschlüsselungskontrollen im Erzwingungsmodus aktiviert sind, muss der Parameter require_ssl auf true gesetzt werden und kann nicht deaktiviert werden. Dadurch wird sichergestellt, dass alle Client-Verbindungen verschlüsselte TLS-Verbindungen verwenden.

Migration zu VPC-Verschlüsselungssteuerungen

Für bestehende Cluster und Arbeitsgruppen

Sie können VPC-Verschlüsselungskontrollen nicht im Erzwingungsmodus auf einer VPC aktivieren, die vorhandene Redshift-Cluster oder serverlose Arbeitsgruppen enthält. Gehen Sie wie folgt vor, um Verschlüsselungskontrollen zu verwenden, wenn Sie bereits über einen Cluster oder eine Arbeitsgruppe verfügen:

  1. Erstellen Sie einen Snapshot Ihres vorhandenen Clusters oder Namespaces

  2. Erstellen Sie eine neue VPC mit aktivierten VPC-Verschlüsselungskontrollen im Erzwingungsmodus

  3. Stellen Sie mithilfe einer der folgenden Operationen eine Wiederherstellung vom Snapshot in die neue VPC her:

    • Für bereitgestellte Cluster: Verwenden Sie den Vorgang restore-from-cluster-snapshot

    • Für serverlose Systeme: Verwenden Sie den restore-from-snapshot Vorgang in Ihrer Arbeitsgruppe

Beim Erstellen neuer Cluster oder Arbeitsgruppen in einer VPC mit aktivierten Verschlüsselungskontrollen muss der Parameter require_ssl auf true gesetzt werden.

Amazon Redshift benötigt Nitro-basierte Instances, um VPC-Verschlüsselungskontrollen zu unterstützen. Alle modernen Redshift-Instanztypen unterstützen die erforderlichen Verschlüsselungsfunktionen.

SSL/TLS-Anforderungen

Wenn VPC-Verschlüsselungskontrollen im Erzwingungsmodus aktiviert sind, muss der Parameter require_ssl auf true gesetzt werden und kann nicht deaktiviert werden. Dadurch wird sichergestellt, dass alle Client-Verbindungen verschlüsselte TLS-Verbindungen verwenden.

Überlegungen und Einschränkungen

Beachten Sie bei der Verwendung von VPC-Verschlüsselungskontrollen in Amazon Redshift Folgendes:

VPC-State-Einschränkungen

  • Die Erstellung von Clustern und Arbeitsgruppen wird blockiert, wenn die VPC-Verschlüsselungssteuerung aktiviert ist enforce-in-progress

  • Sie müssen warten, bis die VPC den enforce Modus erreicht hat, bevor Sie neue Ressourcen erstellen.

SSL-Konfiguration

  • require_ssl-Parameter: Muss immer true für Cluster und Arbeitsgruppen gelten, die mit verschlüsselter Verschlüsselung erstellt wurden VPCs

  • Sobald ein Cluster oder eine Arbeitsgruppe in einer VPC mit Verschlüsselungserzwang erstellt wurde, require_ssl kann er für seine gesamte Lebensdauer nicht deaktiviert werden

Verfügbarkeit in Regionen

Diese Funktion ist im Erzwingungsmodus mit Amazon Redshift Serverless in den folgenden Regionen nicht verfügbar:

  • Südamerika (São Paulo)

  • Europa (Zürich)