Seguridad de la infraestructura de Amazon Redshift

Como se trata de un servicio administrado, Amazon Redshift está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWS protege la infraestructura, consulte Seguridad en la nube de AWS. Para diseñar su entorno de AWS con las prácticas recomendadas de seguridad de infraestructura, consulte Protección de la infraestructura en Portal de seguridad de AWS Well‐Architected Framework.

Puede utilizar llamadas a la API publicadas de AWS para acceder a Amazon Redshift a través de la red. Los clientes deben admitir lo siguiente:

Seguridad de la capa de transporte (TLS). Nosotros exigimos TLS 1.2 y recomendamos TLS 1.3.
Conjuntos de cifrado con confidencialidad directa total (PFS) tales como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad de seguridad de IAM. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Aislamiento de red

Una nube virtual privada (VPC) basada en el servicio Amazon VPC es su red privada y aislada de manera lógica en la nube de AWS. Puede implementar un clúster de Amazon Redshift en una VPC completando los siguientes pasos:

Cree una VPC en una región de AWS. Para obtener más información, consulte ¿Qué es Amazon VPC? en la Guía del usuario de Amazon VPC.
Cree dos o más subredes de VPC privadas. Para obtener más información, consulte VPC y subredes en la Guía del usuario de Amazon VPC.
Implemente un clúster de Amazon Redshift. Para obtener más información, consulte Grupos de subredes del clúster de Amazon Redshift.

Los clústeres de Amazon Redshift se encuentran bloqueados de forma predeterminada desde el aprovisionamiento. Para permitir el tráfico de red entrante de los clientes de Amazon Redshift, asocie un grupo de seguridad de VPC a un clúster de Amazon Redshift. Para obtener más información, consulte Grupos de subredes del clúster de Amazon Redshift.

Para permitir el tráfico solo hacia o desde rangos de direcciones IP específicos, actualice los grupos de seguridad con su VPC. Un ejemplo consiste en permitir el tráfico solo desde o hacia su red corporativa.

Al configurar las listas de control de acceso a la red asociadas con las subredes con las que está etiquetado el clúster de Amazon Redshift, asegúrese de que los intervalos de CIDR de S3 de la región de AWS se agreguen a la lista de permitidos para las reglas de entrada y de salida. Esto le permite ejecutar operaciones basadas en S3, como Redshift Spectrum, COPY y UNLOAD, sin interrupciones.

El siguiente comando de ejemplo analiza la respuesta JSON de todas las direcciones IPv4 utilizadas en Amazon S3 en la región us-east-1.


curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'

54.231.0.0/17

52.92.16.0/20

52.216.0.0/15

Para obtener instrucciones sobre cómo conseguir rangos de IP de S3 para una región en particular, consulte Rangos de direcciones IP de AWS.

Amazon Redshift admite la implementación de clústeres en las VPC de tenencia dedicada. Para obtener más información, consulte Instancias dedicadas en la Guía del usuario de Amazon EC2.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Resiliencia

Grupos de seguridad