Controles de cifrado de VPC con Amazon Redshift - Amazon Redshift
FuncionamientoRequisitosMigraciónConsideraciones

Amazon Redshift dejará de admitir la creación de nuevas UDF de Python a partir del 1 de noviembre de 2025. Si desea utilizar las UDF de Python, créelas antes de esa fecha. Las UDF de Python existentes seguirán funcionando con normalidad. Para obtener más información, consulte la publicación del blog.

Controles de cifrado de VPC con Amazon Redshift

Amazon Redshift admite los controles de cifrado de VPC, una característica de seguridad que lo ayuda a aplicar el cifrado en tránsito para todo el tráfico dentro de las VPC de una región y entre ellas. En este documento, se describe cómo utilizar los controles de cifrado de VPC con clústeres y grupos de trabajo sin servidor de Amazon Redshift.

Los controles de cifrado de las VPC proporcionan un control centralizado para supervisar y aplicar el cifrado en tránsito dentro de las VPC. Cuando se habilita en el modo obligatorio, se garantiza que todo el tráfico de la red esté cifrado en la capa de hardware (mediante el sistema AWS Nitro) o en la capa de aplicación (mediante TLS/SSL).

Amazon Redshift se integra con los controles de cifrado de VPC para ayudarlo a cumplir los requisitos de conformidad de sectores como el sanitario (HIPAA), el gobierno (FedRAMP) y el financiero (PCI DSS).

Cómo funcionan los controles de cifrado de VPC con Amazon Redshift

Los controles de cifrado de VPC funcionan de dos modos:

  • Modo de supervisión: proporciona visibilidad del estado de cifrado de los flujos de tráfico y ayuda a identificar los recursos que permiten el tráfico no cifrado.

  • Modo obligatorio: impide la creación o el uso de recursos que permiten el tráfico sin cifrar dentro de la VPC. Todo el tráfico debe cifrarse en la capa de hardware (instancias basadas en Nitro) o en la capa de aplicación (TLS/SSL).

Requisitos para usar los controles de cifrado de VPC

Requisitos de tipo de instancia

Amazon Redshift requiere que las instancias basadas en Nitro admitan los controles de cifrado de VPC. Todos los tipos de instancias de Redshift modernos admiten las capacidades de cifrado necesarias.

Requisitos de SSL/TLS

Cuando los controles de cifrado de VPC están habilitados en el modo obligatorio, el parámetro require_ssl debe estar establecido en true y no se puede desactivar. Esto garantiza que todas las conexiones de los clientes utilizan conexiones TLS cifradas.

Migración a controles de cifrado de VPC

Para clústeres y grupos de trabajo existentes

No puede habilitar los controles de cifrado de la VPC en el modo de aplicación en una VPC que contenga grupos de trabajo sin servidor o clústeres de Redshift existentes. Consulte los siguientes pasos para usar los controles de cifrado si tiene un clúster o un grupo de trabajo existente:

  1. Creación de una instantánea del clúster o espacio de nombres existente

  2. Creación de una nueva VPC con los controles de cifrado de VPC habilitados en el modo de aplicación

  3. Restaure desde la instantánea a la nueva VPC mediante una de estas operaciones:

    • Para los clústeres aprovisionados: utilice la operación restore-from-cluster-snapshot

    • Para sistemas sin servidor: utilice la operación restore-from-snapshot en el grupo de trabajo

Al crear nuevos clústeres o grupos de trabajo en una VPC con los controles de cifrado habilitados, el parámetro require_ssl debe estar establecido en true.

Amazon Redshift requiere que las instancias basadas en Nitro admitan los controles de cifrado de VPC. Todos los tipos de instancias de Redshift modernos admiten las capacidades de cifrado necesarias.

Requisitos de SSL/TLS

Cuando los controles de cifrado de VPC están habilitados en el modo obligatorio, el parámetro require_ssl debe estar establecido en true y no se puede desactivar. Esto garantiza que todas las conexiones de los clientes utilizan conexiones TLS cifradas.

Consideraciones y limitaciones

Cuando utilice controles de cifrado de VPC en Amazon Redshift, tenga en cuenta lo siguiente:

Restricciones estatales de VPC

  • La creación de clústeres y grupos de trabajo se bloquea cuando los controles de cifrado de VPC están en estado enforce-in-progress

  • Debe esperar a que la VPC alcance el modo enforce antes de crear nuevos recursos

Configuración de SSL

  • Parámetro require_ssl: debe ser siempre true para los clústeres y grupos de trabajo creados en VPC con cifrado reforzado

  • Una vez que se crea un clúster o un grupo de trabajo en una VPC con cifrado reforzado, require_ssl no se puede desactivar durante toda su vida útil

Disponibilidad por región

Esta característica no está disponible en modo obligatorio con Amazon Redshift sin servidor en las siguientes regiones:

  • América del Sur (São Paulo)

  • Europa (Zúrich)