Mengkonfigurasi opsi keamanan untuk koneksi - Amazon Redshift
Connect menggunakan SSLMenggunakan SSL dan mempercayai sertifikat CA di ODBCMenggunakan sertifikat SSL dan server di Java

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi opsi keamanan untuk koneksi

Amazon Redshift mendukung koneksi Secure Sockets Layer (SSL) untuk mengenkripsi data dan sertifikat server untuk memvalidasi sertifikat server yang terhubung dengan klien.

Connect menggunakan SSL

Untuk mendukung koneksi SSL, Amazon Redshift membuat dan menginstal sertifikat SSL (ACM)AWS Certificate Manager yang dikeluarkan pada setiap cluster. Sertifikat ACM dipercaya publik oleh sebagian besar sistem operasi, browser web, dan klien. Anda mungkin perlu mengunduh bundel sertifikat jika klien atau aplikasi SQL Anda terhubung ke Amazon Redshift menggunakan SSL dengan sslmode opsi koneksi disetel require keverify-ca,, atau. verify-full Jika klien Anda memerlukan sertifikat, Amazon Redshift menyediakan sertifikat bundel sebagai berikut:

  • Unduh bundel dari https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundle.crt.

    • Nomor checksum MD5 yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.

    • Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

    Jangan gunakan bundel sertifikat sebelumnya yang berada dihttps://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt.

  • Di China Wilayah AWS, unduh bundel dari https://s3.cn-north-1.amazonaws.com.cn/redshift-downloads-cn/amazon-trust-ca-bundle.crt.

    • Nomor checksum MD5 yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.

    • Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

    Jangan gunakan bundel sertifikat sebelumnya yang berada di https://s3.cn-north-1.amazonaws.com.cn/redshift-downloads-cn/redshift-ca-bundle.crt dan https://s3.cn-north-1.amazonaws.com.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem

penting

Amazon Redshift telah mengubah cara sertifikat SSL dikelola. Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke cluster Anda menggunakan SSL. Untuk informasi selengkapnya, lihat Transisi ke sertifikat ACM untuk koneksi SSL.

Secara default, database cluster menerima koneksi apakah menggunakan SSL atau tidak. Untuk mengonfigurasi klaster Anda agar memerlukan koneksi SSL, atur require_SSL parameter ke true dalam grup parameter yang terkait dengan cluster.

Amazon Redshift mendukung mode SSL yang sesuai dengan Federal Information Processing Standard (FIPS) 140-2. Mode SSL yang sesuai dengan FIPS dinonaktifkan secara default.

penting

Aktifkan mode SSL yang sesuai dengan FIPS hanya jika sistem Anda harus sesuai dengan FIPS.

Untuk mengaktifkan mode SSL yang sesuai dengan FIPS, setel use_fips_ssl parameter dan parameter ke true dalam grup require_SSL parameter yang terkait dengan cluster Amazon Redshift atau grup kerja Redshift Serverless. Untuk informasi tentang memodifikasi grup parameter pada klaster, lihatGrup parameter Amazon Redshift. Untuk informasi tentang memodifikasi grup parameter pada workgroup, lihat. Mengonfigurasi koneksi SSL yang sesuai dengan FIPS ke Amazon Redshift Tanpa Server

Amazon Redshift mendukung protokol perjanjian kunci Elliptic Curve Diffie—Hellman Ephemeral (ECDHE). Dengan ECDHE, klien dan server masing-masing memiliki elliptic curve public-private key pair yang digunakan untuk membangun rahasia bersama melalui saluran yang tidak aman. Anda tidak perlu mengonfigurasi apa pun di Amazon Redshift untuk mengaktifkan ECDHE. Jika Anda terhubung dari alat klien SQL yang menggunakan ECDHE untuk mengenkripsi komunikasi antara klien dan server, Amazon Redshift menggunakan daftar sandi yang disediakan untuk membuat koneksi yang sesuai. Untuk informasi lebih lanjut, lihat Elliptic curve diffie—hellman di Wikipedia dan Ciphers di situs web OpenSSL.

Menggunakan SSL dan mempercayai sertifikat CA di ODBC

Jika Anda terhubung menggunakan driver Amazon Redshift ODBC terbaru (versi 1.3.7.1000 atau yang lebih baru), Anda dapat melewati bagian ini. Untuk mengunduh driver terbaru, lihatMengkonfigurasi koneksi ODBC.

Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke cluster Anda menggunakan SSL. Untuk informasi selengkapnya, lihat Connect menggunakan SSL.

Anda dapat memverifikasi bahwa sertifikat yang Anda unduh cocok dengan nomor checksum MD5 yang diharapkan. Untuk melakukan ini, Anda dapat menggunakan program MD5sum pada sistem operasi Linux, atau alat lain pada sistem operasi Windows dan macOS X.

ODBC DSN berisi sslmode pengaturan yang menentukan cara menangani enkripsi untuk koneksi klien dan verifikasi sertifikat server. Amazon Redshift mendukung sslmode nilai-nilai berikut dari koneksi klien:

  • disable

    SSL dinonaktifkan dan koneksi tidak dienkripsi.

  • allow

    SSL digunakan jika server membutuhkannya.

  • prefer

    SSL digunakan jika server mendukungnya. Amazon Redshift mendukung SSL, jadi SSL digunakan saat Anda menyetelnya. sslmode prefer

  • require

    SSL diperlukan.

  • verify-ca

    SSL harus digunakan dan sertifikat server harus diverifikasi.

  • verify-full

    SSL harus digunakan. Sertifikat server harus diverifikasi dan nama host server harus cocok dengan atribut hostname pada sertifikat.

Anda dapat menentukan apakah SSL digunakan dan sertifikat server diverifikasi dalam koneksi antara klien dan server. Untuk melakukan ini, Anda perlu meninjau sslmode pengaturan untuk ODBC DSN Anda pada klien dan require_SSL pengaturan untuk cluster Amazon Redshift di server. Tabel berikut menjelaskan hasil enkripsi untuk berbagai kombinasi pengaturan klien dan server:

sslmode (klien) Require_SSL (server) Hasil
disable false Koneksi tidak dienkripsi.
disable true Koneksi tidak dapat dibuat karena server memerlukan SSL dan klien memiliki SSL dinonaktifkan untuk koneksi.
allow true Koneksi dienkripsi.
allow false Koneksi tidak dienkripsi.
prefer atau require true Koneksi dienkripsi.
prefer atau require false Koneksi dienkripsi.
verify-ca true Koneksi dienkripsi dan sertifikat server diverifikasi.
verify-ca false Koneksi dienkripsi dan sertifikat server diverifikasi.
verify-full true Koneksi dienkripsi dan sertifikat server dan nama host diverifikasi.
verify-full false Koneksi dienkripsi dan sertifikat server dan nama host diverifikasi.

Connect menggunakan sertifikat server dengan ODBC di Microsoft Windows

Jika Anda ingin terhubung ke klaster menggunakan SSL dan sertifikat server, unduh sertifikat terlebih dahulu ke komputer klien Anda atau instans Amazon EC2. Kemudian konfigurasikan ODBC DSN.

  1. Unduh bundel otoritas sertifikat Amazon Redshift ke komputer klien Anda di lib folder di direktori instalasi driver Anda, dan simpan file sebagai. root.crt Untuk informasi unduhan, lihat Connect menggunakan SSL.

  2. Buka Administrator Sumber Data ODBC, dan tambahkan atau edit entri DSN sistem untuk koneksi ODBC Anda. Untuk Mode SSL, pilih verify-full kecuali Anda menggunakan alias DNS. Jika Anda menggunakan alias DNS, pilih. verify-ca Lalu, pilih Simpan.

    Untuk informasi selengkapnya tentang mengonfigurasi ODBC DSN, lihat. Mengkonfigurasi koneksi ODBC

Menggunakan sertifikat SSL dan server di Java

SSL menyediakan satu lapisan keamanan dengan mengenkripsi data yang bergerak antara klien dan cluster Anda. Menggunakan sertifikat server memberikan lapisan keamanan tambahan dengan memvalidasi bahwa klaster tersebut adalah klaster Amazon Redshift. Ia melakukannya dengan memeriksa sertifikat server yang secara otomatis diinstal pada semua cluster yang Anda sediakan. Untuk informasi lebih lanjut tentang menggunakan sertifikat server dengan JDBC, buka Mengkonfigurasi klien dalam dokumentasi PostgreSQL.

Connect menggunakan sertifikat CA trust di Java

penting

Amazon Redshift telah mengubah cara sertifikat SSL dikelola. Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke cluster Anda menggunakan SSL. Untuk informasi selengkapnya, lihat Connect menggunakan SSL.

Untuk terhubung menggunakan sertifikat CA trust

Anda dapat menggunakan redshift-keytool.jar file tersebut untuk mengimpor sertifikat CA di bundel Amazon Redshift Certificate Authority ke Java TrustStore atau private Anda. TrustStore

  1. Jika Anda menggunakan -Djavax.net.ssl.trustStore opsi baris perintah Java, hapus dari baris perintah, jika memungkinkan.

  2. Unduh redshift-keytool.jar.

  3. Lakukan salah satu hal berikut ini:

    • Untuk mengimpor bundel Amazon Redshift Certificate Authority ke Java TrustStore, jalankan perintah berikut. 

      java -jar redshift-keytool.jar -s

    • Untuk mengimpor bundel Amazon Redshift Certificate Authority ke private Anda TrustStore, jalankan perintah berikut: 

      java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password>