Keamanan infrastruktur di Amazon Redshift - Amazon Redshift
Isolasi jaringan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan infrastruktur di Amazon Redshift

Sebagai layanan terkelola, Amazon Redshift dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud. Untuk merancang AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat Perlindungan Infrastruktur dalam Kerangka Kerja Pilar Keamanan yang AWS Diarsiteksikan dengan Baik.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon Redshift melalui jaringan. Klien harus mendukung hal berikut:

  • Transport Layer Security (TLS). Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.

  • Suite cipher dengan kerahasiaan maju sempurna (PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan sistem yang lebih baru mendukung mode ini.

Selain itu, permintaan harus ditandatangani menggunakan access key ID dan secret access key yang terkait dengan principal IAM. Atau, Anda bisa menggunakan AWS Security Token Service (AWS STS) untuk membuat kredensial keamanan sementara untuk menandatangani permintaan.

Isolasi jaringan

Cloud pribadi virtual (VPC) berdasarkan layanan Amazon VPC adalah jaringan pribadi Anda yang terisolasi secara logis di AWS Cloud. Anda dapat menerapkan klaster Amazon Redshift dalam VPC dengan mengambil langkah-langkah berikut:

  • Buat VPC di AWS Wilayah. Untuk informasi lebih lanjut, lihat Apa itu Amazon VPC? di Panduan Pengguna Amazon VPC.

  • Buat dua atau lebih subnet VPC pribadi. Untuk informasi lebih lanjut, lihat VPC dan subnet di Panduan Pengguna Amazon VPC.

  • Menerapkan klaster Amazon Redshift. Untuk informasi selengkapnya, lihat Grup subnet klaster Amazon Redshift.

Klaster Amazon Redshift dikunci secara default pada saat penyediaan. Untuk mengizinkan lalu lintas jaringan masuk dari klien Amazon Redshift, kaitkan grup keamanan VPC dengan klaster Amazon Redshift. Untuk informasi selengkapnya, lihat Grup subnet klaster Amazon Redshift.

Untuk mengizinkan lalu lintas hanya ke atau dari rentang alamat IP tertentu, perbarui grup keamanan dengan VPC Anda. Contohnya adalah mengizinkan lalu lintas hanya dari atau ke jaringan perusahaan Anda.

Saat mengonfigurasi daftar kontrol akses jaringan yang terkait dengan subnet klaster Amazon Redshift Anda diberi tag, pastikan rentang S3 CIDR AWS Wilayah masing-masing ditambahkan ke daftar yang diizinkan untuk aturan ingress dan egress. Dengan demikian, Anda dapat menjalankan operasi berbasis S3 seperti Redshift Spectrum, COPY, dan UNLOAD tanpa gangguan apa pun.

Perintah contoh berikut mengurai respons JSON untuk semua alamat IPv4 yang digunakan di Amazon S3 di Wilayah us-east-1.

curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'

54.231.0.0/17

52.92.16.0/20

52.216.0.0/15

Untuk petunjuk tentang cara mendapatkan rentang IP S3 untuk wilayah tertentu, lihat rentang alamat AWS IP.

Amazon Redshift mendukung penerapan klaster ke dalam VPC penyewaan khusus. Untuk informasi selengkapnya, lihat Instans khusus di Panduan Pengguna Amazon EC2.