Kontrol enkripsi VPC dengan Amazon Redshift

Amazon Redshift mendukung kontrol enkripsi VPC, fitur keamanan yang membantu Anda menerapkan enkripsi saat transit untuk semua lalu lintas di dalam dan di seluruh Wilayah. VPCs Dokumen ini menjelaskan cara menggunakan kontrol enkripsi VPC dengan klaster Amazon Redshift dan grup kerja tanpa server.

Kontrol enkripsi VPC menyediakan kontrol terpusat untuk memantau dan menegakkan enkripsi saat transit di dalam Anda. VPCs Ketika diaktifkan dalam mode penegakan, ini memastikan bahwa semua lalu lintas jaringan dienkripsi baik di lapisan perangkat keras (menggunakan Sistem AWS Nitro) atau pada lapisan aplikasi (menggunakan TLS/SSL).

Amazon Redshift terintegrasi dengan kontrol enkripsi VPC untuk membantu Anda memenuhi persyaratan kepatuhan untuk industri seperti layanan kesehatan (HIPAA), pemerintah (FedRAMP), dan keuangan (PCI DSS).

Cara kerja kontrol enkripsi VPC dengan Amazon Redshift

Kontrol enkripsi VPC beroperasi dalam dua mode:

• Mode Monitor: Memberikan visibilitas ke dalam status enkripsi arus lalu lintas dan membantu mengidentifikasi sumber daya yang memungkinkan lalu lintas tidak terenkripsi.

• Menegakkan Mode: Mencegah pembuatan atau penggunaan sumber daya yang memungkinkan lalu lintas tidak terenkripsi dalam VPC. Semua lalu lintas harus dienkripsi baik pada lapisan perangkat keras (instance berbasis Nitro) atau lapisan aplikasi (TLS/SSL).

Persyaratan untuk menggunakan kontrol enkripsi VPC

Persyaratan jenis instans

Amazon Redshift memerlukan instans berbasis Nitro untuk mendukung kontrol enkripsi VPC. Semua jenis instans Redshift modern mendukung kemampuan enkripsi yang diperlukan.

Persyaratan SSL/TLS

Ketika kontrol enkripsi VPC diaktifkan dalam mode enforce, parameter require_ssl harus disetel ke true dan tidak dapat dinonaktifkan. Ini memastikan bahwa semua koneksi klien menggunakan koneksi TLS terenkripsi.

Migrasi ke kontrol ecncryption VPC

Untuk cluster dan kelompok kerja yang ada

Anda tidak dapat mengaktifkan kontrol enkripsi VPC dalam mode penerapan pada VPC yang berisi klaster Redshift atau grup kerja tanpa server yang ada. Lihat langkah-langkah berikut untuk menggunakan kontrol enkripsi jika Anda memiliki klaster atau grup kerja yang ada:

1. Buat snapshot dari cluster atau namespace yang ada

2. Buat VPC baru dengan kontrol enkripsi VPC yang diaktifkan dalam mode penegakkan

3. Kembalikan dari snapshot ke VPC baru menggunakan salah satu operasi ini:

   • Untuk cluster yang disediakan: Gunakan operasi restore-from-cluster-snapshot

   • Untuk tanpa server: Gunakan restore-from-snapshot operasi di workgroup Anda

Saat membuat cluster atau workgroup baru di VPC dengan kontrol enkripsi diaktifkan, parameter require_ssl harus disetel ke true.

Amazon Redshift memerlukan instans berbasis Nitro untuk mendukung kontrol enkripsi VPC. Semua jenis instans Redshift modern mendukung kemampuan enkripsi yang diperlukan.

Persyaratan SSL/TLS

Ketika kontrol enkripsi VPC diaktifkan dalam mode enforce, parameter require_ssl harus disetel ke true dan tidak dapat dinonaktifkan. Ini memastikan bahwa semua koneksi klien menggunakan koneksi TLS terenkripsi.

Pertimbangan dan batasan

Saat menggunakan kontrol enkripsi VPC di Amazon Redshift, pertimbangkan hal berikut:

Pembatasan Negara VPC

• Pembuatan cluster dan workgroup diblokir saat kontrol enkripsi VPC dalam status enforce-in-progress

• Anda harus menunggu hingga VPC mencapai enforce mode sebelum membuat sumber daya baru

Konfigurasi SSL

• parameter require_ssl: Harus selalu true untuk cluster dan grup kerja yang dibuat dalam enkripsi yang diberlakukan VPCs

• Setelah klaster atau grup kerja dibuat dalam require_ssl VPC yang diberlakukan enkripsi, tidak dapat dinonaktifkan selama masa pakainya

Ketersediaan Wilayah

Fitur ini tidak tersedia dalam mode penegakan dengan Amazon Redshift Tanpa Server di Wilayah berikut:

• Amerika Selatan (Sao Paulo)

• Europe (Zurich)