Sicurezza dell'infrastruttura in Amazon Redshift

Come servizio gestito, Amazon Redshift è protetto dalla sicurezza di rete globale di AWS. Per informazioni sui servizi di sicurezza AWS e su come AWS protegge l'infrastruttura, consulta la pagina Sicurezza del cloud AWS. Per progettare l'ambiente AWS utilizzando le best practice per la sicurezza dell'infrastruttura, consulta la pagina Protezione dell'infrastruttura nel Pilastro della sicurezza di AWS Well‐Architected Framework.

Utilizzare le chiamate all'API pubblicate da AWS per accedere ad Amazon Redshift tramite la rete. I clienti devono supportare quanto segue:

Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa, è possibile utilizzare AWS Security Token Service (AWS STS) per generare le credenziali di sicurezza temporanee per sottoscrivere le richieste.

Isolamento di rete

Un Virtual Private Cloud (VPC) basato sul servizio Amazon VPC è la rete privata, isolata logicamente in AWS Cloud. È possibile distribuire un cluster Amazon Redshift all'interno di un VPC seguendo questa procedura:

Creare un VPC in una regione AWS. Per ulteriori informazioni, consultare Che cos'è Amazon VPC? nella Guida per l'utente di Amazon VPC
Creare due o più sottoreti VPC private. Per ulteriori informazioni, consultare VPC e sottoreti nella Guida per l'utente di Amazon VPC.
Distribuire un cluster Amazon Redshift. Per ulteriori informazioni, consultare Gruppi di sottoreti dei cluster Amazon Redshift.

Un cluster Amazon Redshift è bloccato per impostazione predefinita sul provisioning. Per consentire il traffico di rete in entrata dai client Amazon Redshift, associare un gruppo di sicurezza VPC in un cluster Amazon Redshift. Per ulteriori informazioni, consultare Gruppi di sottoreti dei cluster Amazon Redshift.

Per abilitare il solo traffico a o da intervalli di indirizzi IP specifici, aggiornare i gruppi di sicurezza con il VPC. Un esempio consiste nel consentire il traffico solo da o alla rete aziendale.

Durante la configurazione delle liste di controllo degli accessi di rete associati alle sottoreti con cui è taggato il cluster Amazon Redshift, assicurati che i rispettivi intervalli CIDR S3 della regione AWS siano aggiunti all'elenco degli elementi consentiti per le regole di ingresso e uscita. In questo modo potrai eseguire operazioni basate su S3 come Redshift Spectrum, COPY e UNLOAD senza interruzioni.

Nel seguente comando di esempio viene analizzata la risposta JSON per tutti gli indirizzi IPv4 utilizzati in Amazon S3 nella regione us-est-1.


curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'

54.231.0.0/17

52.92.16.0/20

52.216.0.0/15

Per le istruzioni su come ottenere intervalli IP S3 per una determinata regione, consulta Intervalli di indirizzi IP AWS.

Amazon Redshift supporta la distribuzione dei cluster in VPC con istanza dedicata a tenant singolo. Per ulteriori informazioni, consultare Istanze dedicate nella Guida per l'utente di Amazon EC2.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Resilienza

Gruppi di sicurezza