Amazon Redshift
クラスター管理ガイド

Amazon Redshift のインフラストラクチャセキュリティ

マネージド型サービスである Amazon Redshift は、ホワイトペーパー「アマゾン ウェブ サービスのセキュリティプロセスの概要」に記載されている AWS グローバルネットワークセキュリティの手順で保護されています。

AWS が公開した API コールを使用して、ネットワーク経由で Amazon Redshift にアクセスします。クライアントで Transport Layer Security (TLS) 1.0 以降がサポートされている必要があります。TLS 1.2 以降が推奨されています。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

また、リクエストは、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

これらの API オペレーションは任意のネットワークの場所から呼び出すことができます。さらに、Amazon Redshift はリソースベースのアクセスポリシーをサポートしており、それらのポリシーには、ソース IP アドレスに基づく制限を含めることができます。

ネットワークの隔離

Amazon VPC サービスに基づく Virtual Private Cloud (VPC) は、AWS クラウド内の論理的に隔離されたプライベートネットワークです。以下の手順を実行して、VPC 内に Amazon Redshift クラスターをデプロイできます。

  • AWS リージョンに VPC を作成します。詳細については、Amazon VPC ユーザーガイド の「Amazon VPC とは」を参照してください。

  • 2 つ以上のプライベート VPC サブネットを作成します。詳細については、『Amazon VPC ユーザーガイド』の「VPC とサブネット」を参照してください。

  • Amazon Redshift クラスターをデプロイします。詳細については、「Amazon Redshift のクラスターサブネットグループ」を参照してください。

Amazon Redshift クラスターは、プロビジョニング時にデフォルトでロックされます。Amazon Redshift クライアントからのインバウンドネットワークトラフィックを許可するには、VPC セキュリティグループを Amazon Redshift クラスターに関連付けます。詳細については、「Amazon Redshift のクラスターサブネットグループ」を参照してください。

特定の IP アドレス範囲へのトラフィックまたは特定の IP アドレス範囲からのトラフィックのみを許可するには、VPC を使用してセキュリティグループを更新します。一例として、企業ネットワークからのトラフィックまたは企業ネットワークへのトラフィックのみを許可する場合があります。

Amazon Redshift は、専用テナンシー VPC へのクラスターのデプロイをサポートしています。詳細については、『Amazon EC2 ユーザーガイド』の「専有インスタンス」を参照してください。

このページの内容: