Amazon Redshift 的基礎設施安全

Amazon Redshift 是一項受管服務，受到 AWS 全球網路安全的保護。如需有關 AWS 安全服務以及 AWS 如何保護基礎設施的詳細資訊，請參閱 AWS 雲端安全。若要使用基礎設施安全性的最佳實務來設計您的 AWS 環境，請參閱安全性支柱 AWS 架構良好的框架中的基礎設施保護。

您可使用 AWS 發佈的 API 呼叫，透過網路存取 Amazon Redshift。用戶端必須支援下列項目：

• Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。

• 具備完美轉送私密(PFS)的密碼套件，例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。

此外，請求必須使用存取索引鍵 ID 和與 IAM 主體相關聯的私密存取索引鍵來簽署。或者，您可以使用 AWS Security Token Service (AWS STS) 來產生暫時安全憑證來簽署請求。

網路隔離

以 Amazon VPC 服務為基礎的虛擬私有雲端 (VPC) 為您在 AWS 雲端中的私有、邏輯上隔離的網路。您可以執行下列步驟，在 VPC 內部署 Amazon Redshift 叢集：

• 在 AWS 區域中建立 VPC。如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC？。

• 建立兩個或多個私有 VPC 子網路。如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的 VPC 和子網路。

• 部署 Amazon Redshift 叢集。如需更多詳細資訊，請參閱 Amazon Redshift 叢集子網路群組。

依預設會在佈建時鎖定 Amazon Redshift 叢集。若要允許來自 Amazon Redshift 用戶端的傳入網路流量，請將 VPC 安全群組與 Amazon Redshift 叢集相關聯。如需更多詳細資訊，請參閱 Amazon Redshift 叢集子網路群組。

若要僅允許往返特定 IP 位址範圍的流量，請更新您的 VPC 的安全群組。一個例子是僅允許往返您的企業網路的流量。

針對用來標記 Amazon Redshift 叢集的子網路，在設定與這個子網路相關聯的網路存取控制清單時，請務必將個別 AWS 區域的 S3 CIDR 範圍新增至傳入和傳出規則的允許清單中。這樣做可讓您執行以 S3 為基礎的操作，例如 Redshift Spectrum、COPY 和 UNLOAD，而不會造成中斷。

以下範例命令會在 us-east-1 區域中剖析 Amazon S3 所使用的所有 IPv4 地址的 JSON 回應。

curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'

54.231.0.0/17

52.92.16.0/20

52.216.0.0/15            

如需如何取得特定區域之 S3 IP 範圍的指示，請參閱 AWS IP 地址範圍。

Amazon Redshift 支援將叢集部署至專用租用 VPC。如需詳細資訊，請參閱《Amazon EC2 使用者指南》中的專用預留執行個體。