Netzwerkisolierung Sicherheitsgruppen VPC-Schnittstellenendpunkte

Infrastruktursicherheit in Amazon Redshift

Als verwalteter Service ist Amazon Redshift durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter AWS Cloud-Sicherheit. Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Sie verwenden AWS veröffentlichte API Anrufe, um über das Netzwerk auf Amazon Redshift zuzugreifen. Kunden müssen Folgendes unterstützen:

Sicherheit auf Transportschicht (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
Cipher-Suites mit perfekter Vorwärtsgeheimhaltung (PFS) wie (Ephemeral Diffie-Hellman) oder DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

Darüber hinaus müssen Anfragen mithilfe einer Zugriffsschlüssel-ID und eines geheimen Zugriffsschlüssels, der einem Prinzipal zugeordnet ist, signiert werden. IAM Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.

Netzwerkisolierung

Eine virtuelle private Cloud (VPC), die auf dem VPC Amazon-Service basiert, ist Ihr privates, logisch isoliertes Netzwerk in der AWS Cloud. Sie können einen Amazon Redshift Redshift-Cluster oder eine Redshift Serverless-Arbeitsgruppe innerhalb einer bereitstellen, VPC indem Sie die folgenden Schritte ausführen:

Erstellen Sie eine in einer RegionVPC. AWS Weitere Informationen finden Sie unter Was ist AmazonVPC? im VPCAmazon-Benutzerhandbuch.
Erstellen Sie zwei oder mehr private VPC Subnetze. Weitere Informationen finden Sie unter VPCsund Subnetze im VPCAmazon-Benutzerhandbuch.
Stellen Sie einen Amazon Redshift Redshift-Cluster oder eine Redshift Serverless-Arbeitsgruppe bereit. Weitere Informationen finden Sie unter Subnetze für Redshift-Ressourcen oder Arbeitsgruppen und Namespaces.

Ein Amazon-Redshift-Cluster ist bei der Bereitstellung standardmäßig gesperrt. Um eingehenden Netzwerkverkehr von Amazon Redshift Redshift-Clients zuzulassen, ordnen Sie einem Amazon Redshift Redshift-Cluster eine VPC Sicherheitsgruppe zu. Weitere Informationen finden Sie unter Subnetze für Redshift-Ressourcen.

Um nur Datenverkehr zu oder von bestimmten IP-Adressbereichen zuzulassen, aktualisieren Sie die Sicherheitsgruppen mit Ihren. VPC Ein Beispiel ist, Datenverkehr nur von oder zu Ihrem Unternehmensnetzwerk zuzulassen.

Stellen Sie bei der Konfiguration von Netzwerkzugriffskontrolllisten für die Subnetze sicher, mit denen Ihr Amazon Redshift Redshift-Cluster gekennzeichnet ist, dass die CIDR S3-Bereiche der jeweiligen AWS Region der Zulassungsliste sowohl für Eingangs- als auch Ausgangsregeln hinzugefügt werden. Auf diese Weise können Sie S3-basierte Operationen wie Redshift Spectrum UNLOAD ohne COPY Unterbrechungen ausführen.

Der folgende Beispielbefehl analysiert die JSON Antwort für alle IPv4 Adressen, die in Amazon S3 in der Region us-east-1 verwendet werden.


curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'

54.231.0.0/17

52.92.16.0/20

52.216.0.0/15

Anweisungen zum Abrufen von S3-IP-Bereichen für eine bestimmte Region finden Sie unter AWS -IP-Adressbereiche.

Amazon Redshift unterstützt die Bereitstellung von Clustern in einem dedizierten VPCs Mandantenverhältnis. Weitere Informationen finden Sie unter Dedicated Instances im EC2Amazon-Benutzerhandbuch.

Amazon Redshift Redshift-Sicherheitsgruppen

Wenn Sie einen Amazon-Redshift-Cluster bereitstellen, ist dieser standardmäßig gesperrt, so dass niemand darauf zugreifen kann. Um anderen Benutzern eingehenden Zugriff auf einen Amazon-Redshift-Cluster zu gewähren, ordnen Sie den Cluster einer Sicherheitsgruppe zu. Wenn Sie sich auf der VPC Plattform EC2 - befinden, können Sie entweder eine bestehende VPC Amazon-Sicherheitsgruppe verwenden oder eine neue definieren und sie dann einem Cluster zuordnen. Weitere Informationen zur Verwaltung eines Clusters auf der EC2 - VPC -Plattform finden Sie unterRedshift-Ressourcen in einem VPC.

VPC-Schnittstellenendpunkte

Sie können über einen VPC Schnittstellenendpunkt (AWS PrivateLink) in Ihrer virtuellen privaten Cloud (VPC) eine direkte Verbindung zu den Amazon Redshift- und Amazon Redshift API Serverless-Services herstellen, anstatt eine Verbindung über das Internet herzustellen. Informationen zu Amazon Redshift API Redshift-Aktionen finden Sie unter Aktionen in der Amazon Redshift Redshift-Referenz API. Informationen zu Redshift Serverless API Actions finden Sie unter Actions in der Amazon Redshift Serverless Reference. API Weitere Informationen zu AWS PrivateLink finden Sie unter Interface VPC Endpoints (AWS PrivateLink) im VPCAmazon-Benutzerhandbuch. Beachten Sie, dass die ODBC VerbindungJDBC/zum Cluster oder Workspace nicht Teil des Amazon Redshift API Redshift-Service ist.

Wenn Sie einen VPC Schnittstellenendpunkt verwenden, erfolgt die Kommunikation zwischen Ihnen VPC und Amazon Redshift oder Redshift Serverless vollständig innerhalb des AWS Netzwerks, was für mehr Sicherheit sorgen kann. Jeder VPC Endpunkt wird durch eine oder mehrere elastische Netzwerkschnittstellen mit privaten IP-Adressen in Ihren Subnetzen repräsentiert. VPC Weitere Informationen zu Elastic Network Interfaces finden Sie unter Elastic Network Interfaces im EC2Amazon-Benutzerhandbuch.

Ein VPC Schnittstellenendpunkt verbindet Sie VPC direkt mit Amazon Redshift. Es verwendet kein Internet-Gateway, kein Gerät zur Netzwerkadressübersetzung (NAT), keine Verbindung zu einem virtuellen privaten Netzwerk (VPN) oder eine AWS Direct Connect Verbindung. Die Instances in Ihrem benötigen VPC keine öffentlichen IP-Adressen, um mit Amazon Redshift API zu kommunizieren.

Um Amazon Redshift oder Redshift Serverless über Ihren zu verwendenVPC, haben Sie zwei Möglichkeiten. Eine Möglichkeit besteht darin, von einer Instanz aus eine Verbindung herzustellen, die sich in Ihrer befindet. VPC Die andere Möglichkeit besteht darin, Ihr privates Netzwerk VPC mithilfe einer AWS VPN Option oder mit Ihrem zu verbinden AWS Direct Connect. Weitere Informationen zu den AWS VPN Optionen finden Sie unter VPNVerbindungen im VPCAmazon-Benutzerhandbuch. Informationen zu AWS Direct Connect finden Sie unter Erstellen einer Verbindung im AWS Direct Connect -Benutzerhandbuch.

Sie können einen VPC Schnittstellenendpunkt erstellen, um mit den Befehlen AWS Management Console oder AWS Command Line Interface (AWS CLI) eine Verbindung zu Amazon Redshift herzustellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts.

Nachdem Sie einen VPC Schnittstellenendpunkt erstellt haben, können Sie private DNS Hostnamen für den Endpunkt aktivieren. In diesem Fall lautet der Standardendpunkt wie folgt:

Amazon Redshift hat Folgendes bereitgestellt: https://redshift.Region.amazonaws.com
Amazon Redshift Serverlos: https://redshift-serverless.Region.amazonaws.com

Wenn Sie private DNS Hostnamen nicht aktivieren, VPC stellt Amazon einen DNS Endpunktnamen bereit, den Sie im folgenden Format verwenden können.

Amazon Redshift hat Folgendes bereitgestellt: VPC_endpoint_ID.redshift.Region.vpce.amazonaws.com
Amazon Redshift Serverlos: VPC_endpoint_ID.redshift-serverless.Region.vpce.amazonaws.com

Weitere Informationen finden Sie unter Interface VPC Endpoints (AWS PrivateLink) im VPCAmazon-Benutzerhandbuch.

Amazon Redshift und Redshift Serverless unterstützen das Durchführen von Aufrufen aller Amazon Redshift API Redshift-Operationen und Redshift Serverless-Operationen in Ihrem. API VPC

Sie können Endpunktrichtlinien an einen VPC VPC Endpunkt anhängen, um den Zugriff für () -Prinzipale zu kontrollieren. AWS Identity and Access Management IAM Sie können einem VPC Endpunkt auch Sicherheitsgruppen zuordnen, um den eingehenden und ausgehenden Zugriff auf Grundlage des Ursprungs und Ziels des Netzwerkverkehrs zu steuern. Ein Beispiel ist ein IP-Adressbereich. Weitere Informationen finden Sie unter Controlling Access to Services with VPC Endpoints im VPCAmazon-Benutzerhandbuch.

VPCEndpunktrichtlinien für Amazon Redshift

Sie können eine Richtlinie für VPC Endgeräte für Amazon Redshift erstellen, um Folgendes anzugeben:

Prinzipal, der Aktionen ausführen bzw. nicht ausführen kann
Aktionen, die ausgeführt werden können
Ressourcen, für die Aktionen ausgeführt werden können

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten im VPCAmazon-Benutzerhandbuch.

Im Folgenden finden Sie Beispiele für VPC Endpunktrichtlinien.

Beispiele für Richtlinien für bereitgestellte Endgeräte mit Amazon Redshift

Im Folgenden finden Sie Beispiele für VPC Endpunktrichtlinien für Amazon Redshift Provisioned.

Beispiel: VPC Endpunktrichtlinie zur Verweigerung jeglichen Zugriffs von einem bestimmten Konto aus AWS

Die folgende VPC Endpunktrichtlinie verweigert dem AWS Konto 123456789012 jeglichen Zugriff auf Ressourcen, die diesen Endpunkt verwenden.



{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Beispiel: VPC Endpunktrichtlinie, die VPC den Zugriff nur auf eine bestimmte IAM Rolle erlaubt

Die folgende VPC Endpunktrichtlinie erlaubt vollen Zugriff nur auf die IAM Rolle Rolle redshift auf dem Konto AWS 123456789012. Allen anderen IAM Prinzipalen wird der Zugriff über den Endpunkt verweigert.



   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:role/redshiftrole"
                ]
            }
        }]
}

Dies ist nur ein Beispiel. In den meisten Anwendungsfällen empfehlen wir, Berechtigungen für bestimmte Aktionen anzufügen, um den Umfang der Berechtigungen einzuschränken.

Beispiel: VPC Endpunktrichtlinie, die VPC den Zugriff nur einem bestimmten IAM Prinzipal (Benutzer) erlaubt

Die folgende VPC Endpunktrichtlinie ermöglicht nur dem IAM Benutzer vollen Zugriff redshiftadmin auf dem Konto AWS 123456789012. Allen anderen IAM Prinzipalen wird der Zugriff über den Endpunkt verweigert.



   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/redshiftadmin"
                ]
            }
        }]
}

Dies ist nur ein Beispiel. In den meisten Anwendungsfällen empfehlen wir, einer Rolle Berechtigungen anzufügen, bevor Sie sie einem Benutzer zuweisen. Darüber hinaus empfehlen wir, spezifische Aktionen zu verwenden, um den Umfang der Berechtigungen einzuschränken.

Beispiel: VPC Endpunktrichtlinie zur Zulassung von schreibgeschützten Amazon Redshift Redshift-Vorgängen

Die folgende VPC Endpunktrichtlinie erlaubt nur Konten AWS 123456789012 um die angegebenen Amazon Redshift Redshift-Aktionen durchzuführen.

Die angegebenen Aktionen stellen das Äquivalent von schreibgeschütztem Zugriff für Amazon Redshift dar. Alle anderen Aktionen auf dem VPC werden für das angegebene Konto verweigert. Allen anderen Konten wird außerdem jeglicher Zugriff verweigert. Eine Liste der Amazon Redshift-Aktionen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Redshift im IAMBenutzerhandbuch.



  {
    "Statement": [
        {
            "Action": [
                "redshift:DescribeAccountAttributes",
                "redshift:DescribeClusterParameterGroups",
                "redshift:DescribeClusterParameters",
                "redshift:DescribeClusterSecurityGroups",
                "redshift:DescribeClusterSnapshots",
                "redshift:DescribeClusterSubnetGroups",
                "redshift:DescribeClusterVersions",
                "redshift:DescribeDefaultClusterParameters",
                "redshift:DescribeEventCategories",
                "redshift:DescribeEventSubscriptions",
                "redshift:DescribeHsmClientCertificates",
                "redshift:DescribeHsmConfigurations",
                "redshift:DescribeLoggingStatus",
                "redshift:DescribeOrderableClusterOptions",
                "redshift:DescribeQuery",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "redshift:DescribeResize",
                "redshift:DescribeSavedQueries",
                "redshift:DescribeScheduledActions",
                "redshift:DescribeSnapshotCopyGrants",
                "redshift:DescribeSnapshotSchedules",
                "redshift:DescribeStorage",
                "redshift:DescribeTable",
                "redshift:DescribeTableRestoreStatus",
                "redshift:DescribeTags",
                "redshift:FetchResults",
                "redshift:GetReservedNodeExchangeOfferings"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Beispiel: VPC Endpunktrichtlinie, die den Zugriff auf einen bestimmten Cluster verweigert

Die folgende VPC Endpunktrichtlinie ermöglicht vollen Zugriff für alle Konten und Prinzipale. Gleichzeitig wird jeglicher Zugriff auf das Konto verweigert AWS 123456789012 zu Aktionen, die auf dem Amazon Redshift Redshift-Cluster mit Cluster-ID my-redshift-cluster ausgeführt wurden. Andere Amazon-Redshift-Aktionen, die keine Berechtigungen auf Ressourcenebene für Cluster unterstützen, sind weiterhin zulässig. Eine Liste der Amazon Redshift-Aktionen und ihres entsprechenden Ressourcentyps finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Redshift im IAMBenutzerhandbuch.



 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Beispiele für Richtlinien für serverlose Endgeräte in Amazon Redshift

Im Folgenden finden Sie Beispiele für VPC Endpunktrichtlinien für Redshift Serverless.

Beispiel: VPC Endpunktrichtlinie für schreibgeschützte Redshift Serverless-Operationen

Die folgende VPC Endpunktrichtlinie erlaubt nur Konten AWS 123456789012 um die angegebenen Redshift Serverless-Aktionen auszuführen.

Die angegebenen Aktionen entsprechen dem Nur-Lese-Zugriff für Redshift Serverless. Alle anderen Aktionen auf dem VPC werden für das angegebene Konto verweigert. Allen anderen Konten wird außerdem jeglicher Zugriff verweigert. Eine Liste der Redshift Serverless-Aktionen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Redshift Serverless im Benutzerhandbuch. IAM



  {
    "Statement": [
        {
            "Action": [
                "redshift-serverless:DescribeOneTimeCredit",
                "redshift-serverless:GetCustomDomainAssociation",
                "redshift-serverless:GetEndpointAccess",
                "redshift-serverless:GetNamespace",
                "redshift-serverless:GetRecoveryPoint",
                "redshift-serverless:GetResourcePolicy",
                "redshift-serverless:GetScheduledAction",
                "redshift-serverless:GetSnapshot",
                "redshift-serverless:GetTableRestoreStatus",
                "redshift-serverless:GetUsageLimit",
                "redshift-serverless:GetWorkgroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Beispiel: VPC Endpunktrichtlinie, die einer bestimmten Arbeitsgruppe den Zugriff verweigert

Die folgende VPC Endpunktrichtlinie ermöglicht vollen Zugriff für alle Konten und Prinzipale. Gleichzeitig wird jeglicher Zugriff auf das Konto verweigert AWS 123456789012 zu Aktionen, die in der Amazon Redshift Redshift-Arbeitsgruppe mit Arbeitsgruppen-ID ausgeführt wurden. my-redshift-workgroup Andere Amazon Redshift Redshift-Aktionen, die keine Berechtigungen auf Ressourcenebene für Arbeitsgruppen unterstützen, sind weiterhin zulässig. Eine Liste der Redshift Serverless-Aktionen und ihres entsprechenden Ressourcentyps finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Redshift Serverless im Benutzerhandbuch. IAM



 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:redshift-serverless:us-east-1:123456789012:workgroup:my-redshift-workgroup",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ausfallsicherheit

Konfigurations- und Schwachstellenanalyse