SSL SSLet faites confiance aux certificats CA dans ODBC SSLet certificats de serveur en Java

Configuration des options de sécurité des connexions

Amazon Redshift prend en charge les connexions Secure Sockets Layer (SSL) pour chiffrer les données et les certificats de serveur pour valider le certificat de serveur auquel le client se connecte.

SSL

Pour prendre en charge SSL les connexions, Amazon Redshift crée et installe un SSL certificat AWS Certificate Manager (ACM) émis sur chaque cluster. ACMles certificats sont approuvés publiquement par la plupart des systèmes d'exploitation, des navigateurs Web et des clients. Vous devrez peut-être télécharger un bundle de certificats si vos SQL clients ou applications se connectent à Amazon Redshift SSL avec l'option de sslmode connexion définie sur requireverify-ca, ou. verify-full Si votre client a besoin d’un certificat, Amazon Redshift fournit un certificat de solution groupée comme suit :

Téléchargez le bundle depuis https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundle.crt.
- Le nombre de MD5 checksum attendu est 418dea9b6d5d5de7a8f1ac42e164cdcf.
- Le numéro de total de contrôle sha256 est 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
N’utilisez pas la solution groupée de certificats précédente qui se trouvait à l’adresse https://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt.
En Chine Région AWS, téléchargez le bundle depuis https://s3---cn-north-1.amazonaws.com.rproxy.goskope.comredshift-downloads-cn.cn/ amazon-trust-ca-bundle .crt.
- Le nombre de MD5 checksum attendu est 418dea9b6d5d5de7a8f1ac42e164cdcf.
- Le numéro de total de contrôle sha256 est 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
N’utilisez pas les solutions groupées de certificats antérieures qui se trouvait à l’adresse https://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/redshift-ca-bundle.crt et https://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem.

Important

Amazon Redshift a changé la façon dont les SSL certificats sont gérés. Vous devrez peut-être mettre à jour vos certificats d'autorité de certification racine de confiance actuels pour continuer à vous connecter à vos clusters en utilisantSSL. Pour de plus amples informations, veuillez consulter Transition vers des ACM certificats pour les connexions SSL.

Par défaut, les bases de données de cluster acceptent une connexion, qu'elle l'utilise SSL ou non. Pour configurer votre cluster afin qu'il nécessite une SSL connexion, définissez le require_SSL paramètre sur true dans le groupe de paramètres associé au cluster.

Amazon Redshift prend en charge un SSL mode conforme à la norme fédérale de traitement de l'information (FIPS) 140-2. FIPS-le SSL mode compatible est désactivé par défaut.

Important

Activez SSL le mode FIPS conforme uniquement si votre système doit être FIPS conforme.

Pour activer le SSL mode FIPS conforme, définissez à la fois le use_fips_ssl paramètre et le require_SSL paramètre true dans le groupe de paramètres associé au cluster Amazon Redshift ou au groupe de travail Redshift Serverless. Pour plus d'informations sur la modification d'un groupe de paramètres sur un cluster, consultezGroupes de paramètres Amazon Redshift. Pour plus d'informations sur la modification d'un groupe de paramètres dans un groupe de travail, consultezConfiguration d'une FIPS SSL connexion conforme à Amazon Redshift Serverless .

Amazon Redshift prend en charge le protocole d'accord clé Elliptic Curve Diffie-Hellman Ephemeral (). ECDHE AinsiECDHE, le client et le serveur ont chacun une paire de clés publique-privée à courbe elliptique qui est utilisée pour établir un secret partagé sur un canal non sécurisé. Il n'est pas nécessaire de configurer quoi que ce soit dans Amazon Redshift pour l'activer. ECDHE Si vous vous connectez à partir d'un outil SQL client qui crypte les communications entre le client et le serveur, Amazon Redshift utilise la liste de chiffrement fournie pour établir la connexion appropriée. ECDHE Pour plus d'informations, voir Elliptic curve diffie—hellman sur Wikipedia et Ciphers sur le site web Open. SSL

SSLet faites confiance aux certificats CA dans ODBC

Si vous vous connectez à l'aide des derniers ODBC pilotes Amazon Redshift (version 1.3.7.1000 ou ultérieure), vous pouvez ignorer cette section. Pour télécharger les pilotes les plus récents, consultez Configuration d'une connexion pour la version 2.x du ODBC pilote pour Amazon Redshift.

Vous devrez peut-être mettre à jour vos certificats d'autorité de certification racine de confiance actuels pour continuer à vous connecter à vos clusters en utilisantSSL. Pour de plus amples informations, veuillez consulter SSL.

Vous pouvez vérifier que le certificat que vous avez téléchargé correspond au numéro de MD5 contrôle attendu. Pour ce faire, vous pouvez utiliser le programme MD5sum sur les systèmes d’exploitation Linux, ou un autre outil sur les systèmes d’exploitation Windows et macOS X.

ODBCDSNscontiennent un sslmode paramètre qui détermine comment gérer le chiffrement pour les connexions client et la vérification des certificats de serveur. Amazon Redshift prend en charge les valeurs sslmode suivantes à partir de la connexion client :

disable

SSLest désactivé et la connexion n'est pas cryptée.
allow

SSLest utilisé si le serveur l'exige.
prefer

SSLest utilisé si le serveur le prend en charge. Amazon Redshift est compatibleSSL. SSL Il est donc utilisé lorsque vous configurez sursslmode. prefer
require

SSLest obligatoire.
verify-ca

SSLdoit être utilisé et le certificat du serveur doit être vérifié.
verify-full

SSLdoit être utilisé. Le certificat de serveur doit être vérifié et le nom d’hôte du serveur doit correspondre à l’attribut de nom d’hôte sur le certificat.

Vous pouvez déterminer s'il SSL est utilisé et les certificats de serveur sont vérifiés dans le cadre d'une connexion entre le client et le serveur. Pour ce faire, vous devez revoir les sslmode paramètres de votre ODBC DSN compte client et ceux du require_SSL cluster Amazon Redshift sur le serveur. Le tableau suivant décrit le résultat du chiffrement pour les différentes combinaisons de paramètres client et serveur :

sslmode (client)	require_ SSL (serveur)	Résultat
`disable`	`false`	La connexion n’est pas chiffrée.
`disable`	`true`	La connexion ne peut pas être établie car le serveur l'exige SSL et le client l'a SSL désactivée.
`allow`	`true`	La connexion est chiffrée.
`allow`	`false`	La connexion n’est pas chiffrée.
`prefer` ou `require`	`true`	La connexion est chiffrée.
`prefer` ou `require`	`false`	La connexion est chiffrée.
`verify-ca`	`true`	La connexion est chiffrée et le certificat de serveur est vérifié.
`verify-ca`	`false`	La connexion est chiffrée et le certificat de serveur est vérifié.
`verify-full`	`true`	La connexion est chiffrée et le certificat de serveur et le nom d’hôte sont vérifiés.
`verify-full`	`false`	La connexion est chiffrée et le certificat de serveur et le nom d’hôte sont vérifiés.

Connectez-vous à l'aide du certificat de serveur ODBC sous Microsoft Windows

Si vous souhaitez vous connecter à votre cluster à l'aide SSL du certificat de serveur, téléchargez d'abord le certificat sur votre ordinateur client ou sur une EC2 instance Amazon. Configurez ensuite le ODBCDSN.

Téléchargez la solution groupée d’autorité de certification Amazon Redshift sur votre ordinateur client dans le dossier lib du répertoire d’installation de votre pilote, et enregistrez le fichier en tant que root.crt. Pour obtenir des informations sur le téléchargement, consultez SSL.
Ouvrez ODBCData Source Administrator, puis ajoutez ou modifiez l'DSNentrée système de votre ODBC connexion. Pour SSLMode, sélectionnez verify-full sauf si vous utilisez un DNS alias. Si vous utilisez un DNS alias, sélectionnezverify-ca. Ensuite, choisissez Save (Enregistrer).

Pour plus d'informations sur la configuration du ODBCDSN, consultezConfiguration d'une connexion pour la version 2.x du ODBC pilote pour Amazon Redshift.

SSLet certificats de serveur en Java

SSLfournit une couche de sécurité en chiffrant les données qui circulent entre votre client et votre cluster. L’utilisation d’un certificat de serveur fournit une couche supplémentaire de sécurité en validant que le cluster est un cluster Amazon Redshift. Pour cela, il vérifie le certificat de serveur installé automatiquement sur tous les clusters que vous mettez en service. Pour plus d'informations sur l'utilisation des certificats de serveur avecJDBC, consultez la section Configuration du client dans la SQL documentation Postgre.

Connexion à l’aide de certificats d’autorités de certification approuvées dans Java

Important

Pour se connecter à l’aide de certificats d’autorités de certification approuvées

Vous pouvez utiliser le redshift-keytool.jar fichier pour importer les certificats CA du bundle Amazon Redshift Certificate Authority dans un Java TrustStore ou dans un fichier privé. TrustStore

Si vous utilisez l’option de ligne de commande Java -Djavax.net.ssl.trustStore, supprimez-la de la ligne de commande, si possible.
Téléchargez redshift-keytool.jar.
Effectuez l’une des actions suivantes :
- Pour importer le bundle Amazon Redshift Certificate Authority dans un Java TrustStore, exécutez la commande suivante.
```
java -jar redshift-keytool.jar -s
```
- Pour importer le bundle Amazon Redshift Certificate Authority dans votre compte privé TrustStore, exécutez la commande suivante :
```
java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 
```

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Versions de ODBC pilotes précédentes

Transition vers des ACM certificats pour les connexions SSL