Utilisation des derniers pilotes ODBC ou JDBC d’Amazon Redshift Utilisation de pilotes ODBC ou JDBC antérieurs d’Amazon Redshift Utilisation d’autres types de connexion SSL

Transition vers les certificats ACM pour les connexions SSL

Amazon Redshift remplace les certificats SSL sur vos clusters par des certificats émis par AWS Certificate Manager (ACM). ACM est une autorité de certification publique de confiance, approuvée par la plupart des systèmes actuels. Il se peut que vous ayez besoin de mettre à jour vos certificats actuels d’autorité de certification racine approuvée pour pouvoir continuer à vous connecter à vos clusters à l’aide du protocole SSL.

Cette modification ne vous affecte que si l’ensemble des conditions suivantes s’applique :

Vos clients ou applications SQL se connectent aux clusters Amazon Redshift à l’aide du protocole SSL avec l’option de connexion sslMode définie sur l’option de configuration require, verify-ca ou verify-full.
Vous n’utilisez pas les pilotes ODBC ou JDBC d’Amazon Redshift, ou vous utilisez des pilotes Amazon Redshift antérieurs à ODBC version 1.3.7.1000 ou JDBC version 1.2.8.1005.

Si ce changement vous affecte sur les régions commerciales Amazon Redshift, alors vous devez mettre à jour vos certificats AC racine de confiance actuels avant le 23 octobre 2017. Amazon Redshift assurera la transition de vos clusters afin qu’ils utilisent les certificats ACM entre aujourd’hui et le 23 octobre 2017. La modification n’aura aucun effet ou presque sur les performances ou la disponibilité de votre cluster.

Si cette modification vous concerne dans les régions AWS GovCloud (US) (États-Unis), vous devez mettre à jour vos certificats Trust Root CA actuels avant le 1er avril 2020 pour éviter toute interruption de service. À partir de cette date, les clients qui se connectent aux clusters Amazon Redshift en utilisant des connexions cryptées SSL ont besoin d’une autorité de certification (AC) de confiance supplémentaire. Les clients utilisent des autorités de certification de confiance pour confirmer l’identité du cluster Amazon Redshift lorsqu’ils s’y connectent. Votre action est requise pour mettre à jour vos clients et applications SQL afin d’utiliser un bundle de certificats mis à jour qui inclut la nouvelle autorité de certification approuvée.

Important

Dans les régions chinoises, le 5 janvier 2021, Amazon Redshift remplace les certificats SSL de vos clusters par des certificats émis AWS Certificate Manager (ACM). Si ce changement vous affecte sur la région de la Chine (Beijing) ou la région de la Chine (Ningxia), vous devez mettre à jour vos certificats d’autorité de certification racine approuvés actuels avant le 5 janvier 2021 pour éviter toute interruption de service. À partir de cette date, les clients qui se connectent aux clusters Amazon Redshift en utilisant des connexions cryptées SSL ont besoin d’une autorité de certification (AC) de confiance supplémentaire. Les clients utilisent des autorités de certification de confiance pour confirmer l’identité du cluster Amazon Redshift lorsqu’ils s’y connectent. Votre action est requise pour mettre à jour vos clients et applications SQL afin d’utiliser un bundle de certificats mis à jour qui inclut la nouvelle autorité de certification approuvée.

Utilisation des derniers pilotes ODBC ou JDBC d’Amazon Redshift
Utilisation de pilotes ODBC ou JDBC antérieurs d’Amazon Redshift
Utilisation d’autres types de connexion SSL

Utilisation des derniers pilotes ODBC ou JDBC d’Amazon Redshift

La méthode privilégiée consiste à utiliser les derniers pilotes ODBC ou JDBC Amazon Redshift. Les pilotes Amazon Redshift à partir des versions ODBC 1.3.7.1000 et JDBC 1.2.8.1005 gèrent automatiquement la transition entre un certificat Amazon Redshift auto-signé et un certificat ACM. Pour télécharger les pilotes les plus récents, consultez Configuration d’une connexion ODBC ou Configuration d'une connexion pour la version 2.1 du JDBC pilote pour Amazon Redshift.

Si vous utilisez le dernier pilote JDBC Amazon Redshift, il est préférable de ne pas utiliser -Djavax.net.ssl.trustStore dans les options JVM. Si vous devez utiliser -Djavax.net.ssl.trustStore, importez le bundle d’autorités de certification Redshift dans le truststore vers lequel il pointe. Pour obtenir des informations sur le téléchargement, consultez Connexion à l’aide du protocole SSL. Pour plus d'informations, consultez Importation du bundle d'autorités de certification Amazon Redshift dans un TrustStore.

Utilisation de pilotes ODBC ou JDBC antérieurs d’Amazon Redshift

Si votre ODBC DSN est configuré avec SSLCertPath, remplacez le fichier de certificats dans le chemin spécifié.
Si SSLCertPath n’est pas défini, remplacez le fichier de certificat nommé root.crt dans l’emplacement DLL du pilote.

Si vous devez utiliser un pilote JDBC Amazon Redshift antérieur à la version 1.2.8.1005, effectuez l’une des opérations suivantes :

Si votre chaîne de connexion JDBC utilise l’option sslCert, supprimez l’option sslCert. Importez ensuite le bundle d'autorités de certification Redshift dans votre Java. TrustStore Pour obtenir des informations sur le téléchargement, consultez Connexion à l’aide du protocole SSL. Pour plus d'informations, consultez Importation du bundle d'autorités de certification Amazon Redshift dans un TrustStore.
Si vous utilisez l’option de ligne de commande Java -Djavax.net.ssl.trustStore, supprimez-la de la ligne de commande, si possible. Importez ensuite le bundle d'autorités de certification Redshift dans votre Java. TrustStore Pour obtenir des informations sur le téléchargement, consultez Connexion à l’aide du protocole SSL. Pour plus d’informations, consultez Importation du bundle d'autorités de certification Amazon Redshift dans un TrustStore.

Importation du bundle d'autorités de certification Amazon Redshift dans un TrustStore

Vous pouvez les utiliser redshift-keytool.jar pour importer les certificats CA du bundle Amazon Redshift Certificate Authority dans un environnement Java TrustStore ou dans votre boutique de confiance privée.

Pour importer le bundle d'autorités de certification Amazon Redshift dans un TrustStore

Téléchargez redshift-keytool.jar.
Effectuez l’une des actions suivantes :
- Pour importer le bundle Amazon Redshift Certificate Authority dans un Java TrustStore, exécutez la commande suivante.
```
java -jar redshift-keytool.jar -s
```
- Pour importer le bundle Amazon Redshift Certificate Authority dans votre compte privé TrustStore, exécutez la commande suivante :
```
java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 
```

Utilisation d’autres types de connexion SSL

Si vous souhaitez vous connecter à l’aide de l’une des solutions ci-dessous, suivez les étapes décrites dans cette section :

Pilote ODBC open source
Pilote JDBC open source
Interface de ligne de commande Amazon Redshift RSQL
Toute liaison de langages basée sur libpq, telle que psycopg2 (Python) et ruby-pg (Ruby)

Pour utiliser les certificats ACM avec d’autres types de connexion SSL :

Téléchargez le Paquet d’autorité de certification Amazon Redshift. Pour obtenir des informations sur le téléchargement, consultez Connexion à l’aide du protocole SSL.
Placez les certificats du bundle dans votre fichier root.crt.
- Sur les systèmes d’exploitation Linux et macOS X, le fichier est ~/.postgresql/root.crt
- Sous Microsoft Windows, le fichier est %APPDATA%\postgresql\root.crt

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration des options de sécurité des connexions

Connexion à partir d’outils et de codes clients