Utilisation de la dernière version d'Amazon Redshift ou ODBC des pilotes JDBC Utilisation d'Amazon Redshift ODBC ou de pilotes antérieurs JDBC Utilisation d'autres types de SSL connexion

Transition vers des ACM certificats pour les connexions SSL

Amazon Redshift remplace les SSL certificats de vos clusters par des certificats émis AWS Certificate Manager (ACM). ACMest une autorité de certification publique (CA) approuvée par la plupart des systèmes actuels. Vous devrez peut-être mettre à jour vos certificats d'autorité de certification racine de confiance actuels pour continuer à vous connecter à vos clusters en utilisantSSL.

Cette modification ne vous affecte que si l’ensemble des conditions suivantes s’applique :

Vos SQL clients ou applications se connectent aux clusters Amazon Redshift à l'SSLaide de l'option de sslMode connexion définie sur requireverify-ca, ou de l'option de verify-full configuration.
Vous n'utilisez ni Amazon Redshift ni pilotes, ODBC ou vous utilisez des JDBC pilotes Amazon Redshift antérieurs à la version 1.3.7.1000 ou à la version ODBC JDBC 1.2.8.1005.

Si ce changement vous affecte sur les régions commerciales Amazon Redshift, alors vous devez mettre à jour vos certificats AC racine de confiance actuels avant le 23 octobre 2017. Amazon Redshift fera passer vos clusters à l'utilisation de ACM certificats d'ici le 23 octobre 2017. La modification n’aura aucun effet ou presque sur les performances ou la disponibilité de votre cluster.

Si cette modification vous concerne dans les régions AWS GovCloud (US) (États-Unis), vous devez mettre à jour vos certificats Trust Root CA actuels avant le 1er avril 2020 pour éviter toute interruption de service. À compter de cette date, les clients qui se connectent aux clusters Amazon Redshift à l'aide de connexions SSL chiffrées ont besoin d'une autorité de certification (CA) fiable supplémentaire. Les clients utilisent des autorités de certification de confiance pour confirmer l’identité du cluster Amazon Redshift lorsqu’ils s’y connectent. Votre action est requise pour mettre à jour vos SQL clients et applications afin qu'ils utilisent un ensemble de certificats mis à jour qui inclut la nouvelle autorité de certification approuvée.

Important

Dans les régions chinoises, le 5 janvier 2021, Amazon Redshift remplace les SSL certificats de vos clusters par des certificats émis AWS Certificate Manager (ACM). Si ce changement vous affecte sur la région de la Chine (Beijing) ou la région de la Chine (Ningxia), vous devez mettre à jour vos certificats d’autorité de certification racine approuvés actuels avant le 5 janvier 2021 pour éviter toute interruption de service. À compter de cette date, les clients qui se connectent aux clusters Amazon Redshift à l'aide de connexions SSL chiffrées ont besoin d'une autorité de certification (CA) fiable supplémentaire. Les clients utilisent des autorités de certification de confiance pour confirmer l’identité du cluster Amazon Redshift lorsqu’ils s’y connectent. Votre action est requise pour mettre à jour vos SQL clients et applications afin qu'ils utilisent un ensemble de certificats mis à jour qui inclut la nouvelle autorité de certification approuvée.

Utilisation de la dernière version d'Amazon Redshift ou ODBC des pilotes JDBC
Utilisation d'Amazon Redshift ODBC ou de pilotes antérieurs JDBC
Utilisation d'autres types de SSL connexion

Utilisation de la dernière version d'Amazon Redshift ou ODBC des pilotes JDBC

La méthode préférée consiste à utiliser les derniers pilotes ODBC ou JDBC Amazon Redshift. Les pilotes Amazon Redshift commençant par les ODBC versions 1.3.7.1000 et 1.2.8.1005 gèrent JDBC automatiquement la transition d'un certificat autosigné Amazon Redshift vers un certificat. ACM Pour télécharger les pilotes les plus récents, consultez Configuration d'une connexion pour la version 2.1 du JDBC pilote pour Amazon Redshift.

Si vous utilisez le dernier JDBC pilote Amazon Redshift, il est préférable de ne pas l'utiliser -Djavax.net.ssl.trustStore dans JVM les options. Si vous devez utiliser -Djavax.net.ssl.trustStore, importez le bundle d’autorités de certification Redshift dans le truststore vers lequel il pointe. Pour obtenir des informations sur le téléchargement, consultez SSL. Pour de plus amples informations, veuillez consulter Importation du bundle d'autorités de certification Amazon Redshift dans un TrustStore.

Utilisation d'Amazon Redshift ODBC ou de pilotes antérieurs JDBC

Si vous êtes ODBC DSN configuré avecSSLCertPath, remplacez le fichier de certificat dans le chemin spécifié.
Si SSLCertPath ce n'est pas le cas, remplacez le fichier de certificat nommé root.crt à l'DLLemplacement du pilote.

Si vous devez utiliser un JDBC pilote Amazon Redshift avant la version 1.2.8.1005, effectuez l'une des opérations suivantes :

Si votre chaîne de JDBC connexion utilise l'sslCertoption, sslCert supprimez-la. Importez ensuite le bundle d'autorités de certification Redshift dans votre Java. TrustStore Pour obtenir des informations sur le téléchargement, consultez SSL. Pour plus d'informations, consultez Importation du bundle d'autorités de certification Amazon Redshift dans un TrustStore.
Si vous utilisez l’option de ligne de commande Java -Djavax.net.ssl.trustStore, supprimez-la de la ligne de commande, si possible. Importez ensuite le bundle d'autorités de certification Redshift dans votre Java. TrustStore Pour obtenir des informations sur le téléchargement, consultez SSL. Pour de plus amples informations, veuillez consulter Importation du bundle d'autorités de certification Amazon Redshift dans un TrustStore.

Importation du bundle d'autorités de certification Amazon Redshift dans un TrustStore

Vous pouvez les utiliser redshift-keytool.jar pour importer les certificats CA du bundle Amazon Redshift Certificate Authority dans un environnement Java TrustStore ou dans votre boutique de confiance privée.

Pour importer le bundle d'autorités de certification Amazon Redshift dans un TrustStore

Téléchargez redshift-keytool.jar.
Effectuez l’une des actions suivantes :
- Pour importer le bundle Amazon Redshift Certificate Authority dans un Java TrustStore, exécutez la commande suivante.
```
java -jar redshift-keytool.jar -s
```
- Pour importer le bundle Amazon Redshift Certificate Authority dans votre compte privé TrustStore, exécutez la commande suivante :
```
java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 
```

Utilisation d'autres types de SSL connexion

Si vous souhaitez vous connecter à l’aide de l’une des solutions ci-dessous, suivez les étapes décrites dans cette section :

ODBCpilote open source
JDBCpilote open source
L'interface de ligne de RSQL commande Amazon Redshift
Toute liaison de langages basée sur libpq, telle que psycopg2 (Python) et ruby-pg (Ruby)

Pour utiliser ACM des certificats avec d'autres types de SSL connexion :

Téléchargez le Paquet d’autorité de certification Amazon Redshift. Pour obtenir des informations sur le téléchargement, consultez SSL.
Placez les certificats du bundle dans votre fichier root.crt.
- Sur les systèmes d’exploitation Linux et macOS X, le fichier est ~/.postgresql/root.crt
- Sous Microsoft Windows, le fichier est %APPDATA%\postgresql\root.crt

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration des options de sécurité des connexions

Connexion à partir d’outils et de codes clients