Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurité de l'infrastructure dans Amazon Redshift
En tant que service géré, Amazon Redshift est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud
Vous utilisez des appels d'API AWS publiés pour accéder à Amazon Redshift via le réseau. Les clients doivent prendre en charge les éléments suivants :
-
Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
-
Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.
Isolement de réseau
Un cloud privé virtuel (VPC) basé sur le service Amazon VPC est votre réseau privé et logiquement isolé dans le cloud. AWS Vous pouvez déployer un cluster Amazon Redshift ou un groupe de travail Redshift Serverless au sein d'un VPC en suivant les étapes suivantes :
-
Créez un VPC dans une AWS région. Pour de plus amples informations, veuillez consulter Qu'est-ce qu'Amazon VPC ? dans le Guide de l'utilisateur Amazon VPC.
-
Créez au moins deux sous-réseaux VPC privés. Pour plus d'informations, consultez la section VPCs et les sous-réseaux dans le guide de l'utilisateur Amazon VPC.
-
Déployez un cluster Amazon Redshift ou un groupe de travail Redshift Serverless. Pour plus d’informations, consultez Sous-réseaux pour les ressources Redshift ou Groupes de travail et espaces de noms.
Par défaut, un cluster Amazon Redshift est verrouillé lors du provisionnement. Pour autoriser le trafic réseau entrant en provenance des clients Amazon Redshift, associez un groupe de sécurité de VPC à un cluster Amazon Redshift. Pour de plus amples informations, veuillez consulter Sous-réseaux pour les ressources Redshift.
Pour autoriser le trafic uniquement vers ou en provenance de plages d'adresses IP spécifiques, mettez à jour les groupes de sécurité avec votre VPC. Par exemple, vous pouvez autoriser le trafic uniquement depuis ou vers votre réseau d'entrreprise.
Lorsque vous configurez les listes de contrôle d'accès réseau associées au (x) sous-réseau (s) associé (s) à votre cluster Amazon Redshift, assurez-vous que les plages d'adresses CIDR S3 de la région AWS concernée sont ajoutées à la liste d'autorisation pour les règles d'entrée et de sortie. Cela vous permet d'exécuter des opérations basées sur S3 telles que Redshift Spectrum, COPY et UNLOAD sans aucune interruption.
L'exemple de commande suivant analyse la réponse JSON pour toutes les IPv4 adresses utilisées dans Amazon S3 dans la région us-east-1.
curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'
54.231.0.0/17
52.92.16.0/20
52.216.0.0/15
Pour savoir comment obtenir des plages d'adresses IP S3 pour une région donnée, consultez Plages d'adresses IP AWS.
Amazon Redshift prend en charge le déploiement de clusters dans le cadre d'une location dédiée. VPCs Pour plus d'informations, consultez la section Instances dédiées dans le guide de EC2 l'utilisateur Amazon.
Groupes de sécurité Amazon Redshift
Lorsque vous allouez un cluster Amazon Redshift, il est verrouillé par défaut afin que personne n'y ait accès. Pour autoriser d’autres utilisateurs à accéder à un cluster Amazon Redshift, associez le cluster à un groupe de sécurité. Si vous utilisez la plateforme EC2 -VPC, vous pouvez soit utiliser un groupe de sécurité Amazon VPC existant, soit en définir un nouveau, puis l'associer à un cluster. Pour plus d'informations sur la gestion d'un cluster sur la plate-forme EC2 -VPC, consultez. Ressources Redshift dans un VPC
Points de terminaison de VPC d’Interface
Vous pouvez vous connecter directement aux services d'API Amazon Redshift et Amazon Redshift Serverless à l'aide d'un point de terminaison VPC d'interface () dans votre cloud privé virtuel AWS PrivateLink(VPC) au lieu de vous connecter via Internet. Pour plus d'informations sur les actions d'API Amazon Redshift, consultez Actions dans la Référence d'API Amazon Redshift. Pour plus d'informations sur les actions de l'API Redshift Serverless, consultez la section Actions du manuel Amazon Redshift Serverless API Reference. Pour de plus amples informations sur AWS PrivateLink, veuillez consulter Points de terminaison d'un VPC d'interface (AWS PrivateLink) dans le Guide de l'utilisateur Amazon VPC. Notez que la connexion JDBC/ODBC au cluster ou à l'espace de travail ne fait pas partie du service d'API Amazon Redshift.
Lorsque vous utilisez un point de terminaison VPC d'interface, la communication entre votre VPC et Amazon Redshift ou Redshift Serverless s'effectue entièrement au sein du réseau, ce qui peut renforcer la sécurité. AWS Chaque point de terminaison d'un VPC est représenté par une ou plusieurs interfaces réseau Elastic avec des adresses IP privées dans vos sous-réseaux VPC. Pour plus d'informations sur les interfaces réseau élastiques, consultez la section relative aux interfaces réseau élastiques dans le guide de EC2 l'utilisateur Amazon.
Un point de terminaison de VPC d'interface connecte votre VPC directement à Amazon Redshift. Il n'utilise pas de passerelle Internet, de périphérique de traduction d'adresses réseau (NAT), de connexion à un réseau privé virtuel (VPN) ou de AWS Direct Connect connexion. Les instances de votre VPC ne nécessitent pas d'adresses IP publiques pour communiquer avec l'API Amazon Redshift.
Pour utiliser Amazon Redshift ou Redshift Serverless via votre VPC, deux options s'offrent à vous. L'une consiste à vous connecter à partir d'une instance qui se trouve à l'intérieur de votre VPC. L'autre consiste à connecter votre réseau privé à votre VPC à l'aide d'une AWS VPN option ou. AWS Direct Connect Pour plus d'informations sur AWS VPN les options, consultez la section Connexions VPN dans le guide de l'utilisateur Amazon VPC. Pour obtenir des informations sur AWS Direct Connect, consultez Création d'une connexion dans le Guide de l'utilisateur AWS Direct Connect .
Vous pouvez créer un point de terminaison VPC d'interface pour vous connecter à Amazon Redshift à AWS Management Console l'aide des commandes AWS Command Line Interface or AWS CLI(). Pour plus d'informations, consultez Création d'un point de terminaison d'interface.
Une fois que vous avez créé un point de terminaison de VPC d'interface, vous pouvez activer les noms d'hôte DNS privés pour le point de terminaison. Dans ce cas, le point de terminaison par défaut est le suivant :
-
Amazon Redshift a fourni :
https://redshift.Region -
Amazon Redshift sans serveur :
https://redshift-serverless.Region
Si vous n'activez pas les noms d'hôte DNS privés, Amazon VPC fournit un nom de point de terminaison DNS que vous pouvez utiliser au format suivant.
-
Amazon Redshift a fourni :
VPC_endpoint_ID.redshift.Region.vpce.amazonaws.com -
Amazon Redshift sans serveur :
VPC_endpoint_ID.redshift-serverless.Region.vpce.amazonaws.com
Pour de plus amples informations, consultez Points de terminaison VPC (AWS PrivateLink) dans le Guide de l’utilisateur Amazon VPC.
Amazon Redshift et Redshift Serverless permettent d'appeler toutes les opérations d'API Amazon Redshift et les opérations d'API Redshift Serverless au sein de votre VPC.
Vous pouvez attacher des politiques de point de terminaison de VPC à un point de terminaison VPC pour contrôler l'accès des entités AWS Identity and Access Management (IAM). Vous pouvez également associer des groupes de sécurité à un point de terminaison de VPC pour contrôler l'accès entrant et sortant en fonction de l'origine et de la destination du trafic réseau. Un exemple est une plage d'adresses IP. Pour en savoir plus, consultez Contrôle de l’accès aux services avec des points de terminaison d’un VPC dans le guide de l’utilisateur Amazon VPC.
Politiques relatives aux points de terminaison VPC pour Amazon Redshift
Vous pouvez créer une politique pour les points de terminaison de VPC pour les instances de bloc-notes Amazon Redshift afin de spécifier les éléments suivants :
-
Principal qui peut ou ne peut pas effectuer des actions
-
Les actions qui peuvent être effectuées.
-
Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.
Vous trouverez ci-dessous des exemples de politiques de point de terminaison de VPC.
Exemples de politiques relatives aux terminaux provisionnés par Amazon Redshift
Vous trouverez ci-dessous des exemples de politiques relatives aux points de terminaison VPC pour Amazon Redshift Provisioned.
Exemple : politique de point de terminaison VPC visant à refuser tout accès à partir d'un compte spécifié AWS
La politique de point de terminaison VPC suivante refuse au AWS compte 123456789012
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "*",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
Exemple : politique de point de terminaison d'un VPC pour autoriser l'accès VPC uniquement à un rôle IAM spécifié
La politique de point de terminaison VPC suivante autorise un accès complet uniquement au rôle IAM dans redshiftrole123456789012 Toutes les autres entités IAM se voient refuser l'accès à l'aide du point de terminaison.
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:role/redshiftrole"
]
}
}]
}
Il s'agit uniquement d'un exemple. Dans la plupart des cas d'utilisation, nous recommandons d'associer des autorisations à des actions spécifiques afin de réduire la portée des autorisations.
Exemple : politique de point de terminaison de VPC pour autoriser l'accès VPC uniquement à un principal IAM spécifié (utilisateur)
La politique de point de terminaison VPC suivante autorise un accès complet uniquement à l'utilisateur redshiftadmin123456789012 Toutes les autres entités IAM se voient refuser l'accès à l'aide du point de terminaison.
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/redshiftadmin"
]
}
}]
}
Il s'agit uniquement d'un exemple. Dans la plupart des cas d'utilisation, nous recommandons d'associer des autorisations à un rôle avant de les attribuer à un utilisateur. En outre, nous vous recommandons d'utiliser des actions spécifiques pour réduire la portée des autorisations.
Exemple : politique de point de terminaison VPC pour autoriser les opérations Amazon Redshift en lecture seule
La politique de point de terminaison VPC suivante autorise uniquement le AWS compte 123456789012
Les actions spécifiées fournissent l'équivalent d'un accès en lecture seule pour Amazon Redshift. Toutes les autres actions sur le VPC sont refusées pour le compte spécifié. En outre, tous les autres comptes se voient refuser tout accès. Pour afficher la liste des actions Amazon Redshift, veuillez consulter Actions, ressources et clés de condition pour Amazon Redshift dans le Guide de l'utilisateur IAM.
{
"Statement": [
{
"Action": [
"redshift:DescribeAccountAttributes",
"redshift:DescribeClusterParameterGroups",
"redshift:DescribeClusterParameters",
"redshift:DescribeClusterSecurityGroups",
"redshift:DescribeClusterSnapshots",
"redshift:DescribeClusterSubnetGroups",
"redshift:DescribeClusterVersions",
"redshift:DescribeDefaultClusterParameters",
"redshift:DescribeEventCategories",
"redshift:DescribeEventSubscriptions",
"redshift:DescribeHsmClientCertificates",
"redshift:DescribeHsmConfigurations",
"redshift:DescribeLoggingStatus",
"redshift:DescribeOrderableClusterOptions",
"redshift:DescribeQuery",
"redshift:DescribeReservedNodeOfferings",
"redshift:DescribeReservedNodes",
"redshift:DescribeResize",
"redshift:DescribeSavedQueries",
"redshift:DescribeScheduledActions",
"redshift:DescribeSnapshotCopyGrants",
"redshift:DescribeSnapshotSchedules",
"redshift:DescribeStorage",
"redshift:DescribeTable",
"redshift:DescribeTableRestoreStatus",
"redshift:DescribeTags",
"redshift:FetchResults",
"redshift:GetReservedNodeExchangeOfferings"
],
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
Exemple : politique de point de terminaison de VPC refusant l'accès à un cluster spécifié
La politique de point de terminaison de VPC suivante permet un accès complet à tous les comptes et entités. Dans le même temps, il refuse tout accès au AWS compte 123456789012my-redshift-cluster
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
Exemples de politiques relatives aux terminaux sans serveur Amazon Redshift
Vous trouverez ci-dessous des exemples de politiques de point de terminaison VPC pour Redshift Serverless.
Exemple : politique de point de terminaison VPC autorisant les opérations Redshift Serverless en lecture seule
La politique de point de terminaison VPC suivante autorise uniquement le AWS compte 123456789012
Les actions spécifiées fournissent l'équivalent d'un accès en lecture seule pour Redshift Serverless. Toutes les autres actions sur le VPC sont refusées pour le compte spécifié. En outre, tous les autres comptes se voient refuser tout accès. Pour obtenir la liste des actions Redshift Serverless, consultez la section Actions, ressources et clés de condition pour Redshift Serverless dans le guide de l'utilisateur IAM.
{
"Statement": [
{
"Action": [
"redshift-serverless:DescribeOneTimeCredit",
"redshift-serverless:GetCustomDomainAssociation",
"redshift-serverless:GetEndpointAccess",
"redshift-serverless:GetNamespace",
"redshift-serverless:GetRecoveryPoint",
"redshift-serverless:GetResourcePolicy",
"redshift-serverless:GetScheduledAction",
"redshift-serverless:GetSnapshot",
"redshift-serverless:GetTableRestoreStatus",
"redshift-serverless:GetUsageLimit",
"redshift-serverless:GetWorkgroup"
],
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
Exemple : politique de point de terminaison VPC refusant l'accès à un groupe de travail spécifié
La politique de point de terminaison de VPC suivante permet un accès complet à tous les comptes et entités. Dans le même temps, il refuse tout accès au AWS compte 123456789012my-redshift-workgroup
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "arn:aws:redshift-serverless:us-east-1:123456789012:workgroup:my-redshift-workgroup",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
