Isolement de réseau Groupes de sécurité Points de terminaison de VPC d'interface

Sécurité de l'infrastructure dans Amazon Redshift

En tant que service géré, Amazon Redshift est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

Vous utilisez les API appels AWS publiés pour accéder à Amazon Redshift via le réseau. Les clients doivent prendre en charge les éléments suivants :

Sécurité de la couche de transport (TLS). Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.
Des suites de chiffrement parfaitement confidentielles (PFS) telles que (Ephemeral Diffie-Hellman) ou DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associés à un IAM principal. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d'identification de sécurité temporaires et signer les demandes.

Isolement de réseau

Un cloud privé virtuel (VPC) basé sur le VPC service Amazon est votre réseau privé isolé de manière logique dans le AWS cloud. Vous pouvez déployer un cluster Amazon Redshift ou un groupe de travail Redshift Serverless au sein d'un VPC en suivant les étapes suivantes :

Créez un VPC dans une AWS région. Pour plus d'informations, consultez Qu'est-ce qu'Amazon VPC ? dans le guide de VPC l'utilisateur Amazon.
Créez au moins deux VPC sous-réseaux privés. Pour plus d'informations, consultez la section VPCset les sous-réseaux dans le guide de VPC l'utilisateur Amazon.
Déployez un cluster Amazon Redshift ou un groupe de travail Redshift Serverless. Pour plus d’informations, consultez Sous-réseaux pour les ressources Redshift ou Groupes de travail et espaces de noms.

Par défaut, un cluster Amazon Redshift est verrouillé lors du provisionnement. Pour autoriser le trafic réseau entrant en provenance des clients Amazon Redshift, associez VPC un groupe de sécurité à un cluster Amazon Redshift. Pour de plus amples informations, veuillez consulter Sous-réseaux pour les ressources Redshift.

Pour autoriser le trafic uniquement à destination ou en provenance de plages d'adresses IP spécifiques, mettez à jour les groupes de sécurité avec votreVPC. Par exemple, vous pouvez autoriser le trafic uniquement depuis ou vers votre réseau d'entrreprise.

Lorsque vous configurez les listes de contrôle d'accès réseau associées au (x) sous-réseau (s) associé (s) à votre cluster Amazon Redshift, assurez-vous que les plages CIDR S3 de la région AWS concernée sont ajoutées à la liste d'autorisation pour les règles d'entrée et de sortie. Cela vous permet d'exécuter des opérations basées sur S3, telles que Redshift SpectrumCOPY, sans aucune interruption. UNLOAD

L'exemple de commande suivant analyse la JSON réponse pour toutes les IPv4 adresses utilisées dans Amazon S3 dans la région us-east-1.


curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'

54.231.0.0/17

52.92.16.0/20

52.216.0.0/15

Pour savoir comment obtenir des plages d'adresses IP S3 pour une région donnée, consultez Plages d'adresses IP AWS.

Amazon Redshift prend en charge le déploiement de clusters dans le cadre d'une location dédiée. VPCs Pour plus d'informations, consultez la section Instances dédiées dans le guide de EC2 l'utilisateur Amazon.

Groupes de sécurité Amazon Redshift

Lorsque vous allouez un cluster Amazon Redshift, il est verrouillé par défaut afin que personne n'y ait accès. Pour autoriser d’autres utilisateurs à accéder à un cluster Amazon Redshift, associez le cluster à un groupe de sécurité. Si vous utilisez la VPC plateforme EC2 -, vous pouvez soit utiliser un groupe de VPC sécurité Amazon existant, soit en définir un nouveau, puis l'associer à un cluster. Pour plus d'informations sur la gestion d'un cluster sur la VPC plate-forme EC2 -, consultezLes ressources Redshift dans un VPC.

Points de terminaison de VPC d'interface

Vous pouvez vous connecter directement aux services Amazon Redshift et Amazon Redshift API Serverless à l'aide d'un point de terminaison d'VPCinterface AWS PrivateLink() dans votre cloud privé virtuel VPC () au lieu de vous connecter via Internet. Pour plus d'informations sur les API actions Amazon Redshift, consultez la section Actions du manuel Amazon API Redshift Reference. Pour plus d'informations sur les actions Redshift Serverless, consultez la section API Actions du manuel Amazon Redshift Serverless Reference. API Pour plus d'informations à ce sujet AWS PrivateLink, consultez Interface VPC endpoints (AWS PrivateLink) dans le guide de l'VPCutilisateur Amazon. Notez que la ODBC connexionJDBC/au cluster ou à l'espace de travail ne fait pas partie du service Amazon RedshiftAPI.

Lorsque vous utilisez un point de VPC terminaison d'interface, la communication entre vous VPC et Amazon Redshift ou Redshift Serverless s'effectue entièrement au sein du AWS réseau, ce qui peut renforcer la sécurité. Chaque VPC point de terminaison est représenté par une ou plusieurs interfaces réseau élastiques avec des adresses IP privées dans vos VPC sous-réseaux. Pour plus d'informations sur les interfaces réseau élastiques, consultez la section relative aux interfaces réseau élastiques dans le guide de EC2 l'utilisateur Amazon.

Un point de VPC terminaison d'interface vous connecte VPC directement à Amazon Redshift. Il n'utilise pas de passerelle Internet, de périphérique de traduction d'adresses réseau (NAT), de connexion à un réseau privé virtuel (VPN) ou de AWS Direct Connect connexion. Les instances qu'il contient VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec Amazon RedshiftAPI.

Pour utiliser Amazon Redshift ou Redshift Serverless par le biais de votre compteVPC, deux options s'offrent à vous. La première consiste à vous connecter à partir d'une instance qui se trouve dans votreVPC. L'autre consiste à connecter votre réseau privé à votre VPC en utilisant une AWS VPN option ou AWS Direct Connect. Pour plus d'informations sur AWS VPN les options, consultez VPNles connexions dans le guide de VPC l'utilisateur Amazon. Pour obtenir des informations sur AWS Direct Connect, consultez Création d'une connexion dans le Guide de l'utilisateur AWS Direct Connect .

Vous pouvez créer un point de VPC terminaison d'interface pour vous connecter à Amazon Redshift à l'aide des commandes AWS Management Console or AWS Command Line Interface (AWS CLI). Pour plus d'informations, consultez Création d'un point de terminaison d'interface.

Après avoir créé un point de VPC terminaison d'interface, vous pouvez activer les noms d'DNShôtes privés pour le point de terminaison. Lorsque vous le faites, le point de terminaison par défaut est le suivant :

Amazon Redshift a mis en service : https://redshift.Region.amazonaws.com
Amazon Redshift sans serveur : https://redshift-serverless.Region.amazonaws.com

Si vous n'activez pas les noms DNS d'hôtes privés, Amazon VPC fournit un nom de point de DNS terminaison que vous pouvez utiliser au format suivant.

Amazon Redshift a mis en service : VPC_endpoint_ID.redshift.Region.vpce.amazonaws.com
Amazon Redshift sans serveur : VPC_endpoint_ID.redshift-serverless.Region.vpce.amazonaws.com

Pour plus d'informations, consultez Interface VPC endpoints (AWS PrivateLink) dans le guide de l'VPCutilisateur Amazon.

Amazon Redshift et Redshift Serverless prennent en charge les appels vers toutes les opérations Amazon Redshift API et Redshift Serverless au sein de votre. API VPC

Vous pouvez associer des politiques de point de VPC terminaison à un VPC point de terminaison afin de contrôler l'accès pour les principaux AWS Identity and Access Management (IAM). Vous pouvez également associer des groupes de sécurité à un VPC point de terminaison pour contrôler l'accès entrant et sortant en fonction de l'origine et de la destination du trafic réseau. Un exemple est une plage d'adresses IP. Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des VPC points de terminaison dans le guide de VPC l'utilisateur Amazon.

VPCpolitiques relatives aux terminaux pour Amazon Redshift

Vous pouvez créer une politique pour les VPC points de terminaison pour Amazon Redshift afin de spécifier les éléments suivants :

Principal qui peut ou ne peut pas effectuer des actions
Les actions qui peuvent être effectuées.
Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des VPC points de terminaison dans le guide de VPC l'utilisateur Amazon.

Vous trouverez ci-dessous des exemples de politiques relatives aux VPC terminaux.

Exemples de politiques relatives aux terminaux provisionnés par Amazon Redshift

Vous trouverez ci-dessous des exemples de politiques relatives aux VPC terminaux pour Amazon Redshift Provisioned.

Exemple : politique de VPC point de terminaison visant à refuser tout accès à partir d'un AWS compte spécifié

La politique de VPC point de terminaison suivante refuse au AWS compte 123456789012 tout accès aux ressources utilisant ce point de terminaison.



{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Exemple : politique de point de VPC terminaison autorisant VPC l'accès uniquement à un IAM rôle spécifié

La politique de VPC point de terminaison suivante autorise un accès complet uniquement au IAM rôle rôle de redshift dans le AWS compte 123456789012. Tous les autres IAM principaux se voient refuser l'accès via le point de terminaison.



   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:role/redshiftrole"
                ]
            }
        }]
}

Il s'agit uniquement d'un exemple. Dans la plupart des cas d'utilisation, nous recommandons d'associer des autorisations à des actions spécifiques afin de réduire la portée des autorisations.

Exemple : politique de VPC point de terminaison autorisant VPC l'accès uniquement à un IAM principal (utilisateur) spécifié

La politique de VPC point de terminaison suivante autorise un accès complet uniquement à l'IAMutilisateur administrateur redshift dans le AWS compte 123456789012. Tous les autres IAM principaux se voient refuser l'accès via le point de terminaison.



   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/redshiftadmin"
                ]
            }
        }]
}

Il s’agit uniquement d’un exemple. Dans la plupart des cas d'utilisation, nous recommandons d'associer des autorisations à un rôle avant de les attribuer à un utilisateur. En outre, nous vous recommandons d'utiliser des actions spécifiques pour réduire la portée des autorisations.

Exemple : politique de VPC point de terminaison autorisant les opérations Amazon Redshift en lecture seule

La politique de point de VPC terminaison suivante autorise uniquement le AWS compte 123456789012 pour effectuer les actions Amazon Redshift spécifiées.

Les actions spécifiées fournissent l'équivalent d'un accès en lecture seule pour Amazon Redshift. Toutes les autres actions sur le VPC sont refusées pour le compte spécifié. En outre, tous les autres comptes se voient refuser tout accès. Pour obtenir la liste des actions Amazon Redshift, consultez la section Actions, ressources et clés de condition pour Amazon Redshift dans IAM le guide de l'utilisateur.



  {
    "Statement": [
        {
            "Action": [
                "redshift:DescribeAccountAttributes",
                "redshift:DescribeClusterParameterGroups",
                "redshift:DescribeClusterParameters",
                "redshift:DescribeClusterSecurityGroups",
                "redshift:DescribeClusterSnapshots",
                "redshift:DescribeClusterSubnetGroups",
                "redshift:DescribeClusterVersions",
                "redshift:DescribeDefaultClusterParameters",
                "redshift:DescribeEventCategories",
                "redshift:DescribeEventSubscriptions",
                "redshift:DescribeHsmClientCertificates",
                "redshift:DescribeHsmConfigurations",
                "redshift:DescribeLoggingStatus",
                "redshift:DescribeOrderableClusterOptions",
                "redshift:DescribeQuery",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "redshift:DescribeResize",
                "redshift:DescribeSavedQueries",
                "redshift:DescribeScheduledActions",
                "redshift:DescribeSnapshotCopyGrants",
                "redshift:DescribeSnapshotSchedules",
                "redshift:DescribeStorage",
                "redshift:DescribeTable",
                "redshift:DescribeTableRestoreStatus",
                "redshift:DescribeTags",
                "redshift:FetchResults",
                "redshift:GetReservedNodeExchangeOfferings"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Exemple : politique de VPC point de terminaison refusant l'accès à un cluster spécifié

La politique de point de VPC terminaison suivante permet un accès complet à tous les comptes et à tous les principaux. Dans le même temps, il refuse tout accès au AWS compte 123456789012 aux actions effectuées sur le cluster Amazon Redshift avec l'ID du cluster. my-redshift-cluster D'autres actions Amazon Redshift qui ne prennent pas en charge les autorisations au niveau des ressources pour les clusters sont toujours autorisées. Pour obtenir la liste des actions Amazon Redshift et le type de ressource correspondant, consultez la section Actions, ressources et clés de condition pour Amazon Redshift dans IAM le guide de l'utilisateur.



 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Exemples de politiques relatives aux terminaux sans serveur Amazon Redshift

Vous trouverez ci-dessous des exemples de politiques relatives aux VPC terminaux pour Redshift Serverless.

Exemple : politique de VPC point de terminaison autorisant les opérations Redshift Serverless en lecture seule

La politique de point de VPC terminaison suivante autorise uniquement le AWS compte 123456789012 pour effectuer les actions Redshift Serverless spécifiées.

Les actions spécifiées fournissent l'équivalent d'un accès en lecture seule pour Redshift Serverless. Toutes les autres actions sur le VPC sont refusées pour le compte spécifié. En outre, tous les autres comptes se voient refuser tout accès. Pour obtenir la liste des actions Redshift Serverless, consultez la section Actions, ressources et clés de condition pour Redshift Serverless dans le guide de l'utilisateur. IAM



  {
    "Statement": [
        {
            "Action": [
                "redshift-serverless:DescribeOneTimeCredit",
                "redshift-serverless:GetCustomDomainAssociation",
                "redshift-serverless:GetEndpointAccess",
                "redshift-serverless:GetNamespace",
                "redshift-serverless:GetRecoveryPoint",
                "redshift-serverless:GetResourcePolicy",
                "redshift-serverless:GetScheduledAction",
                "redshift-serverless:GetSnapshot",
                "redshift-serverless:GetTableRestoreStatus",
                "redshift-serverless:GetUsageLimit",
                "redshift-serverless:GetWorkgroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Exemple : politique de VPC point de terminaison refusant l'accès à un groupe de travail spécifique

La politique de point de VPC terminaison suivante permet un accès complet à tous les comptes et à tous les principaux. Dans le même temps, il refuse tout accès au AWS compte 123456789012 aux actions effectuées sur le groupe de travail Amazon Redshift avec un identifiant de groupe de travail. my-redshift-workgroup Les autres actions Amazon Redshift qui ne prennent pas en charge les autorisations au niveau des ressources pour les groupes de travail sont toujours autorisées. Pour obtenir la liste des actions Redshift Serverless et le type de ressource correspondant, consultez la section Actions, ressources et clés de condition pour Redshift Serverless dans le guide de l'utilisateur. IAM



 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:redshift-serverless:us-east-1:123456789012:workgroup:my-redshift-workgroup",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Résilience

Analyse de la configuration et des vulnérabilités