Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengkonfigurasi opsi keamanan untuk koneksi
Amazon Redshift mendukung koneksi Secure Sockets Layer (SSL) untuk mengenkripsi data dan sertifikat server untuk memvalidasi sertifikat server yang terhubung dengan klien.
Connect menggunakan SSL
Untuk mendukung koneksi SSL, Amazon Redshift membuat dan menginstal sertifikat SSL (ACM)AWS Certificate Manager yangsslmode
opsi koneksi disetel require
keverify-ca
,, atau. verify-full
Jika klien Anda memerlukan sertifikat, Amazon Redshift menyediakan sertifikat bundel sebagai berikut:
Unduh bundel dari https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundle.crt
. Nomor checksum MD5 yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.
Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
Jangan gunakan bundel sertifikat sebelumnya yang berada di
https://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt
.Di China Wilayah AWS, unduh bundel dari https://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/amazon-trust-ca-bundle.crt
. Nomor checksum MD5 yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.
Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
Jangan gunakan bundel sertifikat sebelumnya yang berada di
https://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/redshift-ca-bundle.crt
danhttps://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem
penting
Amazon Redshift telah mengubah cara sertifikat SSL dikelola. Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke cluster Anda menggunakan SSL. Untuk informasi selengkapnya, lihat Transisi ke sertifikat ACM untuk koneksi SSL.
Secara default, database cluster menerima koneksi apakah menggunakan SSL atau tidak. Untuk mengonfigurasi klaster Anda agar memerlukan koneksi SSL, atur require_SSL
parameter ke true
dalam grup parameter yang terkait dengan cluster.
Amazon Redshift mendukung mode SSL yang sesuai dengan Federal Information Processing Standard (FIPS) 140-2. Mode SSL yang sesuai dengan FIPS dinonaktifkan secara default.
penting
Aktifkan mode SSL yang sesuai dengan FIPS hanya jika sistem Anda harus sesuai dengan FIPS.
Untuk mengaktifkan mode SSL yang sesuai dengan FIPS, setel use_fips_ssl
parameter dan parameter ke true
dalam grup require_SSL
parameter yang terkait dengan cluster Amazon Redshift atau grup kerja Redshift Serverless. Untuk informasi tentang memodifikasi grup parameter pada klaster, lihatGrup parameter Amazon Redshift. Untuk informasi tentang memodifikasi grup parameter pada workgroup, lihat. Mengonfigurasi SSL koneksi FIPS yang sesuai dengan Amazon Redshift Serverless
Amazon Redshift mendukung protokol perjanjian kunci Elliptic Curve Diffie—Hellman Ephemeral (ECDHE). Dengan ECDHE, klien dan server masing-masing memiliki elliptic curve public-private key pair yang digunakan untuk membangun rahasia bersama melalui saluran yang tidak aman. Anda tidak perlu mengonfigurasi apa pun di Amazon Redshift untuk mengaktifkan ECDHE. Jika Anda terhubung dari alat klien SQL yang menggunakan ECDHE untuk mengenkripsi komunikasi antara klien dan server, Amazon Redshift menggunakan daftar sandi yang disediakan untuk membuat koneksi yang sesuai. Untuk informasi lebih lanjut, lihat Elliptic curve diffie—hellman
Menggunakan SSL dan mempercayai sertifikat CA di ODBC
Jika Anda terhubung menggunakan driver Amazon Redshift ODBC terbaru (versi 1.3.7.1000 atau yang lebih baru), Anda dapat melewati bagian ini. Untuk mengunduh driver terbaru, lihatMengkonfigurasi koneksi ODBC.
Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke cluster Anda menggunakan SSL. Untuk informasi selengkapnya, lihat Connect menggunakan SSL.
Anda dapat memverifikasi bahwa sertifikat yang Anda unduh cocok dengan nomor checksum MD5 yang diharapkan. Untuk melakukan ini, Anda dapat menggunakan program MD5sum pada sistem operasi Linux, atau alat lain pada sistem operasi Windows dan macOS X.
ODBC DSN berisi sslmode
pengaturan yang menentukan cara menangani enkripsi untuk koneksi klien dan verifikasi sertifikat server. Amazon Redshift mendukung sslmode
nilai-nilai berikut dari koneksi klien:
-
disable
SSL dinonaktifkan dan koneksi tidak dienkripsi.
-
allow
SSL digunakan jika server membutuhkannya.
-
prefer
SSL digunakan jika server mendukungnya. Amazon Redshift mendukung SSL, jadi SSL digunakan saat Anda menyetelnya.
sslmode
prefer
-
require
SSL diperlukan.
-
verify-ca
SSL harus digunakan dan sertifikat server harus diverifikasi.
-
verify-full
SSL harus digunakan. Sertifikat server harus diverifikasi dan nama host server harus cocok dengan atribut hostname pada sertifikat.
Anda dapat menentukan apakah SSL digunakan dan sertifikat server diverifikasi dalam koneksi antara klien dan server. Untuk melakukan ini, Anda perlu meninjau sslmode
pengaturan untuk ODBC DSN Anda pada klien dan require_SSL
pengaturan untuk cluster Amazon Redshift di server. Tabel berikut menjelaskan hasil enkripsi untuk berbagai kombinasi pengaturan klien dan server:
sslmode (klien) | Require_SSL (server) | Hasil |
---|---|---|
disable |
false |
Koneksi tidak dienkripsi. |
disable |
true |
Koneksi tidak dapat dibuat karena server memerlukan SSL dan klien memiliki SSL dinonaktifkan untuk koneksi. |
allow |
true |
Koneksi dienkripsi. |
allow |
false |
Koneksi tidak dienkripsi. |
prefer atau require |
true |
Koneksi dienkripsi. |
prefer atau require |
false |
Koneksi dienkripsi. |
verify-ca |
true |
Koneksi dienkripsi dan sertifikat server diverifikasi. |
verify-ca |
false |
Koneksi dienkripsi dan sertifikat server diverifikasi. |
verify-full |
true |
Koneksi dienkripsi dan sertifikat server dan nama host diverifikasi. |
verify-full |
false |
Koneksi dienkripsi dan sertifikat server dan nama host diverifikasi. |
Connect menggunakan sertifikat server dengan ODBC di Microsoft Windows
Jika Anda ingin terhubung ke klaster menggunakan SSL dan sertifikat server, unduh sertifikat terlebih dahulu ke komputer klien Anda atau instans Amazon EC2. Kemudian konfigurasikan ODBC DSN.
-
Unduh bundel otoritas sertifikat Amazon Redshift ke komputer klien Anda di
lib
folder di direktori instalasi driver Anda, dan simpan file sebagai.root.crt
Untuk informasi unduhan, lihat Connect menggunakan SSL. -
Buka Administrator Sumber Data ODBC, dan tambahkan atau edit entri DSN sistem untuk koneksi ODBC Anda. Untuk Mode SSL, pilih
verify-full
kecuali Anda menggunakan alias DNS. Jika Anda menggunakan alias DNS, pilih.verify-ca
Lalu, pilih Simpan.Untuk informasi selengkapnya tentang mengonfigurasi ODBC DSN, lihat. Mengkonfigurasi koneksi ODBC
Menggunakan sertifikat SSL dan server di Java
SSL menyediakan satu lapisan keamanan dengan mengenkripsi data yang bergerak antara klien dan cluster Anda. Menggunakan sertifikat server memberikan lapisan keamanan tambahan dengan memvalidasi bahwa klaster tersebut adalah klaster Amazon Redshift. Ia melakukannya dengan memeriksa sertifikat server yang secara otomatis diinstal pada semua cluster yang Anda sediakan. Untuk informasi lebih lanjut tentang menggunakan sertifikat server dengan JDBC, buka Mengkonfigurasi klien dalam
Connect menggunakan sertifikat CA trust di Java
penting
Amazon Redshift telah mengubah cara sertifikat SSL dikelola. Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke cluster Anda menggunakan SSL. Untuk informasi selengkapnya, lihat Connect menggunakan SSL.
Untuk terhubung menggunakan sertifikat CA trust
Anda dapat menggunakan redshift-keytool.jar
file tersebut untuk mengimpor sertifikat CA di bundel Amazon Redshift Certificate Authority ke Java TrustStore atau private Anda. TrustStore
-
Jika Anda menggunakan
-Djavax.net.ssl.trustStore
opsi baris perintah Java, hapus dari baris perintah, jika memungkinkan. -
Unduh redshift-keytool.jar
. -
Lakukan salah satu hal berikut ini:
-
Untuk mengimpor bundel Amazon Redshift Certificate Authority ke Java TrustStore, jalankan perintah berikut.
java -jar redshift-keytool.jar -s
-
Untuk mengimpor bundel Amazon Redshift Certificate Authority ke private Anda TrustStore, jalankan perintah berikut:
java -jar redshift-keytool.jar -k
<your_private_trust_store>
-p<keystore_password>
-