Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keamanan infrastruktur di Amazon Redshift
Sebagai layanan terkelola, Amazon Redshift dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud
Anda menggunakan API panggilan yang AWS dipublikasikan untuk mengakses Amazon Redshift melalui jaringan. Klien harus mendukung hal-hal berikut:
-
Keamanan Lapisan Transportasi (TLS). Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.
-
Suite cipher dengan kerahasiaan maju yang sempurna (PFS) seperti (Ephemeral Diffie-Hellman) atau DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Selain itu, permintaan harus ditandatangani dengan menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan IAM prinsipal. Atau Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk membuat kredensial keamanan sementara untuk menandatangani permintaan.
Isolasi jaringan
Virtual private cloud (VPC) berbasis VPC layanan Amazon adalah jaringan pribadi Anda yang terisolasi secara logis di AWS Cloud. Anda dapat menerapkan cluster Amazon Redshift atau grup kerja Redshift Serverless dalam file dengan mengambil langkah-langkah berikut: VPC
-
Buat VPC di AWS Wilayah. Untuk informasi selengkapnya, lihat Apa itu AmazonVPC? di Panduan VPC Pengguna Amazon.
-
Buat dua atau lebih VPC subnet pribadi. Untuk informasi selengkapnya, lihat VPCsdan subnet di Panduan VPC Pengguna Amazon.
-
Menerapkan cluster Amazon Redshift atau grup kerja Redshift Serverless. Untuk informasi selengkapnya, lihat Subnet untuk sumber daya Redshift atau Kelompok kerja dan ruang nama.
Cluster Amazon Redshift dikunci secara default saat penyediaan. Untuk mengizinkan lalu lintas jaringan masuk dari klien Amazon Redshift, kaitkan grup keamanan VPC dengan cluster Amazon Redshift. Untuk informasi selengkapnya, lihat Subnet untuk sumber daya Redshift.
Untuk mengizinkan lalu lintas hanya ke atau dari rentang alamat IP tertentu, perbarui grup keamanan dengan AndaVPC. Contohnya adalah mengizinkan lalu lintas hanya dari atau ke jaringan perusahaan Anda.
Saat mengonfigurasi daftar kontrol akses jaringan yang terkait dengan subnet yang ditandai dengan klaster Amazon Redshift Anda, pastikan rentang CIDR S3 Wilayah AWS masing-masing ditambahkan ke daftar yang diizinkan untuk aturan masuk dan keluar. Melakukannya memungkinkan Anda menjalankan operasi berbasis S3 seperti Redshift Spectrum,COPY, dan UNLOAD tanpa gangguan apa pun.
Perintah contoh berikut mem-parsing JSON respons untuk semua IPv4 alamat yang digunakan di Amazon S3 di Wilayah us-east-1.
curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix' 54.231.0.0/17 52.92.16.0/20 52.216.0.0/15
Untuk petunjuk tentang cara mendapatkan rentang IP S3 untuk wilayah tertentu, lihat rentang alamat AWS IP.
Amazon Redshift mendukung penerapan cluster ke dalam penyewaan khusus. VPCs Untuk informasi selengkapnya, lihat Instans khusus di Panduan EC2 Pengguna Amazon.
Grup keamanan Amazon Redshift
Saat Anda menyediakan klaster Amazon Redshift, klaster tersebut dikunci secara default sehingga tidak ada yang memiliki akses ke sana. Untuk memberi pengguna lain akses masuk ke klaster Amazon Redshift, Anda mengaitkan klaster dengan grup keamanan. Jika Anda berada di VPC platform EC2 -, Anda dapat menggunakan grup VPC keamanan Amazon yang ada atau menentukan yang baru dan kemudian mengaitkannya dengan cluster. Untuk informasi selengkapnya tentang mengelola cluster di VPC platform EC2 -, lihatSumber daya Redshift dalam VPC.
Titik VPC akhir antarmuka
Anda dapat terhubung langsung ke layanan Amazon Redshift dan Amazon Redshift API Serverless menggunakan endpoint VPC antarmuka AWS PrivateLink() di cloud pribadi virtual Anda () alih-alih terhubung melalui VPC internet. Untuk informasi tentang tindakan Amazon Redshift, lihat API Tindakan di Referensi Amazon API Redshift. Untuk informasi tentang tindakan Redshift Tanpa Server, lihat API Tindakan di Referensi Tanpa Server Amazon Redshift. API Untuk informasi selengkapnya AWS PrivateLink, lihat VPCEndpoint antarmuka (AWS PrivateLink) di Panduan VPC Pengguna Amazon. Perhatikan bahwaJDBC/ODBCkoneksi ke cluster atau ruang kerja bukan bagian dari layanan Amazon API Redshift.
Saat Anda menggunakan VPC titik akhir antarmuka, komunikasi antara Anda VPC dan Amazon Redshift atau Redshift Serverless dilakukan sepenuhnya di dalam jaringan, yang dapat memberikan keamanan AWS yang lebih besar. Setiap VPC titik akhir diwakili oleh satu atau lebih antarmuka jaringan elastis dengan alamat IP pribadi di subnet AndaVPC. Untuk informasi selengkapnya tentang antarmuka jaringan elastis, lihat Antarmuka jaringan elastis di EC2Panduan Pengguna Amazon.
VPCTitik akhir antarmuka menghubungkan Anda VPC langsung ke Amazon Redshift. Itu tidak menggunakan gateway internet, perangkat terjemahan alamat jaringan (NAT), koneksi jaringan pribadi virtual (VPN), atau AWS Direct Connect koneksi. Instans di Anda VPC tidak memerlukan alamat IP publik untuk berkomunikasi dengan Amazon API Redshift.
Untuk menggunakan Amazon Redshift atau Redshift Serverless melalui Anda, Anda VPC memiliki dua opsi. Salah satunya adalah terhubung dari instance yang ada di dalam AndaVPC. Yang lainnya adalah menghubungkan jaringan pribadi Anda ke jaringan Anda VPC dengan menggunakan AWS VPN opsi atau AWS Direct Connect. Untuk informasi selengkapnya tentang AWS VPN opsi, lihat VPNkoneksi di Panduan VPC Pengguna Amazon. Untuk informasi tentang AWS Direct Connect, lihat Membuat hubungan di Panduan Pengguna AWS Direct Connect .
Anda dapat membuat VPC titik akhir antarmuka untuk terhubung ke Amazon Redshift menggunakan AWS Management Console perintah AWS Command Line Interface or AWS CLI(). Untuk informasi selengkapnya, lihat Membuat Titik Akhir Antarmuka.
Setelah Anda membuat VPC titik akhir antarmuka, Anda dapat mengaktifkan nama DNS host pribadi untuk titik akhir. Ketika Anda melakukannya, titik akhir default adalah sebagai berikut:
-
Amazon Redshift disediakan:
https://redshift.Region -
Amazon Redshift Tanpa Server:
https://redshift-serverless.Region
Jika Anda tidak mengaktifkan nama DNS host pribadi, Amazon VPC menyediakan nama DNS endpoint yang dapat Anda gunakan dalam format berikut.
-
Amazon Redshift disediakan:
VPC_endpoint_ID.redshift.Region.vpce.amazonaws.com -
Amazon Redshift Tanpa Server:
VPC_endpoint_ID.redshift-serverless.Region.vpce.amazonaws.com
Untuk informasi selengkapnya, lihat VPCTitik akhir antarmuka (AWS PrivateLink) di Panduan VPC Pengguna Amazon.
Dukungan Amazon Redshift dan Redshift Tanpa Server melakukan panggilan ke semua operasi Amazon Redshift dan APIoperasi Redshift Tanpa Server di dalam Anda. API VPC
Anda dapat melampirkan kebijakan VPC titik akhir ke VPC titik akhir untuk mengontrol akses untuk AWS Identity and Access Management (IAM) prinsipal. Anda juga dapat mengaitkan grup keamanan dengan VPC titik akhir untuk mengontrol akses masuk dan keluar berdasarkan asal dan tujuan lalu lintas jaringan. Contohnya adalah berbagai alamat IP. Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Titik Akhir di Panduan VPC Pengguna Amazon.
VPCkebijakan titik akhir untuk Amazon Redshift
Anda dapat membuat kebijakan untuk VPC titik akhir Amazon Redshift untuk menentukan hal berikut:
-
Kepala sekolah yang bisa atau tidak bisa melakukan tindakan
-
Tindakan-tindakan yang dapat dilakukan
-
Sumber daya yang padanya tindakan dapat dilakukan
Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan dengan VPC titik akhir di Panduan VPC Pengguna Amazon.
Berikut ini, Anda dapat menemukan contoh kebijakan VPC endpoint.
Contoh Kebijakan Titik Akhir yang Disediakan Amazon Redshift
Berikut ini, Anda dapat menemukan contoh kebijakan VPC endpoint untuk Amazon Redshift Provisioned.
Contoh: kebijakan VPC endpoint untuk menolak semua akses dari akun tertentu AWS
Kebijakan VPC endpoint berikut menyangkal AWS akun 123456789012
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Contoh: kebijakan VPC endpoint untuk mengizinkan VPC akses hanya ke peran tertentu IAM
Kebijakan VPC endpoint berikut memungkinkan akses penuh hanya ke peran IAM redshiftrole123456789012. Semua IAM prinsipal lainnya ditolak aksesnya menggunakan titik akhir.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:role/redshiftrole" ] } }] }
Ini hanya sampel. Dalam sebagian besar kasus penggunaan, kami menyarankan untuk melampirkan izin untuk tindakan tertentu untuk mempersempit ruang lingkup izin.
Contoh: kebijakan VPC endpoint untuk mengizinkan VPC akses hanya ke IAM prinsipal tertentu (pengguna)
Kebijakan VPC endpoint berikut memungkinkan akses penuh hanya ke pengguna IAM redshiftadmin123456789012. Semua IAM prinsipal lainnya ditolak aksesnya menggunakan titik akhir.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/redshiftadmin" ] } }] }
Ini hanya sampel. Dalam sebagian besar kasus penggunaan, kami menyarankan untuk melampirkan izin ke peran sebelum menetapkan ke pengguna. Selain itu, sebaiknya gunakan tindakan khusus untuk mempersempit ruang lingkup izin.
Contoh: kebijakan VPC titik akhir untuk mengizinkan operasi Amazon Redshift hanya-baca
Kebijakan VPC endpoint berikut hanya mengizinkan akun AWS 123456789012
Tindakan yang ditentukan menyediakan akses hanya-baca yang setara untuk Amazon Redshift. Semua tindakan lain pada VPC ditolak untuk akun yang ditentukan. Juga, semua akun lain ditolak aksesnya. Untuk daftar tindakan Amazon Redshift, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon Redshift di IAM Panduan Pengguna.
{ "Statement": [ { "Action": [ "redshift:DescribeAccountAttributes", "redshift:DescribeClusterParameterGroups", "redshift:DescribeClusterParameters", "redshift:DescribeClusterSecurityGroups", "redshift:DescribeClusterSnapshots", "redshift:DescribeClusterSubnetGroups", "redshift:DescribeClusterVersions", "redshift:DescribeDefaultClusterParameters", "redshift:DescribeEventCategories", "redshift:DescribeEventSubscriptions", "redshift:DescribeHsmClientCertificates", "redshift:DescribeHsmConfigurations", "redshift:DescribeLoggingStatus", "redshift:DescribeOrderableClusterOptions", "redshift:DescribeQuery", "redshift:DescribeReservedNodeOfferings", "redshift:DescribeReservedNodes", "redshift:DescribeResize", "redshift:DescribeSavedQueries", "redshift:DescribeScheduledActions", "redshift:DescribeSnapshotCopyGrants", "redshift:DescribeSnapshotSchedules", "redshift:DescribeStorage", "redshift:DescribeTable", "redshift:DescribeTableRestoreStatus", "redshift:DescribeTags", "redshift:FetchResults", "redshift:GetReservedNodeExchangeOfferings" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Contoh: kebijakan VPC endpoint menolak akses ke cluster tertentu
Kebijakan VPC endpoint berikut memungkinkan akses penuh untuk semua akun dan prinsipal. Pada saat yang sama, ia menolak akses apa pun untuk akun AWS 123456789012my-redshift-cluster
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster", "Principal": { "AWS": [ "123456789012" ] } } ] }
Contoh Kebijakan Titik Akhir Tanpa Server Amazon Redshift
Berikut ini, Anda dapat menemukan contoh kebijakan VPC endpoint untuk Redshift Serverless.
Contoh: kebijakan VPC endpoint untuk mengizinkan operasi Redshift Serverless hanya-baca
Kebijakan VPC endpoint berikut hanya mengizinkan akun AWS 123456789012
Tindakan yang ditentukan menyediakan akses hanya-baca yang setara untuk Redshift Tanpa Server. Semua tindakan lain pada VPC ditolak untuk akun yang ditentukan. Juga, semua akun lain ditolak aksesnya. Untuk daftar tindakan Redshift Tanpa Server, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk Redshift Tanpa Server di Panduan Pengguna. IAM
{ "Statement": [ { "Action": [ "redshift-serverless:DescribeOneTimeCredit", "redshift-serverless:GetCustomDomainAssociation", "redshift-serverless:GetEndpointAccess", "redshift-serverless:GetNamespace", "redshift-serverless:GetRecoveryPoint", "redshift-serverless:GetResourcePolicy", "redshift-serverless:GetScheduledAction", "redshift-serverless:GetSnapshot", "redshift-serverless:GetTableRestoreStatus", "redshift-serverless:GetUsageLimit", "redshift-serverless:GetWorkgroup" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Contoh: kebijakan VPC endpoint menolak akses ke workgroup tertentu
Kebijakan VPC endpoint berikut memungkinkan akses penuh untuk semua akun dan prinsipal. Pada saat yang sama, ia menolak akses apa pun untuk akun AWS 123456789012my-redshift-workgroup
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:redshift-serverless:us-east-1:123456789012:workgroup:my-redshift-workgroup", "Principal": { "AWS": [ "123456789012" ] } } ] }
