SSL 接続用 ACM 証明書への移行

Amazon Redshift では、現在クラスターの SSL 証明書をAWS Certificate Manager (ACM)」発行の証明書に置き換えています。ACM は、現在のほとんどのシステムで信頼されている信頼のある公開認証機関 (CA) です。引き続き SSL でクラスターに接続するには、現在の信頼ルート CA 証明書を更新する必要があります。

この変更は、以下のすべてに該当する場合のみ適用されます。

sslMode 接続オプションを require、verify-ca、または verify-full 設定オプションに指定して、SQL クライアントまたはアプリケーションから Amazon Redshift クラスターに SSL 接続されている。
Amazon Redshift ODBC または JDBC ドライバーを使用していない、または ODBC バージョン 1.3.7.1000 または JDBC バージョン 1.2.8.1005 より前の Amazon Redshift ドライバーを使用している。

この変更が商用 Amazon Redshift リージョンに影響する場合は、現在の信頼ルート CA 証明書を 2017 年 10 月 23 日までに更新する必要があります。Amazon Redshift は、お客様のクラスターを 2017 年 10 月 23 日までに順次 ACM 証明書に切り替えていきます。この変更によるお客様のクラスターのパフォーマンスまたはアベイラビリティーへの影響はほとんどありません。

AWS GovCloud (US) (米国)リージョンのお客様が、この変更により影響を受ける場合には、サービスの中断を避けるために、現在の信頼ルート CA 証明書を 2020 年 4 月 1 日までに更新する必要があります。この日付以降、SSL 暗号化接続を使用して Amazon Redshift クラスターに接続するクライアントには、追加の信頼できる認定権限 (CA) が必要です。クライアントは、信頼できる認定権限を使用して、クラスターに接続するときに Amazon Redshift クラスターの ID を確認します。SQL クライアントとアプリケーションを更新して、新しい信頼された CA を含む更新された証明書バンドルを使用するには、アクションが必要です。

重要

2021 年 1 月 5 日、中国リージョンにおいて、Amazon Redshift のクラスター用の SSL 証明書が、AWS Certificate Manager(ACM) 発行の証明書に置き換えられました。この変更が中国 (北京) リージョンまたは中国 (寧夏) リージョンに影響する場合は、サービスの中断を避けるために、現在の信頼ルート CA 証明書を 2021 年 1 月 5 日までに更新する必要があります。この日付以降、SSL 暗号化接続を使用して Amazon Redshift クラスターに接続するクライアントには、追加の信頼できる認定権限 (CA) が必要です。クライアントは、信頼できる認定権限を使用して、クラスターに接続するときに Amazon Redshift クラスターの ID を確認します。SQL クライアントとアプリケーションを更新して、新しい信頼された CA を含む更新された証明書バンドルを使用するには、アクションが必要です。

最新の Amazon Redshift ODBC ドライバーまたは JDBC ドライバーを使用する
旧 Amazon Redshift ODBC ドライバーまたは JDBC ドライバーを使用する
その他の SSL 接続タイプを使用する

旧 Amazon Redshift ODBC ドライバーまたは JDBC ドライバーを使用する

ODBC DSN が SSLCertPath を使用して設定されている場合は、指定されたパスの証明書ファイルに上書きします。
SSLCertPath が設定されていない場合は、ドライバーの DLL の位置にある証明書ファイル (root.crt) に上書きします。

バージョン 1.2.8.1005 より前の Amazon Redshift JDBC ドライバーを使用する必要がある場合は、以下のいずれかを行います。

JDBC 接続文字列で sslCert オプションを使用している場合は、sslCertオプションを解除します。続いて、Redshift の認証機関バンドルを Java トラストストアにインポートします。ダウンロード情報については、「SSL」を参照してください。詳細については、「Amazon Redshift の認定権限バンドルを TrustStore にインポートする」を参照してください。
Java コマンドラインの -Djavax.net.ssl.trustStore オプションを使用している場合は、可能であればコマンドラインから解除します。続いて、Redshift の認証機関バンドルを Java トラストストアにインポートします。ダウンロード情報については、「SSL」を参照してください。詳細については、「Amazon Redshift の認定権限バンドルを TrustStore にインポートする」を参照してください。

Amazon Redshift の認定権限バンドルを TrustStore にインポートする

Amazon Redshift の認定権限バンドルの CA 証明書を Java TrustStore またはプライベート信頼ストアにインポートするには、redshift-keytool.jar を使用します。

Amazon Redshift の認定権限バンドルを TrustStore にインポートするには

redshift-keytool.jar をダウンロードします。
次のいずれかを行ってください。
- Amazon Redshift の認定権限バンドルを Java TrustStore にインポートするには、次のコマンドを実行します。
```
java -jar redshift-keytool.jar -s
```
- Amazon Redshift の認定権限バンドルをプライベート TrustStore にインポートするには、次のコマンドを実行します。
```
java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 
```

その他の SSL 接続タイプを使用する

次のいずれかを使用して接続している場合は、このセクションの手順に従います。

オープンソースの ODBC ドライバー
オープンソースの JDBC ドライバー
Amazon Redshift RSQL コマンドラインインターフェイス
libpq に基づく言語バインディング (例: psycopg2 (Python)、ruby-pg (Ruby))

その他の SSL 接続タイプで ACM 証明書を使用するには

Amazon Redshift の認定権限バンドルをダウンロードします。ダウンロード情報については、「SSL」を参照してください。
バンドルの証明書を root.crt ファイルに追加します。
- Linux および macOS X オペレーティングシステムでは、ファイルは ~/.postgresql/root.crt です。
- Microsoft Windows では、ファイルは %APPDATA%\postgresql\root.crt です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

接続のセキュリティオプションを設定する

クライアントツールおよびコードからの接続