Netzwerkisolierung Sicherheitsgruppen Schnittstellen-VPC-Endpunkte

Amazon Redshift wird UDFs ab dem 1. November 2025 die Erstellung von neuem Python nicht mehr unterstützen. Wenn Sie Python verwenden möchten UDFs, erstellen Sie das UDFs vor diesem Datum liegende. Bestehendes Python UDFs wird weiterhin wie gewohnt funktionieren. Weitere Informationen finden Sie im Blog-Posting.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Infrastruktursicherheit in Amazon Redshift

Als verwalteter Service ist Amazon Redshift durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter AWSCloud-Sicherheit. Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Redshift zuzugreifen. Kunden müssen Folgendes unterstützen:

Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

Netzwerkisolierung

Eine virtuelle private Cloud (VPC), die auf dem Amazon VPC-Service basiert, ist Ihr privates, logisch isoliertes Netzwerk in der Cloud. AWS Sie können einen Amazon-Redshift-Cluster oder eine Redshift-Serverless-Arbeitsgruppe in einer VPC bereitstellen, indem Sie die folgenden Schritte ausführen:

Erstellen Sie eine VPC in einer AWS Region. Weitere Informationen finden Sie unter Was ist Amazon VPC? im Amazon-VPC-Benutzerhandbuch.
Erstellen Sie zwei oder mehr private VPC-Subnetze. Weitere Informationen finden Sie unter VPCs Subnetze im Amazon VPC-Benutzerhandbuch.
Bereitstellen eines Amazon-Redshift-Clusters oder einer Redshift-Serverless-Arbeitsgruppe Für weitere Informationen siehe Subnetze für Redshift-Ressourcen oder Arbeitsgruppen und Namespaces.

Ein Amazon-Redshift-Cluster ist bei der Bereitstellung standardmäßig gesperrt. Um eingehenden Netzwerkverkehr von Amazon-Redshift-Clients zuzulassen, ordnen Sie eine VPC-Sicherheitsgruppe einem Amazon-Redshift-Cluster zu. Weitere Informationen finden Sie unter Subnetze für Redshift-Ressourcen.

Um Datenverkehr nur in oder von bestimmten IP-Adressbereichen zuzulassen, aktualisieren Sie die Sicherheitsgruppen mit Ihrer VPC. Ein Beispiel ist, Datenverkehr nur von oder zu Ihrem Unternehmensnetzwerk zuzulassen.

Stellen Sie bei der Konfiguration von Netzwerkzugriffskontrolllisten für die Subnetze, mit denen Ihr Amazon Redshift Redshift-Cluster gekennzeichnet ist, sicher, dass die S3-CIDR-Bereiche der jeweiligen AWS Region der Zulassungsliste sowohl für Eingangs- als auch Ausgangsregeln hinzugefügt werden. Auf diese Weise können Sie S3-basierte Vorgänge wie Redshift Spectrum, COPY und UNLOAD ohne Unterbrechungen ausführen.

Der folgende Beispielbefehl analysiert die JSON-Antwort für alle IPv4 Adressen, die in Amazon S3 in der Region us-east-1 verwendet werden.


curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'

54.231.0.0/17

52.92.16.0/20

52.216.0.0/15

Anweisungen zum Abrufen von S3-IP-Bereichen für eine bestimmte Region finden Sie unter AWS-IP-Adressbereiche.

Amazon Redshift unterstützt die Bereitstellung von Clustern in einem dedizierten VPCs Mandantenverhältnis. Weitere Informationen finden Sie unter Dedicated Instances im EC2 Amazon-Benutzerhandbuch.

Amazon-Redshift-Sicherheitsgruppen

Wenn Sie einen Amazon-Redshift-Cluster bereitstellen, ist dieser standardmäßig gesperrt, so dass niemand darauf zugreifen kann. Um anderen Benutzern eingehenden Zugriff auf einen Amazon-Redshift-Cluster zu gewähren, ordnen Sie den Cluster einer Sicherheitsgruppe zu. Wenn Sie sich auf der EC2 -VPC-Plattform befinden, können Sie entweder eine bestehende Amazon VPC-Sicherheitsgruppe verwenden oder eine neue definieren und sie dann einem Cluster zuordnen. Weitere Informationen zur Verwaltung eines Clusters auf der EC2 -VPC-Plattform finden Sie unter. Redshift-Ressourcen in einer VPC

Schnittstellen-VPC-Endpunkte

Sie können sich über einen Schnittstellen-VPC-Endpunkt (AWS PrivateLink) in Ihrer Virtual Private Cloud (VPC) direkt mit der Amazon-Redshift- und der Amazon-Redshift-Serverless-API verbinden, anstatt eine Verbindung über das Internet herzustellen. Weitere Informationen zu den Amazon Redshift API-Aktionen finden Sie unter Aktionen in der Amazon-Redshift-API-Referenz. Weitere Informationen zu den API-Aktionen von Redshift Serverless finden Sie unter Aktionen in der API-Referenz zu Amazon Redshift Serverless. Weitere Informationen über AWS PrivateLink finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink)im Amazon-VPC-Benutzerhandbuch. Beachten Sie, dass die JDBC/ODBC Verbindung zum Cluster oder Workspace nicht Teil des Amazon Redshift API-Service ist.

Wenn Sie einen VPC-Endpunkt mit Schnittstelle verwenden, erfolgt die Kommunikation zwischen Ihrer VPC und Amazon Redshift oder Redshift Serverless vollständig innerhalb des AWS Netzwerks, was für mehr Sicherheit sorgen kann. Jeder VPC-Endpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert. Weitere Informationen zu Elastic Network Interfaces finden Sie unter Elastic Network Interfaces im EC2 Amazon-Benutzerhandbuch.

Ein Schnittstellen-VPC Endpunkt verbindet Ihre VPC direkt mit Amazon Redshift. Es verwendet kein Internet-Gateway, kein NAT-Gerät (Network Address Translation), keine VPN-Verbindung (Virtual Private Network) oder Direct Connect eine Verbindung. Die Instances in Ihrer VPC benötigen für die Kommunikation mit der Amazon Redshift API keine öffentlichen IP-Adressen.

Um Amazon Redshift oder Redshift Serverless über Ihre VPC zu verwenden, haben Sie zwei Optionen. Eine besteht darin, eine Verbindung von einer Instance innerhalb Ihrer VPC herzustellen. Die andere Möglichkeit besteht darin, Ihr privates Netzwerk mithilfe einer Site-to-Site VPN Option oder Direct Connect mit Ihrer VPC zu verbinden. Weitere Informationen zu den Site-to-Site VPN Optionen finden Sie unter VPN-Verbindungen im Amazon VPC-Benutzerhandbuch. Informationen zu Direct Connect finden Sie unter Erstellen einer Verbindung im Direct Connect-Benutzerhandbuch.

Sie können einen VPC-Schnittstellen-Endpunkt erstellen, um mit den Befehlen AWS-Managementkonsole oder AWS Command Line Interface (AWS CLI) eine Verbindung zu Amazon Redshift herzustellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts.

Nachdem Sie einen Schnittstellen-VPC-Endpunkt erstellt haben, können Sie private DNS-Hostnamen für den Endpunkt aktivieren. Wenn Sie dies tun, ist der Standardendpunkt wie folgt:

Von Amazon Redshift bereitgestellt: https://redshift.Region.amazonaws.com
Amazon Redshift Serverless: https://redshift-serverless.Region.amazonaws.com

Wenn Sie private DNS-Hostnamen nicht aktivieren, stellt Amazon VPC einen DNS-Endpunktnamen bereit, den Sie im folgenden Format verwenden können.

Von Amazon Redshift bereitgestellt: VPC_endpoint_ID.redshift.Region.vpce.amazonaws.com
Amazon Redshift Serverless: VPC_endpoint_ID.redshift-serverless.Region.vpce.amazonaws.com

Weitere Informationen finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon-VPC-Benutzerhandbuch.

Amazon Redshift und Redshift Serverless unterstützen Aufrufe aller API-Operationen von Amazon Redshift und API-Operationen von Redshift Serverless innerhalb der VPC.

Sie können VPC-Endpunktrichtlinien an einen VPC-Endpunkt anfügen, um den Zugriff für AWS Identity and Access Management (IAM)-Prinzipale zu steuern. Sie können einem VPC-Endpunkt auch Sicherheitsgruppen zuordnen, um den eingehenden und ausgehenden Zugriff basierend auf Quelle und Ziel des Netzwerkdatenverkehrs zu steuern. Ein Beispiel ist ein IP-Adressbereich. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC User Guide.

Richtlinien für Amazon-VPC-Endpunkte für Amazon Redshift

Sie können eine Richtlinie für VPC-Endpunkte für Amazon Redshift erstellen, in der Sie Folgendes angeben:

Prinzipal, der Aktionen ausführen bzw. nicht ausführen kann
Aktionen, die ausgeführt werden können
Ressourcen, für die Aktionen ausgeführt werden können

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.

Im Folgenden finden Sie Beispiele für VPC-Endpunktrichtlinien.

Beispiele für Richtlinien für von Amazon Redshift bereitgestellte Endpunkte

Nachfolgend finden Sie Beispiele für VPC-Endpunktrichtlinien für von Amazon Redshift bereitgestellte Endpunkte.

Beispiel: VPC-Endpunktrichtlinie, um jeglichen Zugriff von einem bestimmten AWS Konto aus zu verweigern

Die folgende VPC-Endpunktrichtlinie verweigert dem AWS Konto 123456789012 jeglichen Zugriff auf Ressourcen, die diesen Endpunkt verwenden.



{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Beispiel: VPC-Endpunktrichtlinie, die nur einer angegebenen IAM-Rolle VPC-Zugriff gewährt

Die folgende VPC-Endpunktrichtlinie ermöglicht vollen Zugriff nur auf die IAM-Rolle redshiftrole im AWS Konto. 123456789012 Allen anderen IAM-Prinzipalen wird der Zugriff über den Endpunkt verweigert.



   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:role/redshiftrole"
                ]
            }
        }]
}

Dies ist nur ein Beispiel. In den meisten Anwendungsfällen empfehlen wir, Berechtigungen für bestimmte Aktionen anzufügen, um den Umfang der Berechtigungen einzuschränken.

Beispiel: VPC-Endpunktrichtlinie, die nur einem angegebenen IAM-Prinzipal (Benutzer) VPC-Zugriff gewährt

Die folgende VPC-Endpunktrichtlinie ermöglicht vollen Zugriff nur für das IAM-Benutzerkontoredshiftadmin. AWS 123456789012 Allen anderen IAM-Prinzipalen wird der Zugriff über den Endpunkt verweigert.



   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/redshiftadmin"
                ]
            }
        }]
}

Dies ist nur ein Beispiel. In den meisten Anwendungsfällen empfehlen wir, einer Rolle Berechtigungen anzufügen, bevor Sie sie einem Benutzer zuweisen. Darüber hinaus empfehlen wir, spezifische Aktionen zu verwenden, um den Umfang der Berechtigungen einzuschränken.

Beispiel: VPC-Endpunktrichtlinie zum Zulassen schreibgeschützter Amazon-Redshift-Vorgänge

Die folgende VPC-Endpunktrichtlinie erlaubt nur AWS Konten123456789012, die angegebenen Amazon Redshift Redshift-Aktionen auszuführen.

Die angegebenen Aktionen stellen das Äquivalent von schreibgeschütztem Zugriff für Amazon Redshift dar. Alle anderen Aktionen in der VPC werden dem angegebenen Konto verweigert. Allen anderen Konten wird außerdem jeglicher Zugriff verweigert. Eine Liste der Amazon-Redshift-Aktionen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Redshift im IAM-Benutzerhandbuch.



  {
    "Statement": [
        {
            "Action": [
                "redshift:DescribeAccountAttributes",
                "redshift:DescribeClusterParameterGroups",
                "redshift:DescribeClusterParameters",
                "redshift:DescribeClusterSecurityGroups",
                "redshift:DescribeClusterSnapshots",
                "redshift:DescribeClusterSubnetGroups",
                "redshift:DescribeClusterVersions",
                "redshift:DescribeDefaultClusterParameters",
                "redshift:DescribeEventCategories",
                "redshift:DescribeEventSubscriptions",
                "redshift:DescribeHsmClientCertificates",
                "redshift:DescribeHsmConfigurations",
                "redshift:DescribeLoggingStatus",
                "redshift:DescribeOrderableClusterOptions",
                "redshift:DescribeQuery",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "redshift:DescribeResize",
                "redshift:DescribeSavedQueries",
                "redshift:DescribeScheduledActions",
                "redshift:DescribeSnapshotCopyGrants",
                "redshift:DescribeSnapshotSchedules",
                "redshift:DescribeStorage",
                "redshift:DescribeTable",
                "redshift:DescribeTableRestoreStatus",
                "redshift:DescribeTags",
                "redshift:FetchResults",
                "redshift:GetReservedNodeExchangeOfferings"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Beispiel: VPC-Endpunktrichtlinie, die den Zugriff auf einen angegebenen Cluster verweigert

Die folgende VPC-Endpunktrichtlinie gewährt vollen Zugriff für alle Konten und Prinzipale. Gleichzeitig wird jeder AWS 123456789012 Kontozugriff auf Aktionen verweigert, die auf dem Amazon Redshift Redshift-Cluster mit Cluster-ID ausgeführt werden. my-redshift-cluster Andere Amazon-Redshift-Aktionen, die keine Berechtigungen auf Ressourcenebene für Cluster unterstützen, sind weiterhin zulässig. Eine Liste der Amazon-Redshift-Aktionen und ihrer entsprechenden Ressourcentypen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Redshift im IAM-Benutzerhandbuch.



 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Beispiele für Richtlinien für Endpunkte von Amazon Redshift Serverless

Nachfolgend finden Sie Beispiele für Richtlinien für VPC-Endpunkte von Redshift Serverless.

Beispiel: VPC-Endpunktrichtlinie zum Zulassen schreibgeschützter Redshift-Serverless-Vorgänge

Die folgende VPC-Endpunktrichtlinie erlaubt nur AWS Konten123456789012, die angegebenen Redshift Serverless-Aktionen auszuführen.

Die angegebenen Aktionen stellen das Äquivalent von schreibgeschütztem Zugriff für Redshift Serverless dar. Alle anderen Aktionen in der VPC werden dem angegebenen Konto verweigert. Allen anderen Konten wird außerdem jeglicher Zugriff verweigert. Eine Liste der Redshift-Serverless-Aktionen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Redshift Serverless im IAM-Benutzerhandbuch.



  {
    "Statement": [
        {
            "Action": [
                "redshift-serverless:DescribeOneTimeCredit",
                "redshift-serverless:GetCustomDomainAssociation",
                "redshift-serverless:GetEndpointAccess",
                "redshift-serverless:GetNamespace",
                "redshift-serverless:GetRecoveryPoint",
                "redshift-serverless:GetResourcePolicy",
                "redshift-serverless:GetScheduledAction",
                "redshift-serverless:GetSnapshot",
                "redshift-serverless:GetTableRestoreStatus",
                "redshift-serverless:GetUsageLimit",
                "redshift-serverless:GetWorkgroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Beispiel: VPC-Endpunktrichtlinie, die den Zugriff auf eine angegebene Arbeitsgruppe verweigert

Die folgende VPC-Endpunktrichtlinie gewährt vollen Zugriff für alle Konten und Prinzipale. Gleichzeitig wird dem AWS Konto 123456789012 der Zugriff auf Aktionen verweigert, die in der Amazon Redshift Redshift-Arbeitsgruppe mit der Arbeitsgruppen-ID ausgeführt werden. my-redshift-workgroup Andere Amazon-Redshift-Aktionen, die keine Berechtigungen auf Ressourcenebene für Arbeitsgruppen unterstützen, sind weiterhin zulässig. Eine Liste der Redshift-Serverless-Aktionen und ihrer entsprechenden Ressourcentypen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Redshift Serverless im IAM-Benutzerhandbuch.



 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:redshift-serverless:us-east-1:123456789012:workgroup:my-redshift-workgroup",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ausfallsicherheit

Konfigurations- und Schwachstellenanalyse