Amazon Redshift non supporterà più la creazione di nuovi Python UDFs a partire dalla Patch 198. Python esistente UDFs continuerà a funzionare fino al 30 giugno 2026. Per ulteriori informazioni, consulta il [post del blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Autenticazione con mTLS per l’importazione in streaming Redshift da origini Apache Kafka
<a name="materialized-view-streaming-ingestion-mtls"></a>

mTLS consente a un server di autenticare il client a cui invia informazioni e al client di autenticare il server. Il vantaggio dell’utilizzo di mTLS consiste nel fornire un’autenticazione affidabile per una varietà di casi d’uso in diverse applicazioni verticali del settore. Tra questi figurano casi d’uso nei settori finanziario, retail, governativo e sanitario. In caso di importazione in streaming in Redshift, l’autenticazione avviene tra un server, che può essere Amazon MSK, Apache Kafka o Confluent Cloud, e un cluster con provisioning Amazon Redshift o un gruppo di lavoro Amazon Redshift serverless.

In questo argomento vengono illustrati le procedure e gli esempi di comandi SQL che mostrano come creare uno schema esterno che utilizza mTLS per l’autenticazione tra il client Redshift e qualsiasi server Apache Kafka. Le fasi illustrate in questo argomento completano la procedura per configurare l’importazione in streaming da origini Apache Kafka. Per ulteriori informazioni, consulta [Nozioni di base sull’importazione in streaming da origini Apache Kafka](materialized-view-streaming-ingestion-getting-started-MSK.md).

## Prerequisiti per l’utilizzo di mTLS per l’importazione in streaming
<a name="materialized-view-streaming-ingestion-mtls-prerequisites"></a>

In questa sezione vengono illustrate le fasi preliminari per l’utilizzo di mTLS per l’importazione in streaming con AWS Certificate Manager o Gestione dei segreti AWS.

Come fase preliminare, devi disporre o creare un'autorità di certificazione privata (PCA), che puoi utilizzare per emettere certificati che, tra le altre funzioni, consentono comunicazioni sicure attraverso canali di comunicazione sicuri. AWS Autorità di certificazione privata (CA privata) è un servizio disponibile che svolge questa funzione. Per ulteriori informazioni, consulta [Creazione di una CA privata](https://docs.aws.amazon.com/privateca/latest/userguide/create-CA.html) nella *Guida per l’utente di AWS Autorità di certificazione privata *. Dopo avere creato la CA privata, esporta il certificato CA root e salvalo in un file con estensione .pem. 

Per creare un cluster che utilizza il certificato CA, segui la procedura descritta:

------
#### [ Amazon MSK ]

1. Crea un cluster Amazon MSK che supporti l’autenticazione client mTLS. Per ulteriori informazioni sulla configurazione di un cluster Amazon MSK, consulta [Autenticazione client TLS reciproca per Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/msk-authentication.html#msk-authentication-cluster) nella *Guida per gli sviluppatori di Streaming gestito da Amazon per Apache Kafka*.

1. Modifica le impostazioni di sicurezza per il cluster Amazon MSK, attivando l'autenticazione client TLS tramite AWS Certificate Manager (ACM) e selezionando il AWS Private CA (PCA) creato in precedenza. Per ulteriori informazioni, consulta [Aggiornamento delle impostazioni di sicurezza di un cluster](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) nella *Guida per gli sviluppatori di Streaming gestito da Amazon per Apache Kafka*.

------
#### [ Confluent Cloud ]

1. Crea un cluster Confluent Cloud dedicato, preferibilmente nella stessa Regione AWS del cluster Amazon Redshift. Per informazioni sulla creazione di un cluster Confluent Cloud, consulta [Creare un cluster Kafka in Confluent Cloud](https://docs.confluent.io/cloud/current/get-started/index.html#step-1-create-a-ak-cluster-in-ccloud).

1. Carica il file pem del certificato CA AWS Private CA root esportato che hai creato in precedenza. Per ulteriori informazioni, consulta [Gestire l’autorità di certificazione per l’autenticazione mTLS per Confluent Cloud](https://docs.confluent.io/cloud/current/security/authenticate/workload-identities/identity-providers/mtls/certificate-authority.html). Confluent Cloud utilizza questo certificato per verificare il certificato client Amazon Redshift. 

------

## Utilizzo di MTL per l'acquisizione di streaming con AWS Certificate Manager
<a name="materialized-view-streaming-ingestion-mtls-acm"></a>

Nella procedura seguente viene illustrato come configurare mTLS per l’importazione in streaming Redshift utilizzando AWS Certificate Manager (ACM) per l’archiviazione e la gestione dei certificati:

1. Richiedi un certificato privato tramite ACM. Quando esegui questa operazione, seleziona la PCA che hai creato nella sezione Prerequisiti come autorità di certificazione. ACM archivia il certificato firmato e la chiave privata collegata per comunicazioni sicure. Per informazioni sulla gestione dei certificati con ACM, consulta [Emissione e gestione di certificati](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) nella *Guida per l’utente di AWS Certificate Manager *.

1. **Per il ruolo IAM che usi per gestire il tuo cluster Redshift o il gruppo di lavoro Amazon Redshift Serverless, allega l'autorizzazione per esportare il certificato, che è acm:. ExportCertificate** Per ulteriori informazioni sulla configurazione delle risorse IAM necessarie per l’importazione in streaming, consulta [Configurazione dell’importazione in streaming da Kafka](materialized-view-streaming-ingestion-getting-started-MSK.md#materialized-view-streaming-ingestion-getting-started-MSK-setup). Specifica lo stesso ruolo IAM nella fase successiva per creare lo schema esterno.
**Nota**  
Richieste per AWS Certificate Manager richiedere un gateway Internet (IGW) o un gateway NAT (NGW) nel tuo VPC. Se il VPC non dispone di un IGW o di un NGW, segui la procedura descritta:  
Usa Secrets Manager anziché ACM per archiviare i certificati.
Collega un endpoint VPC di Secrets Manager al VPC.
Per informazioni sull’utilizzo di Secrets Manager con mTLS per l’importazione in streaming, consulta [Utilizzo di MTL per l'acquisizione di streaming con Gestione dei segreti AWS](#materialized-view-streaming-ingestion-mtls-secrets-manager) di seguito.

1. Ottieni l’URI del broker bootstrap per il cluster Amazon MSK, Apache Kafka o Confluent Cloud. Per ulteriori informazioni su come ottenere l’URI del broker bootstrap per Amazon MSK, consulta [Ottenimento dei broker bootstrap per un cluster Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/msk-get-bootstrap-brokers.html) in *Guida per gli sviluppatori di Streaming gestito da Amazon per Apache Kafka*.

1.  Esegui un comando SQL come nell’esempio seguente per creare uno schema esterno che mappa il cluster a uno schema esterno Redshift, utilizzando `mtls`.

------
#### [ Amazon MSK ]

   ```
   CREATE EXTERNAL SCHEMA my_schema
   FROM KAFKA
   IAM_ROLE 'arn:aws:iam::012345678901:role/my_role'
   AUTHENTICATION mtls
   URI 'b-1.myTestCluster.123z8u.c2.kafka.us-west-1.amazonaws.com:9094,b-2.myTestCluster.123z8u.c2.kafka.us-west-1.amazonaws.com:9094'
   AUTHENTICATION_ARN 'arn:aws:acm:Region:444455556666:certificate/certificate_ID';
   ```

------
#### [ Apache Kafka or Confluent Cloud ]

   ```
   CREATE EXTERNAL SCHEMA my_schema
   FROM KAFKA
   IAM_ROLE 'arn:aws:iam::012345678901:role/my_role'
   AUTHENTICATION mtls
   URI 'lkc-2v531.domz6wj0p.us-west-1.aws.confluent.cloud:9092'
   AUTHENTICATION_ARN 'arn:aws:acm:region:444455556666:certificate/certificate_ID';
   ```

------

   Parametri importanti:
   + IAM\$1ROLE: il ruolo IAM associato al cluster, per l’importazione in streaming.
   + URI: l’URI del broker bootstrap per il cluster. Tieni presente che, per Amazon MSK, la porta 9094 è specificata per la comunicazione con i broker per la crittografia TLS.
   + AUTHENTICATION\$1ARN: l’ARN del certificato ACM. L’ARN è disponibile nella console ACM quando scegli il certificato emesso.

Dopo avere completato questa procedura di configurazione, puoi creare una vista materializzata di Redshift che faccia riferimento allo schema definito nell’esempio e quindi utilizzare REFRESH MATERIALIZED VIEW per lo streaming dei dati. Per ulteriori informazioni, consulta [Nozioni di base sull’importazione in streaming da origini Apache Kafka](materialized-view-streaming-ingestion-getting-started-MSK.md).

## Utilizzo di MTL per l'acquisizione di streaming con Gestione dei segreti AWS
<a name="materialized-view-streaming-ingestion-mtls-secrets-manager"></a>

Puoi configurare mTLS per l’importazione in streaming di Redshift utilizzando Gestione dei segreti AWS per la gestione dei certificati se non desideri fare riferimento al certificato in AWS Certificate Manager. La procedura seguente descrive come configurare mTLS utilizzando Secrets Manager.

1. Crea una richiesta di firma del certificato e una chiave privata con lo strumento che preferisci. Quindi puoi utilizzare la richiesta di firma per generare un certificato firmato, utilizzando la stessa CA privata (PCA) AWS usata per generare il certificato per il cluster. *Per ulteriori informazioni sull'emissione di un certificato, consulta [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)la sezione API Reference.AWS Autorità di certificazione privata *

1. Estrai il certificato utilizzando AWS Autorità di certificazione privata. Per ulteriori informazioni, consulta [Recuperare un certificato privato](https://docs.aws.amazon.com/privateca/latest/userguide/PcaGetCert.html) nella *Guida per l’utente di AWS Autorità di certificazione privata *.

1. Archivia il certificato e la chiave privata generati nella fase precedente in Gestione dei segreti AWS. Scegli `Other type of secret` e utilizza il formato di testo semplice. Le coppie chiave-valore devono essere nel formato `{"certificate":"<cert value>","privateKey":"<pkey value>"}`, come nell’esempio seguente. Per ulteriori informazioni sulla creazione e la gestione di segreti in Gestione dei segreti AWS, consulta [Creare e gestire segreti con Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html) nella *Guida per l'Gestione dei segreti AWS utente*.

   ```
   {"certificate":"-----BEGIN CERTIFICATE-----
   klhdslkfjahksgdfkgioeuyihbflahabhbdslv6akybeoiwv1hoaiusdhbahsbdi 
   H4hAX8/eE96qCcjkpfT84EdvHzp6fC+/WwM0oXlwUEWlvfMCXNaG5D8SqRq3qA==
   -----END CERTIFICATE-----
   -----BEGIN CERTIFICATE-----
   klhdslkfjahksgdfkgioeuyihbflahabhbdslv6akybeoiwv1hoaiusdhbahsbdi 
   wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
   -----END CERTIFICATE-----",
   "privateKey":"-----BEGIN PRIVATE KEY-----
   klhdslkfjahksgdfkgioeuyihbflahabhbdslv6akybeoiwv1hoaiusdhbahsbdi
   7OD4m1dBEs3Fj++hDMH9rYRp99RqtCOf0EWOUe139KOilOsW+cyhAoc9Ci2+Jo/k
   17u2N1iGILMQEZuCRtnJOkFYkw==
   -----END PRIVATE KEY-----"}
   ```

1. Collega la policy di autorizzazione per recuperare il segreto al ruolo IAM che utilizzi per gestire il cluster Amazon Redshift o il gruppo di lavoro Amazon Redshift serverless. Questa autorizzazione è `secretsmanager:GetSecretValue`. Per ulteriori informazioni, consulta [Configurare l’autenticazione](materialized-view-streaming-ingestion-getting-started-MSK.md#materialized-view-streaming-ingestion-getting-started-MSK-setup-auth). Per ulteriori informazioni sulla gestione delle policy IAM, consulta [Modificare le policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html). Specifica lo stesso ruolo IAM nella fase successiva per creare lo schema esterno.

1. In Redshift esegui il comando SQL per creare lo schema esterno. Utilizzi il tipo di AUTENTICAZIONE `mtls`. Inoltre puoi specificare l’URI del cluster e l’ARN del segreto in Gestione dei segreti AWS.

   ```
   CREATE EXTERNAL SCHEMA my_schema
   FROM KAFKA
   IAM_ROLE 'arn:aws:iam::012345678901:role/my_role'
   AUTHENTICATION mtls
   URI 'b-1.myTestCluster.123z8u.c2.kafka.us-west-1.amazonaws.com:9094,b-2.myTestCluster.123z8u.c2.kafka.us-west-1.amazonaws.com:9094'
   SECRET_ARN 'arn:aws:secretsmanager:us-east-1:012345678910:secret:myMTLSSecret';
   ```

Parametri importanti:
+ IAM\$1ROLE: il ruolo IAM associato al cluster, per l’importazione in streaming.
+ URI: l’URI del broker bootstrap per il cluster. Tieni presente che, per Amazon MSK, la porta 9094 è specificata per la comunicazione con i broker per la crittografia TLS.
+ SECRET\$1ARN: l’ARN del segreto di Secrets Manager, contenente il certificato da utilizzare per mTLS.

## Abilitazione dell’autenticazione mTLS per uno schema esterno esistente
<a name="materialized-view-streaming-ingestion-mtls-alter"></a>

Se disponi di uno schema esterno esistente che utilizzi per l’importazione in streaming e desideri implementare mTLS per l’autenticazione, puoi eseguire un comando come il seguente, che specifica l’autenticazione mTLS e l’ARN del certificato ACM in ACM.

```
ALTER EXTERNAL SCHEMA schema_name 
AUTHENTICATION mtls
AUTHENTICATION_ARN 'arn:aws:acm:Region:444455556666:certificate/certificate_ID';
```

In alternativa puoi specificare l’autenticazione mTLS, con riferimento all’ARN del segreto in Gestione dei segreti AWS.

```
ALTER EXTERNAL SCHEMA schema_name 
AUTHENTICATION mtls
SECRET_ARN 'arn:aws:secretsmanager:us-east-1:012345678910:secret:myMTLSSecret';
```

Per informazioni sul comando ALTER EXTERNAL SCHEMA, consulta [ALTER EXTERNAL SCHEMA](r_ALTER_EXTERNAL_SCHEMA.md).