Configurazione delle opzioni di sicurezza per le connessioni - Amazon Redshift
SSLCertificati CA di attendibilità e SSL in ODBCCertificati SSL e server in Java

Amazon Redshift non supporterà più la creazione di nuove UDF Python a partire dal 1º novembre 2025. Se desideri utilizzare le UDF Python, creale prima di tale data. Le UDF Python esistenti continueranno a funzionare normalmente. Per ulteriori informazioni, consulta il post del blog.

Configurazione delle opzioni di sicurezza per le connessioni

Amazon Redshift supporta le connessioni Secure Sockets Layer (SSL) per crittografare i dati e i certificati server per convalidare il certificato del server a cui si connette il client.

SSL

Per supportare le connessioni SSL, Amazon Redshift crea e installa un certificato SSL emesso da AWS Certificate Manager (ACM) su ciascun cluster. I certificati ACM sono attendibili pubblicamente dalla maggior parte dei sistemi operativi, dei browser Web e dei client. Potresti aver bisogno di scaricare un bundle di certificati se i tuoi client o applicazioni SQL si connettono ad Amazon Redshift usando SSL con l'opzione di connessione sslmode impostata su require, verify-ca, o verify-full. Se il cliente ha bisogno di un certificato, Amazon Redshift fornisce un certificato di bundle come segue:

  • Scarica il bundle da https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundle.crt..

    • Il numero di checksum MD5 previsto è 418dea9b6d5d5de7a8f1ac42e164cdcf.

    • Il numero di checksum sha256 è 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

    Non utilizzare certificato di bundle precedente che si trovava in https://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt.

  • Nella Regione AWS Cina, scarica il bundle da https://s3.cn-north-1.amazonaws.com.cn/redshift-downloads-cn/amazon-trust-ca-bundle.crt.

    • Il numero di checksum MD5 previsto è 418dea9b6d5d5de7a8f1ac42e164cdcf.

    • Il numero di checksum sha256 è 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

    Non utilizzare i certificati di bundle precedenti che si trovavano in https://s3.cn-north-1.amazonaws.com.cn/redshift-downloads-cn/redshift-ca-bundle.crt e https://s3.cn-north-1.amazonaws.com.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem

Importante

Amazon Redshift ha modificato la modalità di gestione dei certificati SSL. Potrebbe essere necessario aggiornare i certificati CA radice attendibili correnti per continuare a connettersi ai propri cluster utilizzando SSL. Per ulteriori informazioni, consulta Passaggio ai certificati ACM per connessioni SSL.

Per impostazione predefinita, i database del cluster accettano una connessione, che utilizzi o meno SSL. Per configurare il cluster per richiedere una connessione SSL, imposta il parametro require_SSL su true nel gruppo di parametri associato con il cluster.

Amazon Redshift supporta una modalità SSL conforme al Federal Information Processing Standard (FIPS) 140-2. Per impostazione predefinita, la modalità SSL conforme allo standard FIPS è disabilitata.

Importante

Abilita la modalità SSL conforme a FIPS solo se il sistema deve essere conforme a FIPS.

Per abilitare la modalità SSL conforme a FIPS, imposta i parametri use_fips_ssl e require_SSL su true nel gruppo di parametri associato con il cluster Amazon Redshift o il gruppo di lavoro Redshift serverless. Per informazioni sulla modifica di un gruppo di parametri su un cluster, consulta Gruppi di parametri di Amazon Redshift.. Per informazioni sulla modifica di un gruppo di parametri su un gruppo di lavoro, consulta Configurazione di una connessione SSL conforme a FIPS per Amazon Redshift serverless .

Amazon Redshift supporta il protocollo di accordo chiave Elliptic Curve DiffieHellman Ephemeral (ECDHE). Con il protocollo ECDHE, il client e il server hanno ciascuno una coppia di chiavi pubblica-privata a curva ellittica utilizzata per stabilire un segreto condiviso su un canale insicuro. Per abilitare ECDHE non è necessario eseguire alcuna configurazione in Amazon Redshift. Se ci si connette da uno strumento client SQL che utilizza ECDHE per crittografare la comunicazione tra il client e il server, Amazon Redshift utilizza l'elenco di crittografie fornito per stabilire la connessione appropriata. Per ulteriori informazioni, consultare Elliptic curve diffie-hellman su Wikipedia e Ciphers sul sito Web di OpenSSL.

Certificati CA di attendibilità e SSL in ODBC

Se ci si connette utilizzando la versione più recente dei driver ODBC di Amazon Redshift (versione 1.3.7.1000 o successiva), è possibile saltare questa sezione. Per scaricare i driver più aggiornati, consultare Configurazione di una connessione per il driver ODBC versione 2.x per Amazon Redshift.

Potrebbe essere necessario aggiornare i certificati CA radice attendibili correnti per continuare a connettersi ai propri cluster utilizzando SSL. Per ulteriori informazioni, consulta SSL.

È possibile verificare che il certificato scaricato corrisponda a questo numero di checksum MD5 previsto. Per fare ciò, è possibile utilizzare il programma Md5sum sui sistemi operativi Linux o un altro strumento sui sistemi operativi Windows e macOS X.

I DSN ODBC contengono un'impostazione sslmode che determina come gestire la crittografia per le connessioni client e la verifica dei certificati del server. Amazon Redshift supporta i seguenti valori sslmode dalla connessione client:

  • disable

    Il protocollo SSL è disabilitato e la connessione non è crittografata.

  • allow

    Il protocollo SSL è utilizzato se il server lo richiede.

  • prefer

    Se il server lo supporta, è utilizzato il protocollo SSL. Amazon Redshift supporta SSL, quindi SSL viene utilizzato quando si imposta sslmode su prefer.

  • require

    Il protocollo SSL è obbligatorio.

  • verify-ca

    È necessario utilizzare il protocollo SSL e verificare il certificato del server.

  • verify-full

    È necessario utilizzare il protocollo SSL. È necessario verificare il certificato del server e il nome host del server deve corrispondere all'attributo del nome host sul certificato.

È possibile determinare se SSL viene utilizzato e se i certificati del server sono verificati in una connessione tra il client e il server. Per farlo, è necessario rivedere l'impostazione sslmode del DSN ODBC lato client e l'impostazione require_SSL del cluster Amazon Redshift sul server. La tabella seguente descrive il risultato della crittografia per varie combinazioni di configurazione di client e server:

sslmode (client) require_SSL (server) Risultato
disable false La connessione non è crittografata.
disable true Non è possibile stabilire la connessione perché il server richiede il protocollo SSL e il client lo ha disabilitato per la connessione.
allow true La connessione è crittografata.
allow false La connessione non è crittografata.
prefer oppure require true La connessione è crittografata.
prefer oppure require false La connessione è crittografata.
verify-ca true La connessione è crittografata e il certificato del server verificato.
verify-ca false La connessione è crittografata e il certificato del server verificato.
verify-full true La connessione è crittografata e il certificato del server e il nome host sono verificati.
verify-full false La connessione è crittografata e il certificato del server e il nome host sono verificati.

Connessione tramite il certificato del server con ODBC su Microsoft Windows

Se si desidera connettersi al cluster utilizzando SSL e il certificato server, scaricare innanzitutto il certificato nel computer client o nell'istanza Amazon EC2. Quindi configurare il DSN ODBC.

  1. Scaricare il bundle di autorità di certificazione di Amazon Redshift sul computer client nella cartella lib all'interno della directory di installazione del driver e salvare il file come root.crt. Per informazioni di download, consulta SSL.

  2. Aprire ODBC Data Source Administrator (Amministratore di origini dati ODBC) e aggiungere o modificare la voce DSN di sistema per la connessione ODBC. Per SSL Mode (Modalità SSL), selezionare verify-full a meno che non si utilizzi un alias DNS. Se si utilizza un alias DNS, selezionare verify-ca. Quindi scegli Save (Salva).

    Per ulteriori informazioni sulla configurazione di un DSN ODBC, consultare Configurazione di una connessione per il driver ODBC versione 2.x per Amazon Redshift.

Certificati SSL e server in Java

Il protocollo SSL fornisce un livello di sicurezza crittografando i dati che si spostano tra client e cluster. Tramite l'uso di un certificato del server offre un ulteriore livello di sicurezza verificando che il cluster sia un cluster di Amazon Redshift. A tale scopo, verifica che il certificato del server sia installato automaticamente su tutti i cluster per cui effettui il provisioning. Per ulteriori informazioni sull'utilizzo di certificati server con JDBC, consultare l'articolo sulla configurazione del client nella documentazione di PostgreSQL.

Connessione tramite certificati CA attendibili in Java

Importante

Amazon Redshift ha modificato la modalità di gestione dei certificati SSL. Potrebbe essere necessario aggiornare i certificati CA radice attendibili correnti per continuare a connettersi ai propri cluster utilizzando SSL. Per ulteriori informazioni, consulta SSL.

Per connettersi tramite certificati CA attendibili

È possibile utilizzare il file redshift-keytool.jar per importare certificati emessi da una CA nel bundle della certification authority di Amazon Redshift in un TrustStore Java o un TrustStore privato.

  1. Se si utilizza l'opzione -Djavax.net.ssl.trustStore della riga di comando Java, rimuoverla dalla riga di comando, se possibile.

  2. Scaricare redshift-keytool.jar.

  3. Esegui una di queste operazioni:

    • Per importare il bundle della certification authority di Amazon Redshift in un TrustStore Java, emettere il comando seguente. 

      java -jar redshift-keytool.jar -s

    • Per importare il bundle della certification authority di Amazon Redshift in un TrustStore privato, emettere il comando seguente: 

      java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password>