Gestione delle password di amministrazione di Amazon Redshift tramite Gestione dei segreti AWS - Amazon Redshift
Autorizzazioni necessarie per l'integrazione Gestione dei segreti AWSRotazione del segreto della password amministratoreConsiderazioni sull'utilizzo Gestione dei segreti AWS con Amazon Redshift

Amazon Redshift non supporterà più la creazione di nuovi Python UDFs a partire dalla Patch 198. Python esistente UDFs continuerà a funzionare fino al 30 giugno 2026. Per ulteriori informazioni, consulta il post del blog.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle password di amministrazione di Amazon Redshift tramite Gestione dei segreti AWS

Amazon Redshift può integrarsi con Gestione dei segreti AWS per generare e gestire le credenziali di amministratore all'interno di un segreto crittografato. Con Gestione dei segreti AWS, puoi sostituire le password di amministratore con una chiamata API per recuperare programmaticamente il segreto quando è necessario. L'uso di credenziali segrete anziché a codifica fissa riduce il rischio che le credenziali vengano esposte o compromesse. Per ulteriori informazioni in merito Gestione dei segreti AWS, consulta la Guida per l'utente.Gestione dei segreti AWS

Puoi specificare che Amazon Redshift gestisca la tua password di amministratore utilizzando Gestione dei segreti AWS quando esegui una delle seguenti operazioni:

  • Creare un cluster con provisioning o un namespace serverless

  • Modifica, aggiorna o cambia le credenziali dell’amministratore di un cluster con provisioning o un namespace serverless

  • Ripristinare un cluster o un namespace serverless da uno snapshot

Quando specifichi che Amazon Redshift gestisce la password di amministratore in Gestione dei segreti AWS, Amazon Redshift genera la password e la archivia in Secrets Manager. Puoi accedere al segreto direttamente in Gestione dei segreti AWS per recuperare le credenziali dell'utente amministratore. Facoltativamente, puoi specificare una chiave gestita dal cliente per crittografare il segreto se devi accedere al segreto da un altro account. AWS Puoi anche utilizzare la chiave KMS fornita. Gestione dei segreti AWS

Amazon Redshift gestisce le impostazioni del segreto e lo ruota ogni 30 giorni per impostazione predefinita, ma puoi ruotare manualmente il segreto in qualsiasi momento. Se si elimina un cluster predisposto o uno spazio dei nomi serverless che gestisce un indirizzo segreto in Gestione dei segreti AWS, vengono eliminati anche il segreto e i metadati associati.

Per connetterti a un cluster o a uno spazio dei nomi senza server con credenziali gestite da segreti, puoi recuperare il segreto utilizzando la console Secrets Manager o la chiamata API Gestione dei segreti AWS Secrets Manager. GetSecretValue Per ulteriori informazioni, consulta Recupera segreti da Gestione dei segreti AWS e Connettiti a un database SQL con credenziali in un Gestione dei segreti AWS segreto nella Guida per l'Gestione dei segreti AWS utente.

Autorizzazioni necessarie per l'integrazione Gestione dei segreti AWS

Gli utenti devono disporre delle autorizzazioni necessarie per eseguire le operazioni relative all'integrazione di Gestione dei segreti AWS . Crea le policy IAM che forniscono l'autorizzazione per eseguire operazioni API specifiche sulle risorse indicate necessarie. Quindi collega tali policy ai ruoli o ai set di autorizzazioni IAM che richiedono le autorizzazioni. Per ulteriori informazioni, consulta Identity and Access Management in Amazon Redshift.

L'utente che specifica che Amazon Redshift gestisce la password Gestione dei segreti AWS di amministratore deve disporre delle autorizzazioni per eseguire le seguenti operazioni:

  • secretsmanager:CreateSecret

  • secretsmanager:RotateSecret

  • secretsmanager:DescribeSecret

  • secretsmanager:UpdateSecret

  • secretsmanager:DeleteSecret

  • secretsmanager:GetRandomPassword

  • secretsmanager:TagResource

Se l'utente desidera passare una chiave KMS nel parametro MasterPasswordSecretKmsKeyId per i cluster con provisioning o il parametro AdminPasswordSecretKmsKeyId per gli spazi dei nomi serverless, sono necessarie le seguenti autorizzazioni oltre a quelle sopra elencate.

  • kms:Decrypt

  • kms:GenerateDataKey

  • kms:CreateGrant

  • kms:RetireGrant

Rotazione del segreto della password amministratore

Per impostazione predefinita, Amazon Redshift ruota automaticamente il segreto ogni 30 giorni per garantire che le credenziali non rimangano invariate per periodi prolungati. Quando Amazon Redshift rende segreta una password di amministratore, Gestione dei segreti AWS aggiorna la segreta esistente per contenere una nuova password di amministratore. Amazon Redshift modifica la password dell'amministratore per il cluster in modo che corrisponda alla password presente nel segreto aggiornato.

Con Gestione dei segreti AWS puoi ruotare un segreto immediatamente invece di aspettare la rotazione programmata. Per ulteriori informazioni sulla rotazione dei segreti, consulta Rotate Gestione dei segreti AWS secrets nella Guida per l'utente di Gestione dei segreti AWS .

Considerazioni sull'utilizzo Gestione dei segreti AWS con Amazon Redshift

Quando lo utilizzi Gestione dei segreti AWS per gestire le credenziali di amministratore del cluster o dello spazio dei nomi serverless fornito, considera quanto segue:

  • Quando metti in pausa un cluster le cui credenziali di amministratore sono gestite da Gestione dei segreti AWS, il segreto del cluster non verrà eliminato e continuerai a ricevere la fattura per il segreto. I segreti vengono eliminati solo quando elimini il cluster.

  • Se il cluster è sospeso quando Amazon Redshift tenta di ruotare il segreto associato, la rotazione avrà esito negativo. In questo caso, Amazon Redshift interrompe la rotazione automatica e non la ritenta, neanche dopo la ripresa del cluster. Dovrai riavviare la pianificazione della rotazione automatica utilizzando la chiamata API secretsmanager:RotateSecret per permettere ad Gestione dei segreti AWS di continuare a ruotare automaticamente il segreto.

  • Se lo spazio dei nomi serverless non ha un gruppo di lavoro associato quando Amazon Redshift tenta di ruotare il segreto collegato, la rotazione avrà esito negativo e viene più ritentata, neanche dopo aver collegato un gruppo di lavoro. Dovrai riavviare la pianificazione della rotazione automatica utilizzando la chiamata API secretsmanager:RotateSecret per permettere ad Gestione dei segreti AWS di continuare a ruotare automaticamente il segreto.