Sicurezza dell'infrastruttura in Amazon Redshift - Amazon Redshift
Isolamento della reteGruppi di sicurezzaEndpoint VPC di interfaccia

Amazon Redshift non supporterà più la creazione di nuovi Python a UDFs partire dal 1° novembre 2025. Se vuoi usare Python UDFs, crea la UDFs data precedente a quella data. Python esistente UDFs continuerà a funzionare normalmente. Per ulteriori informazioni, consulta il post del blog.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza dell'infrastruttura in Amazon Redshift

In quanto servizio gestito, Amazon Redshift è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta AWSCloud Security. Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Utilizza chiamate API AWS pubblicate per accedere ad Amazon Redshift attraverso la rete. I client devono supportare quanto segue:

  • Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Isolamento della rete

Un cloud privato virtuale (VPC) basato sul servizio Amazon VPC è la tua rete privata e logicamente isolata nel cloud. AWS Puoi distribuire un cluster Amazon Redshift o un gruppo di lavoro Redshift serverless all’interno di un VPC seguendo questa procedura:

Un cluster Amazon Redshift è bloccato per impostazione predefinita sul provisioning. Per consentire il traffico di rete in entrata dai client Amazon Redshift, associare un gruppo di sicurezza VPC in un cluster Amazon Redshift. Per ulteriori informazioni, consultare Sottoreti per le risorse Redshift.

Per abilitare il solo traffico a o da intervalli di indirizzi IP specifici, aggiornare i gruppi di sicurezza con il VPC. Un esempio consiste nel consentire il traffico solo da o alla rete aziendale.

Durante la configurazione degli elenchi di controllo dell'accesso alla rete associati alle sottoreti con cui è taggato il cluster Amazon Redshift, assicurati che gli intervalli CIDR S3 della AWS rispettiva regione vengano aggiunti alla lista consentita per le regole di ingresso e uscita. In questo modo potrai eseguire operazioni basate su S3 come Redshift Spectrum, COPY e UNLOAD senza interruzioni.

Il comando di esempio seguente analizza la risposta JSON per tutti IPv4 gli indirizzi utilizzati in Amazon S3 nella regione us-east-1.

curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix'

54.231.0.0/17

52.92.16.0/20

52.216.0.0/15

Per le istruzioni su come ottenere intervalli IP S3 per una determinata regione, consulta Intervalli di indirizzi IP AWS.

Amazon Redshift supporta la distribuzione di cluster in tenancy dedicata. VPCs Per ulteriori informazioni, consulta Istanze dedicate nella Amazon EC2 User Guide.

Gruppo di sicurezza Amazon Redshift

Quando si effettua il provisioning di un cluster Amazon Redshift, questo è bloccato per impostazione predefinita perché nessuno possa accedervi. Per concedere ad altri utenti l'accesso in ingresso a un cluster ad Amazon Redshift, è necessario associare il cluster a un gruppo di sicurezza. Se utilizzi la piattaforma EC2 -VPC, puoi utilizzare un gruppo di sicurezza Amazon VPC esistente o definirne uno nuovo e associarlo a un cluster. Per ulteriori informazioni sulla gestione di un cluster sulla piattaforma EC2 -VPC, vedere. Risorse Redshift in un VPC

Puoi connetterti direttamente ai servizi API Amazon Redshift e Amazon Redshift serverless utilizzando un endpoint VPC dell’interfaccia (AWS PrivateLink) nel cloud privato virtuale (VPC) invece di connetterti tramite Internet. Per ulteriori informazioni sulle operazioni API di Amazon Redshift, consultare Operazioni nella Documentazione di riferimento dell'API Amazon Redshift. Per ulteriori informazioni sulle operazioni dell’API Redshift serverless, consulta Operazioni nella documentazione di riferimento dell’API Amazon Redshift serverless. Per ulteriori informazioni, su AWS PrivateLink, consultare Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC. Tieni presente che la JDBC/ODBC connessione al cluster o allo spazio di lavoro non fa parte del servizio API Amazon Redshift.

Quando utilizzi un endpoint VPC di interfaccia, la comunicazione tra il tuo VPC e Amazon Redshift o Redshift Serverless avviene interamente AWS all'interno della rete, il che può fornire una maggiore sicurezza. Ogni endpoint VPC è rappresentato da una o più interfacce di rete elastiche con indirizzi IP privati nelle sottoreti del VPC. Per ulteriori informazioni sulle interfacce di rete elastiche, consulta Interfacce di rete elastiche nella Amazon EC2 User Guide.

Un endpoint VPC di interfaccia collega il VPC direttamente ad Amazon Redshift. Non utilizza un gateway Internet, un dispositivo NAT (Network Address Translation), una connessione di rete privata virtuale (VPN) o una connessione. Direct Connect Le istanze presenti nel tuo VPC non richiedono indirizzi IP pubblici per comunicare con l'API di Amazon Redshift.

Per utilizzare Amazon Redshift o Redshift serverless tramite il VPC, sono disponibili due opzioni. Una è quella di connettersi da un'istanza che si trova all'interno del VPC. L'altro è connettere la rete privata al VPC utilizzando un'Site-to-Site VPNopzione o. Direct Connect Per ulteriori informazioni sulle Site-to-Site VPN opzioni, consulta le connessioni VPN nella Amazon VPC User Guide. Per informazioni su Direct Connect, consultare Creazione di una connessione nella Guida per l'utente di Direct Connect.

Puoi creare un endpoint VPC di interfaccia per connetterti ad Amazon Redshift utilizzando i Console di gestione AWS comandi or (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consultare Creazione di un endpoint di interfaccia.

Una volta creato un endpoint VPC di interfaccia, è possibile abilitare nomi host DNS privati per l'endpoint. In questo caso l’endpoint predefinito è il seguente:

  • Amazon Redshift con provisioning: https://redshift.Region.amazonaws.com

  • Amazon Redshift serverless: https://redshift-serverless.Region.amazonaws.com

Se non si abilitano nomi host DNS privati, Amazon VPC fornisce un nome di endpoint DNS che può essere utilizzato nel formato seguente:

  • Amazon Redshift con provisioning: VPC_endpoint_ID.redshift.Region.vpce.amazonaws.com

  • Amazon Redshift serverless: VPC_endpoint_ID.redshift-serverless.Region.vpce.amazonaws.com

Per ulteriori informazioni, consultare Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.

Amazon Redshift e Redshift serverless supportano le chiamate a tutte le operazioni dell’API Amazon Redshift e le operazioni dell’API Redshift serverless all’interno del VPC.

È possibile collegare le policy di endpoint VPC a un endpoint VPC per controllare l'accesso per i principal AWS Identity and Access Management (IAM). È inoltre possibile associare i gruppi di sicurezza a un endpoint VPC per controllare l'accesso in ingresso e in uscita in base all'origine e alla destinazione del traffico di rete. Un esempio è un intervallo di indirizzi IP. Per ulteriori informazioni, consultare Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.

È possibile creare una policy per gli endpoint VPC per Amazon Redshift in cui specificare quanto segue:

  • Il principal che può o non può eseguire operazioni

  • Le azioni che possono essere eseguite

  • Le risorse sui cui si possono eseguire le azioni

Per ulteriori informazioni, consultare Controllo degli accessi ai servizi con endpoint VPC in Guida per l'utente di Amazon VPC.

Di seguito sono riportati alcuni esempi di policy di endpoint VPC.

Di seguito sono riportati alcuni esempi di policy di endpoint VPC per Amazon Redshift con provisioning.

La seguente politica degli endpoint VPC nega all'AWSaccount 123456789012 tutto l'accesso alle risorse che utilizzano questo endpoint.


{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

La seguente policy degli endpoint VPC consente l'accesso completo solo al ruolo redshiftrole IAM nell'account. AWS 123456789012 A tutte le altre entità principali IAM viene negato l'accesso utilizzando l'endpoint.


   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:role/redshiftrole"
                ]
            }
        }]
}

Si tratta solo di un esempio, nella maggior parte dei casi d'uso ti consigliamo di collegare le autorizzazioni per operazioni specifiche in modo da limitare l'ambito delle autorizzazioni.

La seguente policy sugli endpoint VPC consente l'accesso completo solo all'utente redshiftadmin IAM nell'account. AWS 123456789012 A tutte le altre entità principali IAM viene negato l'accesso utilizzando l'endpoint.


   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/redshiftadmin"
                ]
            }
        }]
}

Si tratta solo di un esempio, nella maggior parte dei casi d'uso ti consigliamo di collegare le autorizzazioni a un ruolo prima di assegnarlo a un utente. Inoltre, suggeriamo di utilizzare operazioni specifiche in modo da limitare l'ambito delle autorizzazioni.

La seguente policy sugli endpoint VPC consente solo 123456789012 all'AWSaccount di eseguire le azioni Amazon Redshift specificate.

Le operazioni specificate forniscono l'equivalente dell'accesso di sola lettura per Amazon Redshift. Tutte le altre azioni sul VPC vengono negate per l'account specificato. Inoltre, a tutti gli altri account viene negato l'accesso. Per visualizzare un elenco delle operazioni Amazon Redshift, consultare Operazioni, risorse e chiavi di condizione per Amazon Redshift nella Guida per l'utente di IAM.


  {
    "Statement": [
        {
            "Action": [
                "redshift:DescribeAccountAttributes",
                "redshift:DescribeClusterParameterGroups",
                "redshift:DescribeClusterParameters",
                "redshift:DescribeClusterSecurityGroups",
                "redshift:DescribeClusterSnapshots",
                "redshift:DescribeClusterSubnetGroups",
                "redshift:DescribeClusterVersions",
                "redshift:DescribeDefaultClusterParameters",
                "redshift:DescribeEventCategories",
                "redshift:DescribeEventSubscriptions",
                "redshift:DescribeHsmClientCertificates",
                "redshift:DescribeHsmConfigurations",
                "redshift:DescribeLoggingStatus",
                "redshift:DescribeOrderableClusterOptions",
                "redshift:DescribeQuery",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "redshift:DescribeResize",
                "redshift:DescribeSavedQueries",
                "redshift:DescribeScheduledActions",
                "redshift:DescribeSnapshotCopyGrants",
                "redshift:DescribeSnapshotSchedules",
                "redshift:DescribeStorage",
                "redshift:DescribeTable",
                "redshift:DescribeTableRestoreStatus",
                "redshift:DescribeTags",
                "redshift:FetchResults",
                "redshift:GetReservedNodeExchangeOfferings"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

La seguente policy di endpoint VPC consente l'accesso completo a tutti gli account e principal. Allo stesso tempo, nega qualsiasi accesso AWS dell'account 123456789012 alle azioni eseguite sul cluster Amazon Redshift con l'ID del cluster. my-redshift-cluster Le altre operazioni Amazon Redshift che non supportano le autorizzazioni a livello di risorsa per i cluster sono comunque consentite. Per un elenco delle operazioni Amazon Redshift e dei tipi di risorse corrispondenti, consultare Operazioni, risorse e chiavi di condizione per Amazon Redshift nella Guida per l'utente di IAM. 


 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

Di seguito sono riportati alcuni esempi di policy di endpoint VPC per Redshift serverless.

La seguente policy sugli endpoint VPC consente solo 123456789012 all'AWSaccount di eseguire le azioni Redshift Serverless specificate.

Le azioni specificate forniscono l’equivalente dell’accesso di sola lettura per Redshift serverless. Tutte le altre azioni sul VPC vengono negate per l'account specificato. Inoltre, a tutti gli altri account viene negato l'accesso. Per visualizzare un elenco delle azioni Redshift serverless, consulta Azioni, risorse e chiavi di condizione per Redshift serverless nella Guida per l’utente di IAM.


  {
    "Statement": [
        {
            "Action": [
                "redshift-serverless:DescribeOneTimeCredit",
                "redshift-serverless:GetCustomDomainAssociation",
                "redshift-serverless:GetEndpointAccess",
                "redshift-serverless:GetNamespace",
                "redshift-serverless:GetRecoveryPoint",
                "redshift-serverless:GetResourcePolicy",
                "redshift-serverless:GetScheduledAction",
                "redshift-serverless:GetSnapshot",
                "redshift-serverless:GetTableRestoreStatus",
                "redshift-serverless:GetUsageLimit",
                "redshift-serverless:GetWorkgroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

La seguente policy di endpoint VPC consente l'accesso completo a tutti gli account e principal. Allo stesso tempo, nega a qualsiasi AWS account l'accesso 123456789012 alle azioni eseguite sul gruppo di lavoro Amazon Redshift con ID del gruppo di lavoro. my-redshift-workgroup Le altre azioni Amazon Redshift che non supportano le autorizzazioni a livello di risorsa per i gruppi di lavoro sono comunque consentite. Per un elenco delle azioni Redshift serverless e del tipo di risorsa corrispondente, consulta Azioni, risorse e chiavi di condizione per Redshift serverless nella Guida per l’utente di IAM. 


 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:redshift-serverless:us-east-1:123456789012:workgroup:my-redshift-workgroup",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}