Amazon Redshift 中的行为更改
随着 Amazon Redshift 不断发展和改进,为了增强性能、提高安全性和改善用户体验,我们引入了一些行为更改。此页面包含全面的资源,让您可以随时了解这些关键更新,采取必要措施,并避免对工作负载造成中断。
即将发生的行为更改
以下描述了即将发生的行为更改。
最低传输层安全性协议(TLS)版本更改将于 2025 年 10 月 31 日后生效
从 2025 年 10 月 31 日起,Amazon Redshift 将强制使用最低的传输层安全性协议(TLS)版本 1.2。使用 TLS 版本 1.0 或 1.1 的传入连接将遭到拒绝。这同时适用于 Amazon Redshift 预置集群和无服务器工作组。
如果您使用 TLS 版本 1.0 或 1.1 连接到 Amazon Redshift,此更新可能会影响您。
要验证您当前使用的 TLS 版本,您可以:
对于 Amazon Redshift 预置:检查 STL_CONNECTION_LOG 系统表中的 sslversion 列 [1]。
对于 Amazon Redshift Serverless 工作组:检查 SYS_CONNECTION_LOG 系统表中的 ssl_version 列 [2]。
要在此更改后保持对 Amazon Redshift 数据仓库的不间断访问,请按照以下所列步骤操作:
更新您的客户端以支持 TLS 1.2 或更高版本
安装支持 TLS 1.2+ 的最新驱动程序版本
如果可能,我们建议使用最新版本的 Amazon Redshift 驱动程序 [3]。
[1] https://docs.aws.amazon.com/redshift/latest/dg/r_STL_CONNECTION_LOG.html
[2] https://docs.aws.amazon.com/redshift/latest/dg/SYS_CONNECTION_LOG.html
[3] https://docs.aws.amazon.com/redshift/latest/mgmt/configuring-connections.html
数据库审计日志记录更改在 2025 年 8 月 10 日之后生效
从 2025 年 8 月 10 日起,Amazon Redshift 将对数据库审计日志记录进行更改,这需要您采取行动。Amazon Redshift 会将有关数据库中连接和用户活动的信息记录到 Amazon S3 存储桶和 CloudWatch。2025 年 8 月 10 日之后,对于具有用于指定 Redshift IAM USER 的存储桶策略的 Amazon S3 存储桶,Amazon Redshift 将停止数据库审计日志记录。我们建议更新您的策略,以便在 S3 存储桶策略中改用 Redshift SERVICE-PRINCIPAL 来实现审计日志记录。有关审计日志记录的信息,请参阅 Amazon Redshift 审计日志记录的存储桶权限。
为避免任何日志记录中断,请在 2025 年 8 月 10 日之前查看并更新您的 S3 存储桶策略,以便向关联区域中的 Redshift 服务主体授予访问权限。有关数据库审计日志记录的信息,请参阅 Amazon S3 中的日志文件。
如有疑问或疑虑,请通过以下链接联系 Amazon 支持人员:Amazon Support
最近的行为更改
查询监控更改于 2025 年 5 月 2 日之后生效
自 2025 年 5 月 2 日起,我们将不再为现有和新创建的 Redshift Serverless 工作组提供查询限制选项卡中的查询 CPU 时间 (max_query_cpu_time) 和查询 CPU 使用率 (max_query_cpu_percentage) 指标。在此日期之后,我们将自动移除所有 Redshift Serverless 工作组中基于这些指标的所有查询限制。
查询限制旨在捕获失控的查询。但是,在查询的生命周期中,查询 CPU 时间 (max_query_cpu_time) 和查询 CPU 使用率 (max_query_cpu_percentage) 可能会有所不同,因此不是用于捕获失控查询的持续有效的方法。要捕获失控的查询,我们建议您利用可提供一致且切实可行的信息的查询监控指标。一些示例包括:
查询执行时间 (
max_query_execution_time):确保查询在预期的时间范围内完成。返回行数 (
max_scan_row_count):监控正在处理的数据的规模。查询队列时间 (
max_query_queue_time):识别需要花费时间排队的查询。
有关支持的指标的完整列表,请参阅查询 Amazon Redshift Serverless 的监控指标。
在 2025 年 1 月 10 日之后生效的安全更改
安全性一直是 Amazon Web Services(Amazon)的重中之重。为此,我们通过引入增强的安全默认值来进一步加强 Amazon Redshift 环境的安全状况,这些默认值有助于您在无需额外设置的情况下遵守数据安全的最佳实践,并降低潜在错误配置的风险。为避免任何潜在的中断,请在生效日期之前查看预置集群和无服务器工作组的创建配置、脚本和工具,以进行必要的更改,使其与新的默认设置保持一致。
默认情况下禁用公共访问权限
2025 年 1 月 10 日之后,默认情况下,对于所有新创建的预置集群以及从快照还原的集群禁用公共可访问性。在此版本中,默认情况下,只允许从同一虚拟私有云(VPC)内的客户端应用程序连接到集群。要从其它 VPC 中的应用程序访问数据仓库,请配置跨 VPC 访问。此更改将反映在 CreateCluster 和 RestoreFromClusterSnapshot API 操作以及相应的 SDK 和 Amazon CLI 命令中。如果您通过 Amazon Redshift 控制台创建预置集群,则默认情况下,该集群已禁用公共访问权限。
如果您仍然需要公共访问权限,将需要在运行 CreateCluster 或 RestoreFromClusterSnapshot API 操作时覆盖默认值并将 PubliclyAccessible 参数设置为 true。对于可公共访问的集群,建议您必须使用安全组或网络访问控制列表(ACL)来限制访问权限。有关更多信息,请参阅VPC 安全组和为 Amazon Redshift 集群或 Amazon Redshift Serverless 工作组配置安全组通信设置。
默认加密
2025 年 1 月 10 日之后,Amazon Redshift 将通过启用加密来作为所有新创建的 Amazon Redshift 预置集群的默认设置,进一步增强数据和集群的安全性。这不适用于从快照还原的集群。
进行此更改后,当使用 Amazon Web Services Management Console、Amazon CLI 或 API 创建预置集群而不指定 KMS 密钥时,解密集群的功能将不再可用。集群将自动使用 Amazon 拥有的密钥进行加密。
如果您使用自动脚本创建未加密的集群,或利用与未加密集群的数据共享,则此更新可能会对您产生影响。为确保无缝过渡,请更新用于创建未加密集群的脚本。此外,如果您定期创建新的未加密使用者集群并将其用于数据共享,请检查您的配置以确保生产者和使用者集群都经过加密,从而防止中断数据共享活动。有关更多信息,请参阅 Amazon Redshift 数据库加密。
强制执行 SSL 连接
2025 年 1 月 10 日之后,Amazon Redshift 将默认对连接到新创建的预置和还原集群的客户端强制执行 SSL 连接。此默认更改也将适用于无服务器工作组。
通过此更改,将为所有新创建或还原的集群引入一个名为 default.redshift-2.0 的新默认参数组,而 require_ssl 参数默认设置为 true。在没有指定的参数组的情况下创建的任何新集群都将自动利用 default.redshift-2.0 参数组。通过 Amazon Redshift 控制台创建集群时,将自动选择新的 default.redshift-2.0 参数组。此更改还将反映在 CreateCluster 和 RestoreFromClusterSnapshot API 操作以及相应的 SDK 和 Amazon CLI 命令中。如果您使用现有或自定义参数组,Amazon Redshift 将继续使用在参数组中指定的 require_ssl 值。您可以根据需要,继续选择更改自定义参数组中的 require_ssl 值。
对于 Amazon Redshift Serverless 用户,config-parameters 中的默认值 require_ssl 将更改为 true。任何创建将 require_ssl 设置为 false 的新工作组的请求都将被拒绝。创建工作组后,您可以将 require_ssl 值更改为 false。有关更多信息,请参阅 配置连接的安全选项。
请注意,如果您的特定用例需要,您仍然可以修改集群或工作组设置以更改默认行为。