从补丁 198 开始，Amazon Redshift 将不再支持创建新的 Python UDF。现有的 Python UDF 将继续正常运行至 2026 年 6 月 30 日。有关更多信息，请参阅[博客文章](https://www.amazonaws.cn/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)。

# 密钥管理
<a name="security-key-management"></a>

您可以配置环境以使用密钥保护数据：
+ Amazon Redshift 自动与 Amazon Key Management Service (Amazon KMS) 集成以进行密钥管理。Amazon KMS 使用信封加密。有关更多信息，请参阅[信封加密](https://docs.amazonaws.cn/kms/latest/developerguide/concepts.html#enveloping)。
+ 在 Amazon KMS 中管理加密密钥时，Amazon Redshift 使用基于密钥的四层架构进行加密。此架构包括随机生成的 AES-256 数据加密密钥、数据库密钥、集群密钥和根密钥。有关更多信息，请参阅 [Amazon Redshift 如何使用 Amazon KMS](https://docs.amazonaws.cn/kms/latest/developerguide/services-redshift.html)。
+ 您可以在 Amazon KMS 中创建自己的客户托管式密钥。有关更多信息，请参阅[创建密钥](https://docs.amazonaws.cn/kms/latest/developerguide/create-keys.html)。
+ 您也可为新 Amazon KMS keys 导入自己的密钥材料。有关更多信息，请参阅[将密钥材料导入 Amazon Key Management Service (Amazon KMS) 中](https://docs.amazonaws.cn/kms/latest/developerguide/importing-keys.html)。
+ Amazon Redshift 支持在外部硬件安全模块 (HSM) 中管理加密密钥。HSM 可以为本地，也可以为 Amazon CloudHSM。当您使用 HSM 时，必须使用客户端和服务器证书在 Amazon Redshift 和 HSM 之间配置受信任的连接。Amazon Redshift 仅支持 Amazon CloudHSM Classic 进行密钥管理。有关更多信息，请参阅 [使用硬件安全模块的加密](working-with-db-encryption.md#working-with-HSM)。有关 Amazon CloudHSM 的信息，请参阅[什么是 Amazon CloudHSM？](https://docs.amazonaws.cn/cloudhsm/latest/userguide/introduction.html) 
+ 您可以轮换已加密集群的加密密钥。有关更多信息，请参阅 [加密密钥轮换](working-with-db-encryption.md#working-with-key-rotation)。