Amazon Redshift 中的基础设施安全性
作为一项托管式服务,Amazon Redshift 受 Amazon 全球网络安全保护。有关 Amazon 安全服务以及 Amazon 如何保护基础架构的信息,请参阅 Amazon 云安全
您可以使用 Amazon 发布的 API 调用通过网络访问 Amazon Redshift。客户端必须支持以下内容:
-
传输层安全性协议(TLS) 我们要求使用 TLS 1.2,建议使用 TLS 1.3。
-
具有完全向前保密 (PFS) 的密码套件,例如 DHE(Ephemeral Diffie-Hellman)或 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与 IAM 委托人关联的秘密访问密钥来对请求进行签名。或者,您可以使用 Amazon Security Token Service (Amazon STS) 生成临时安全凭证来对请求进行签名。
网络隔离
基于 Amazon VPC 服务的 Virtual Private Cloud (VPC) 是您在Amazon云中的逻辑上隔离的私有网络。您可以通过执行以下步骤在 VPC 中部署 Amazon Redshift 集群:
在 Amazon 区域中创建 VPC。有关更多信息,请参阅 Amazon VPC 用户指南中的什么是 Amazon VPC?。
创建两个或更多私有 VPC 子网。有关更多信息,请参阅 Amazon VPC 用户指南中的 VPC 和子网。
部署 Amazon Redshift 集群。有关更多信息,请参阅Amazon Redshift 集群子网组。
预设情况下,Amazon Redshift 集群在预置时被锁定。要允许来自 Amazon Redshift 客户端的入站网络流量,请将 VPC 安全组与 Amazon Redshift 集群相关联。有关更多信息,请参阅Amazon Redshift 集群子网组。
要仅允许来往于特定 IP 地址范围的流量,请使用 VPC 更新安全组。例如,仅允许来自或流入公司网络的流量。
在配置与您的 Amazon Redshift 集群标记的子网关联的网络访问控制列表时,请确保将相应的 Amazon 区域的 S3 CIDR 范围添加到入口和出口规则的允许列表中。这样做可以让您在没有任何中断的情况下执行基于 S3 的操作,如 Redshift Spectrum、COPY 和 UNLOAD。
以下示例命令解析了 us-east-1 区域内的 Amazon S3 中使用的所有 IPv4 地址的 JSON 响应。
curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix' 54.231.0.0/17 52.92.16.0/20 52.216.0.0/15
有关如何获取特定区域的 S3 IP 范围的说明,请参阅 Amazon IP 地址范围。
Amazon Redshift 支持将集群部署到专用租赁 VPC 中。有关更多信息,请参阅 Amazon EC2 用户指南中的专用实例。