通过 Amazon Redshift 执行 VPC 加密控制功能 - Amazon Redshift
工作原理要求迁移注意事项
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

从 2025 年 11 月 1 日起,Amazon Redshift 将不再支持创建新的 Python UDF。如果您想要使用 Python UDF,请在该日期之前创建 UDF。现有的 Python UDF 将继续正常运行。有关更多信息,请参阅博客文章

通过 Amazon Redshift 执行 VPC 加密控制功能

Amazon Redshift 支持 VPC 加密控制,这是一项安全功能,可助您对某个区域中的 VPC 内部以及跨 VPC 的所有流量强制执行传输中加密。本文档介绍如何在 Amazon Redshift 集群和无服务器工作组中执行 VPC 加密控制功能。

VPC 加密控制功能提供了集中化控制能力,以便在您的 VPC 内部监控并强制执行传输中加密。在强制模式下启用此功能后,它可确保所有网络流量都在硬件层(使用 Amazon Nitro System)或应用层(使用 TLS/SSL)进行加密。

Amazon Redshift 与 VPC 加密控制功能集成,助您满足医疗保健(HIPAA)、政府(FedRAMP)和金融(PCI DSS)等行业的合规要求。

VPC 加密控制功能与 Amazon Redshift 的协作方式

VPC 加密控制功能在两种模式下运行:

  • 监控模式:可清晰呈现流量的加密状态,并帮助识别允许非加密流量的资源。

  • 强制模式:禁止在 VPC 中创建或使用允许非加密流量的资源。所有流量都必须在硬件层(基于 Nitro 的实例)或应用层(TLS/SSL)进行加密。

使用 VPC 加密控制功能的要求

实例类型要求

Amazon Redshift 要求使用基于 Nitro 的实例来支持 VPC 加密控制功能。所有现代 Redshift 实例类型都支持必要的加密功能。

SSL/TLS 要求

在强制模式下启用 VPC 加密控制功能时,require_ssl 参数必须设置为 true 且不能禁用。这可确保所有客户端连接均采用加密的 TLS 连接。

迁移到 VPC 加密控制功能

对于现有集群和工作组

在包含现有 Redshift 集群或无服务器工作组的 VPC 上,无法在强制模式下启用 VPC 加密控制功能。如果您已有集群或工作组,请按以下步骤操作来使用加密控制功能:

  1. 创建现有集群或命名空间的快照

  2. 创建一个新的 VPC,并在强制模式下启用 VPC 加密控制功能

  3. 通过使用下列操作之一,从快照还原至新 VPC:

    • 对于预调配集群:使用 restore-from-cluster-snapshot 操作

    • 对于无服务器:在工作组上使用 restore-from-snapshot 操作

在 VPC 中创建新的集群或工作组并启用加密控制功能时,必须将 require_ssl 参数设置为 true。

Amazon Redshift 要求使用基于 Nitro 的实例来支持 VPC 加密控制功能。所有现代 Redshift 实例类型都支持必要的加密功能。

SSL/TLS 要求

在强制模式下启用 VPC 加密控制功能时,require_ssl 参数必须设置为 true 且不能禁用。这可确保所有客户端连接均采用加密的 TLS 连接。

注意事项和限制

在 Amazon Redshift 中使用 VPC 加密控制功能时,需注意以下几点:

VPC 状态限制

  • 当 VPC 加密控制功能处于 enforce-in-progress 状态时,集群和工作组创建操作将被阻止

  • 您必须等到 VPC 进入 enforce 模式后,再创建新的资源

SSL 配置

  • require_ssl 参数:对于在已实施加密的 VPC 中创建的集群与工作组,该参数的值必须始终为 true

  • 在已实施加密的 VPC 中创建集群或工作组后,require_ssl 在其生命周期内不能禁用

区域可用性

在以下区域内,Amazon Redshift Serverless 不支持在强制模式下启用 VPC 加密控制功能:

  • 南美洲(圣保罗)

  • 欧洲(苏黎世)