View a markdown version of this page

Mengkonfigurasi opsi keamanan untuk koneksi - Amazon Redshift
SSLSSL dan percaya sertifikat CA di ODBCSertifikat SSL dan server di Java

Amazon Redshift tidak akan lagi mendukung pembuatan UDF Python baru mulai Patch 198. UDF Python yang ada akan terus berfungsi hingga 30 Juni 2026. Untuk informasi lebih lanjut, lihat posting blog.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi opsi keamanan untuk koneksi

Amazon Redshift mendukung koneksi Secure Sockets Layer (SSL) untuk mengenkripsi data dan sertifikat server untuk memvalidasi sertifikat server yang terhubung dengan klien.

SSL

Untuk mendukung koneksi SSL, Amazon Redshift membuat dan menginstal sertifikat SSL (ACM)AWS Certificate Manager yang dikeluarkan pada setiap klaster. Sertifikat ACM dipercaya publik oleh sebagian besar sistem operasi, browser web, dan klien. Anda mungkin perlu mengunduh bundel sertifikat jika klien atau aplikasi SQL Anda terhubung ke Amazon Redshift menggunakan SSL dengan sslmode opsi koneksi disetel require keverify-ca,, atau. verify-full Jika klien Anda memerlukan sertifikat, Amazon Redshift menyediakan sertifikat bundel sebagai berikut:

  • Unduh bundel dari https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundle.crt.

    • Nomor checksum MD5 yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.

    • Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

    Jangan gunakan bundel sertifikat sebelumnya yang berada dihttps://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt.

  • Di AWS Region Tiongkok, unduh bundel https://s3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn/redshift-downloads-cn/amazon-trust-ca-bundle.crtdari.

    • Nomor checksum MD5 yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.

    • Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

    Jangan gunakan bundel sertifikat sebelumnya yang berada di https://s3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn/redshift-downloads-cn/redshift-ca-bundle.crt dan https://s3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem

penting

Amazon Redshift telah mengubah cara sertifikat SSL dikelola. Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke cluster Anda menggunakan SSL. Untuk informasi selengkapnya, lihat Transisi ke sertifikat ACM untuk koneksi SSL.

Secara default, database cluster menerima koneksi apakah menggunakan SSL atau tidak. Untuk mengonfigurasi klaster Anda agar memerlukan koneksi SSL, atur require_SSL parameter ke true dalam grup parameter yang terkait dengan cluster.

Amazon Redshift mendukung mode SSL yang sesuai dengan Federal Information Processing Standard (FIPS) 140-2. FIPS-compliant Mode SSL dinonaktifkan secara default.

penting

Aktifkan mode FIPS-compliant SSL hanya jika sistem Anda diperlukan. FIPS-compliant

Untuk mengaktifkan mode FIPS-compliant SSL, setel use_fips_ssl parameter dan parameter ke true dalam grup require_SSL parameter yang terkait dengan cluster Amazon Redshift atau workgroup Redshift Serverless. Untuk informasi tentang memodifikasi grup parameter pada klaster, lihatGrup parameter Amazon Redshift. Untuk informasi tentang memodifikasi grup parameter pada workgroup, lihat. Mengonfigurasi koneksi FIPS-compliant SSL ke Amazon Redshift Serverless

Amazon Redshift mendukung protokol perjanjian kunci Elliptic Curve Diffie—Hellman Ephemeral (ECDHE). Dengan ECDHE, klien dan server masing-masing memiliki elliptic curve public-private key pair yang digunakan untuk membangun rahasia bersama melalui saluran yang tidak aman. Anda tidak perlu mengonfigurasi apa pun di Amazon Redshift untuk mengaktifkan ECDHE. Jika Anda terhubung dari alat klien SQL yang menggunakan ECDHE untuk mengenkripsi komunikasi antara klien dan server, Amazon Redshift menggunakan daftar sandi yang disediakan untuk membuat koneksi yang sesuai. Untuk informasi lebih lanjut, lihat Elliptic curve diffie—hellman di Wikipedia dan Ciphers di situs web OpenSSL.

SSL dan percaya sertifikat CA di ODBC

Jika Anda terhubung menggunakan driver Amazon Redshift ODBC terbaru (versi 1.3.7.1000 atau yang lebih baru), Anda dapat melewati bagian ini. Untuk mengunduh driver terbaru, lihatMengonfigurasi koneksi untuk driver ODBC versi 2.x untuk Amazon Redshift.

Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke cluster Anda menggunakan SSL. Untuk informasi selengkapnya, lihat SSL.

Anda dapat memverifikasi bahwa sertifikat yang Anda unduh cocok dengan nomor checksum MD5 yang diharapkan. Untuk melakukan ini, Anda dapat menggunakan program MD5sum pada sistem operasi Linux, atau alat lain pada sistem operasi Windows dan macOS X.

ODBC DSN berisi sslmode pengaturan yang menentukan cara menangani enkripsi untuk koneksi klien dan verifikasi sertifikat server. Amazon Redshift mendukung sslmode nilai-nilai berikut dari koneksi klien:

  • disable

    SSL dinonaktifkan dan koneksi tidak dienkripsi.

  • allow

    SSL digunakan jika server membutuhkannya.

  • prefer

    SSL digunakan jika server mendukungnya. Amazon Redshift mendukung SSL, jadi SSL digunakan saat Anda menyetelnya. sslmode prefer

  • require

    SSL diperlukan.

  • verify-ca

    SSL harus digunakan dan sertifikat server harus diverifikasi.

  • verify-full

    SSL harus digunakan. Sertifikat server harus diverifikasi dan nama host server harus cocok dengan atribut hostname pada sertifikat.

Anda dapat menentukan apakah SSL digunakan dan sertifikat server diverifikasi dalam koneksi antara klien dan server. Untuk melakukan ini, Anda perlu meninjau sslmode pengaturan untuk ODBC DSN Anda pada klien dan require_SSL pengaturan untuk cluster Amazon Redshift di server. Tabel berikut menjelaskan hasil enkripsi untuk berbagai kombinasi pengaturan klien dan server:

sslmode (klien) Require_SSL (server) Hasil
disable false Koneksi tidak dienkripsi.
disable true Koneksi tidak dapat dibuat karena server memerlukan SSL dan klien memiliki SSL dinonaktifkan untuk koneksi.
allow true Koneksi dienkripsi.
allow false Koneksi tidak dienkripsi.
prefer atau require true Koneksi dienkripsi.
prefer atau require false Koneksi dienkripsi.
verify-ca true Koneksi dienkripsi dan sertifikat server diverifikasi.
verify-ca false Koneksi dienkripsi dan sertifikat server diverifikasi.
verify-full true Koneksi dienkripsi dan sertifikat server dan nama host diverifikasi.
verify-full false Koneksi dienkripsi dan sertifikat server dan nama host diverifikasi.

Connect menggunakan sertifikat server dengan ODBC di Microsoft Windows

Jika Anda ingin terhubung ke klaster menggunakan SSL dan sertifikat server, unduh sertifikat terlebih dahulu ke komputer klien Anda atau instans Amazon EC2. Kemudian konfigurasikan ODBC DSN.

  1. Unduh bundel otoritas sertifikat Amazon Redshift ke komputer klien Anda di lib folder di direktori instalasi driver Anda, dan simpan file sebagai. root.crt Untuk informasi unduhan, lihat SSL.

  2. Buka Administrator Sumber Data ODBC, dan tambahkan atau edit entri DSN sistem untuk koneksi ODBC Anda. Untuk Mode SSL, pilih verify-full kecuali Anda menggunakan alias DNS. Jika Anda menggunakan alias DNS, pilih. verify-ca Lalu, pilih Simpan.

    Untuk informasi selengkapnya tentang mengonfigurasi ODBC DSN, lihat. Mengonfigurasi koneksi untuk driver ODBC versi 2.x untuk Amazon Redshift

Sertifikat SSL dan server di Java

SSL menyediakan satu lapisan keamanan dengan mengenkripsi data yang bergerak antara klien dan cluster Anda. Menggunakan sertifikat server memberikan lapisan keamanan tambahan dengan memvalidasi bahwa klaster tersebut adalah klaster Amazon Redshift. Ia melakukannya dengan memeriksa sertifikat server yang secara otomatis diinstal pada semua cluster yang Anda sediakan. Untuk informasi lebih lanjut tentang menggunakan sertifikat server dengan JDBC, buka Mengkonfigurasi klien dalam dokumentasi PostgreSQL.

Connect menggunakan sertifikat CA trust di Java

penting

Amazon Redshift telah mengubah cara sertifikat SSL dikelola. Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke cluster Anda menggunakan SSL. Untuk informasi selengkapnya, lihat SSL.

Untuk terhubung menggunakan sertifikat CA trust

Anda dapat menggunakan redshift-keytool.jar file tersebut untuk mengimpor sertifikat CA di bundel Amazon Redshift Certificate Authority ke Java TrustStore atau private Anda. TrustStore

  1. Jika Anda menggunakan -Djavax.net.ssl.trustStore opsi baris perintah Java, hapus dari baris perintah, jika memungkinkan.

  2. Unduh redshift-keytool.jar.

  3. Lakukan salah satu tindakan berikut:

    • Untuk mengimpor bundel Amazon Redshift Certificate Authority ke Java TrustStore, jalankan perintah berikut. 

      java -jar redshift-keytool.jar -s

    • Untuk mengimpor bundel Amazon Redshift Certificate Authority ke private Anda TrustStore, jalankan perintah berikut: 

      java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password>