Amazon Redshift tidak akan lagi mendukung pembuatan UDF Python baru mulai Patch 198. UDF Python yang ada akan terus berfungsi hingga 30 Juni 2026. Untuk informasi lebih lanjut, lihat [posting blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengkonfigurasi opsi keamanan untuk koneksi
Amazon Redshift mendukung koneksi Secure Sockets Layer (SSL) untuk mengenkripsi data dan sertifikat server untuk memvalidasi sertifikat server yang terhubung dengan klien.
## SSL
Untuk mendukung koneksi SSL, Amazon Redshift membuat dan menginstal sertifikat SSL [(ACM)AWS Certificate Manager yang](https://aws.amazon.com/certificate-manager/) dikeluarkan pada setiap klaster. Sertifikat ACM dipercaya publik oleh sebagian besar sistem operasi, browser web, dan klien. Anda mungkin perlu mengunduh bundel sertifikat jika klien atau aplikasi SQL Anda terhubung ke Amazon Redshift menggunakan SSL dengan `sslmode` opsi koneksi disetel `require` ke`verify-ca`,, atau. `verify-full` Jika klien Anda memerlukan sertifikat, Amazon Redshift menyediakan sertifikat bundel sebagai berikut:
+ Unduh bundel dari [https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundle.crt](https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundle.crt).
+ Nomor checksum MD5 yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.
+ Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
Jangan gunakan bundel sertifikat sebelumnya yang berada di`https://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt`.
+ Di AWS Region Tiongkok, unduh bundel [https://s3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn/redshift-downloads-cn/amazon-trust-ca-bundle.crt](https://s3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn/redshift-downloads-cn/amazon-trust-ca-bundle.crt)dari.
+ Nomor checksum MD5 yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.
+ Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
Jangan gunakan bundel sertifikat sebelumnya yang berada di `https://s3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn/redshift-downloads-cn/redshift-ca-bundle.crt` dan `https://s3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem`
**penting**
Amazon Redshift telah mengubah cara sertifikat SSL dikelola. Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke cluster Anda menggunakan SSL. Untuk informasi selengkapnya, lihat [Transisi ke sertifikat ACM untuk koneksi SSL](connecting-transitioning-to-acm-certs.md).
Secara default, database cluster menerima koneksi apakah menggunakan SSL atau tidak. Untuk mengonfigurasi klaster Anda agar memerlukan koneksi SSL, atur `require_SSL` parameter ke `true` dalam grup parameter yang terkait dengan cluster.
Amazon Redshift mendukung mode SSL yang sesuai dengan Federal Information Processing Standard (FIPS) 140-2. FIPS-compliant Mode SSL dinonaktifkan secara default.
**penting**
Aktifkan mode FIPS-compliant SSL hanya jika sistem Anda diperlukan. FIPS-compliant
Untuk mengaktifkan mode FIPS-compliant SSL, setel `use_fips_ssl` parameter dan parameter ke `true` dalam grup `require_SSL` parameter yang terkait dengan cluster Amazon Redshift atau workgroup Redshift Serverless. Untuk informasi tentang memodifikasi grup parameter pada klaster, lihat[Grup parameter Amazon Redshift](working-with-parameter-groups.md). Untuk informasi tentang memodifikasi grup parameter pada workgroup, lihat. [Mengonfigurasi koneksi FIPS-compliant SSL ke Amazon Redshift Serverless](serverless-connecting.md#serverless_secure-fips-ssl)
Amazon Redshift mendukung protokol perjanjian kunci Elliptic Curve Diffie—Hellman Ephemeral (ECDHE). Dengan ECDHE, klien dan server masing-masing memiliki elliptic curve public-private key pair yang digunakan untuk membangun rahasia bersama melalui saluran yang tidak aman. Anda tidak perlu mengonfigurasi apa pun di Amazon Redshift untuk mengaktifkan ECDHE. Jika Anda terhubung dari alat klien SQL yang menggunakan ECDHE untuk mengenkripsi komunikasi antara klien dan server, Amazon Redshift menggunakan daftar sandi yang disediakan untuk membuat koneksi yang sesuai. [Untuk informasi lebih lanjut, lihat [Elliptic curve diffie—hellman](https://en.wikipedia.org/wiki/Elliptic_curve_Diffie%E2%80%93Hellman) di Wikipedia dan Ciphers di situs web OpenSSL.](https://www.openssl.org/)
## SSL dan percaya sertifikat CA di ODBC
Jika Anda terhubung menggunakan driver Amazon Redshift ODBC terbaru (versi 1.3.7.1000 atau yang lebih baru), Anda dapat melewati bagian ini. Untuk mengunduh driver terbaru, lihat[Mengonfigurasi koneksi untuk driver ODBC versi 2.x untuk Amazon Redshift](odbc20-install.md).
Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke cluster Anda menggunakan SSL. Untuk informasi selengkapnya, lihat [SSL](#connect-using-ssl).
Anda dapat memverifikasi bahwa sertifikat yang Anda unduh cocok dengan nomor checksum MD5 yang diharapkan. Untuk melakukan ini, Anda dapat menggunakan program MD5sum pada sistem operasi Linux, atau alat lain pada sistem operasi Windows dan macOS X.
ODBC DSN berisi `sslmode` pengaturan yang menentukan cara menangani enkripsi untuk koneksi klien dan verifikasi sertifikat server. Amazon Redshift mendukung `sslmode` nilai-nilai berikut dari koneksi klien:
+ `disable`
SSL dinonaktifkan dan koneksi tidak dienkripsi.
+ `allow`
SSL digunakan jika server membutuhkannya.
+ `prefer`
SSL digunakan jika server mendukungnya. Amazon Redshift mendukung SSL, jadi SSL digunakan saat Anda menyetelnya. `sslmode` `prefer`
+ `require`
SSL diperlukan.
+ `verify-ca`
SSL harus digunakan dan sertifikat server harus diverifikasi.
+ `verify-full`
SSL harus digunakan. Sertifikat server harus diverifikasi dan nama host server harus cocok dengan atribut hostname pada sertifikat.
Anda dapat menentukan apakah SSL digunakan dan sertifikat server diverifikasi dalam koneksi antara klien dan server. Untuk melakukan ini, Anda perlu meninjau `sslmode` pengaturan untuk ODBC DSN Anda pada klien dan `require_SSL` pengaturan untuk cluster Amazon Redshift di server. Tabel berikut menjelaskan hasil enkripsi untuk berbagai kombinasi pengaturan klien dan server:
| sslmode (klien) | Require\_SSL (server) | Hasil |
| --- | --- | --- |
| disable | false | Koneksi tidak dienkripsi. |
| disable | true | Koneksi tidak dapat dibuat karena server memerlukan SSL dan klien memiliki SSL dinonaktifkan untuk koneksi. |
| allow | true | Koneksi dienkripsi. |
| allow | false | Koneksi tidak dienkripsi. |
| prefer atau require | true | Koneksi dienkripsi. |
| prefer atau require | false | Koneksi dienkripsi. |
| verify-ca | true | Koneksi dienkripsi dan sertifikat server diverifikasi. |
| verify-ca | false | Koneksi dienkripsi dan sertifikat server diverifikasi. |
| verify-full | true | Koneksi dienkripsi dan sertifikat server dan nama host diverifikasi. |
| verify-full | false | Koneksi dienkripsi dan sertifikat server dan nama host diverifikasi. |
### Connect menggunakan sertifikat server dengan ODBC di Microsoft Windows
Jika Anda ingin terhubung ke klaster menggunakan SSL dan sertifikat server, unduh sertifikat terlebih dahulu ke komputer klien Anda atau instans Amazon EC2. Kemudian konfigurasikan ODBC DSN.
1. Unduh bundel otoritas sertifikat Amazon Redshift ke komputer klien Anda di `lib` folder di direktori instalasi driver Anda, dan simpan file sebagai. `root.crt` Untuk informasi unduhan, lihat [SSL](#connect-using-ssl).
1. Buka **Administrator Sumber Data ODBC**, dan tambahkan atau edit entri DSN sistem untuk koneksi ODBC Anda. Untuk **Mode SSL**, pilih `verify-full` kecuali Anda menggunakan alias DNS. Jika Anda menggunakan alias DNS, pilih. `verify-ca` Lalu, pilih **Simpan**.
Untuk informasi selengkapnya tentang mengonfigurasi ODBC DSN, lihat. [Mengonfigurasi koneksi untuk driver ODBC versi 2.x untuk Amazon Redshift](odbc20-install.md)
## Sertifikat SSL dan server di Java
SSL menyediakan satu lapisan keamanan dengan mengenkripsi data yang bergerak antara klien dan cluster Anda. Menggunakan sertifikat server memberikan lapisan keamanan tambahan dengan memvalidasi bahwa klaster tersebut adalah klaster Amazon Redshift. Ia melakukannya dengan memeriksa sertifikat server yang secara otomatis diinstal pada semua cluster yang Anda sediakan. Untuk informasi lebih lanjut tentang menggunakan sertifikat server dengan JDBC, buka [Mengkonfigurasi klien dalam](https://jdbc.postgresql.org/documentation/ssl/#configuring-the-client) dokumentasi PostgreSQL.
### Connect menggunakan sertifikat CA trust di Java
**penting**
Amazon Redshift telah mengubah cara sertifikat SSL dikelola. Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke cluster Anda menggunakan SSL. Untuk informasi selengkapnya, lihat [SSL](#connect-using-ssl).
**Untuk terhubung menggunakan sertifikat CA trust**
Anda dapat menggunakan `redshift-keytool.jar` file tersebut untuk mengimpor sertifikat CA di bundel Amazon Redshift Certificate Authority ke Java TrustStore atau private Anda. TrustStore
1. Jika Anda menggunakan `-Djavax.net.ssl.trustStore` opsi baris perintah Java, hapus dari baris perintah, jika memungkinkan.
1. Unduh [redshift-keytool.jar](https://s3.amazonaws.com/redshift-downloads/redshift-keytool.jar).
1. Lakukan salah satu tindakan berikut:
+ Untuk mengimpor bundel Amazon Redshift Certificate Authority ke Java TrustStore, jalankan perintah berikut.
```
java -jar redshift-keytool.jar -s
```
+ Untuk mengimpor bundel Amazon Redshift Certificate Authority ke private Anda TrustStore, jalankan perintah berikut:
```
java -jar redshift-keytool.jar -k {{}} -p {{}}
```