Amazon Redshift は、パッチ 198 以降、新しい Python UDF の作成をサポートしなくなります。既存の Python UDF は、2026 年 6 月 30 日まで引き続き機能します。詳細については、[ブログ記事](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)を参照してください。

# SSL 接続用 ACM 証明書への移行
<a name="connecting-transitioning-to-acm-certs"></a>

Amazon Redshift では、現在クラスターの SSL 証明書を[AWS Certificate Manager (ACM)](https://aws.amazon.com/certificate-manager/)」発行の証明書に置き換えています。ACM は、現在のほとんどのシステムで信頼されている信頼のある公開認証機関 (CA) です。引き続き SSL でクラスターに接続するには、現在の信頼ルート CA 証明書を更新する必要があります。

この変更は、以下のすべてに該当する場合のみ適用されます。
+  `sslMode` 接続オプションを `require`、`verify-ca`、または `verify-full` 設定オプションに指定して、SQL クライアントまたはアプリケーションから Amazon Redshift クラスターに SSL 接続されている。
+ Amazon Redshift ODBC または JDBC ドライバーを使用していない、または ODBC バージョン 1.3.7.1000 または JDBC バージョン 1.2.8.1005 より前の Amazon Redshift ドライバーを使用している。

この変更が商用 Amazon Redshift リージョンに影響する場合は、現在の信頼ルート CA 証明書を 2017 年 10 月 23 日までに更新する必要があります。Amazon Redshift は、お客様のクラスターを 2017 年 10 月 23 日までに順次 ACM 証明書に切り替えていきます。この変更によるお客様のクラスターのパフォーマンスまたはアベイラビリティーへの影響はほとんどありません。

AWS GovCloud (US) (米国)リージョンのお客様が、この変更により影響を受ける場合には、サービスの中断を避けるために、現在の信頼ルート CA 証明書を 2020 年 4 月 1 日までに更新する必要があります。この日付以降、SSL 暗号化接続を使用して Amazon Redshift クラスターに接続するクライアントには、追加の信頼できる認定権限 (CA) が必要です。クライアントは、信頼できる認定権限を使用して、クラスターに接続するときに Amazon Redshift クラスターの ID を確認します。SQL クライアントとアプリケーションを更新して、新しい信頼された CA を含む更新された証明書バンドルを使用するには、アクションが必要です。

**重要**  
2021 年 1 月 5 日、中国リージョンにおいて、Amazon Redshift の クラスター用の SSL 証明書が、AWS Certificate Manager(ACM) 発行の証明書に置き換えられました。この変更が中国 (北京) リージョンまたは中国 (寧夏) リージョンに影響する場合は、サービスの中断を避けるために、現在の信頼ルート CA 証明書を 2021 年 1 月 5 日までに更新する必要があります。この日付以降、SSL 暗号化接続を使用して Amazon Redshift クラスターに接続するクライアントには、追加の信頼できる認定権限 (CA) が必要です。クライアントは、信頼できる認定権限を使用して、クラスターに接続するときに Amazon Redshift クラスターの ID を確認します。SQL クライアントとアプリケーションを更新して、新しい信頼された CA を含む更新された証明書バンドルを使用するには、アクションが必要です。
+ [最新の Amazon Redshift ODBC ドライバーまたは JDBC ドライバーを使用する](#connecting-transitioning-to-acm-latest-odbc-jdbc)
+ [旧 Amazon Redshift ODBC ドライバーまたは JDBC ドライバーを使用する](#connecting-transitioning-to-acm-earlier-odbc-jdbc)
+ [その他の SSL 接続タイプを使用する](#connecting-transitioning-to-acm-other-ssl-types)

## 最新の Amazon Redshift ODBC ドライバーまたは JDBC ドライバーを使用する
<a name="connecting-transitioning-to-acm-latest-odbc-jdbc"></a>

最新の Amazon Redshift の ODBC ドライバーまたは JDBC ドライバーを使用することが推奨されています。ODBC バージョン 1.3.7.1000 および JDBC バージョン 1.2.8.1005 以前の Amazon Redshift ドライバーは、自動的に Amazon Redshift の自己署名証明書から ACM 証明書に移行されます。最新のドライバーをダウンロードする方法は、「[Amazon Redshift での JDBC ドライバーバージョン 2.x による接続の構成](jdbc20-install.md)」を参照してください。

最新の Amazon Redshift JDBC ドライバーを使用する場合は、JVM オプションの `-Djavax.net.ssl.trustStore` を使用しないことをお勧めします。`-Djavax.net.ssl.trustStore`を使用する必要がある場合は、Redshift の認定権限バンドルを指定のトラストストアにインポートします。ダウンロード情報については、「[SSL](connecting-ssl-support.md#connect-using-ssl)」を参照してください。詳細については、「[Amazon Redshift の認定権限バンドルを TrustStore にインポートする](#importing-the-acm-bundle-to-truststore)」を参照してください。

## 旧 Amazon Redshift ODBC ドライバーまたは JDBC ドライバーを使用する
<a name="connecting-transitioning-to-acm-earlier-odbc-jdbc"></a>
+ ODBC DSN が `SSLCertPath` を使用して設定されている場合は、指定されたパスの証明書ファイルに上書きします。
+ `SSLCertPath` が設定されていない場合は、ドライバーの DLL の位置にある証明書ファイル (`root.crt`) に上書きします。

バージョン 1.2.8.1005 より前の Amazon Redshift JDBC ドライバーを使用する必要がある場合は、以下のいずれかを行います。
+ JDBC 接続文字列で `sslCert` オプションを使用している場合は、`sslCert`オプションを解除します。続いて、Redshift の認証機関バンドルを Java トラストストアにインポートします。ダウンロード情報については、「[SSL](connecting-ssl-support.md#connect-using-ssl)」を参照してください。詳細については、「[Amazon Redshift の認定権限バンドルを TrustStore にインポートする](#importing-the-acm-bundle-to-truststore)」を参照してください。
+ Java コマンドラインの `-Djavax.net.ssl.trustStore` オプションを使用している場合は、可能であればコマンドラインから解除します。続いて、Redshift の認証機関バンドルを Java トラストストアにインポートします。ダウンロード情報については、「[SSL](connecting-ssl-support.md#connect-using-ssl)」を参照してください。詳細については、「[Amazon Redshift の認定権限バンドルを TrustStore にインポートする](#importing-the-acm-bundle-to-truststore)」を参照してください。

### Amazon Redshift の認定権限バンドルを TrustStore にインポートする
<a name="importing-the-acm-bundle-to-truststore"></a>

Amazon Redshift の認定権限バンドルの CA 証明書を Java TrustStore またはプライベート信頼ストアにインポートするには、`redshift-keytool.jar` を使用します。

**Amazon Redshift の認定権限バンドルを TrustStore にインポートするには**

1. [redshift-keytool.jar](https://s3.amazonaws.com/redshift-downloads/redshift-keytool.jar) をダウンロードします。

1. 次のいずれかを行ってください。
   + Amazon Redshift の認定権限バンドルを Java TrustStore にインポートするには、次のコマンドを実行します。

     ```
     java -jar redshift-keytool.jar -s
     ```
   + Amazon Redshift の認定権限バンドルをプライベート TrustStore にインポートするには、次のコマンドを実行します。

     ```
     java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 
     ```

## その他の SSL 接続タイプを使用する
<a name="connecting-transitioning-to-acm-other-ssl-types"></a>

次のいずれかを使用して接続している場合は、このセクションの手順に従います。
+  オープンソースの ODBC ドライバー 
+  オープンソースの JDBC ドライバー 
+  [Amazon Redshift RSQL](https://docs.aws.amazon.com/redshift/latest/mgmt/rsql-query-tool.html) コマンドラインインターフェイス 
+  libpq に基づく言語バインディング (例: psycopg2 (Python)、ruby-pg (Ruby)) 

**その他の SSL 接続タイプで ACM 証明書を使用するには**

1.  Amazon Redshift の認定権限バンドルをダウンロードします。ダウンロード情報については、「[SSL](connecting-ssl-support.md#connect-using-ssl)」を参照してください。

1. バンドルの証明書を `root.crt` ファイルに追加します。
   + Linux および macOS X オペレーティングシステムでは、ファイルは `~/.postgresql/root.crt` です。
   + Microsoft Windows では、ファイルは `%APPDATA%\postgresql\root.crt` です。