Amazon Redshift通过改变2025年的默认行为来增强安全性 安全博客

Amazon Redshift在2025年加强安全性，改变默认行为

关键要点

今天，我很高兴地宣布，广泛应用的完全托管、PB级数据仓库Amazon Redshift正在采取重要措施，加强我们客户数据仓库的默认安全配置。新创建的托管集群、Amazon Redshift Serverless工作组以及从快照恢复的集群的一些默认安全设置已经更改。这些更改包括禁用公有访问、启用数据库加密以及强制安全连接。

Amazon Redshift已经支持传输和静态加密。数据库加密详细信息对保护敏感数据免受未经授权的访问至关重要。此外，限制公有访问有助于缩小潜在的攻击面，防止未授权访问数据库。通过将Amazon Redshift集群限制在客户的虚拟私有云VPC内，集群与公有互联网隔离，从而显著减少未授权方发现和访问数据仓库的可能性。

强制安全连接是另一项重要的安全措施。它强制加密应用程序与数据库之间的通信，从而降低窥探和中间人攻击的风险，帮助保护传输数据的机密性和完整性。

通过对新创建的托管集群、Serverless工作组和从快照恢复的集群实施额外的安全默认设置，Amazon Redshift帮助客户遵循数据安全最佳实践，无需额外设置，降低潜在配置错误的风险。

这些新的安全增强措施包括三个关键更改：

默认禁用公有访问：公有访问将默认禁用，意味着新创建的集群仅在您自己的VPC中可访问，无法从公有互联网访问。如果您通过AWS管理控制台创建托管集群，则该集群的PubliclyAccessible参数将默认设置为false。要使用公有访问，您必须显式覆盖默认设置，并在执行CreateCluster或RestoreFromClusterSnapshot API操作时将PubliclyAccessible参数设置为true。建议使用安全组或网络访问控制列表来限制访问。

默认启用数据库加密：没有指定AWS Key Management Service (AWS KMS)密钥的情况下创建的集群将自动使用AWS拥有的密钥进行加密。这一更新可能会影响使用自动脚本创建未加密集群的操作，因此建议检查您正在使用的配置，以确保生产者和消费者集群均已加密，从而减少数据共享工作的中断。

默认强制安全连接：新创建或恢复的集群将使用名为defaultredshift20的新默认参数组，requiressl参数默认设置为true。使用控制台创建的集群将自动采用此参数组。如果您当前使用已有或自定义参数组，服务将继续保持您在参数组中指定的requiressl值。

我们建议所有Amazon Redshift客户审查现有配置，考虑在应用程序中实施新安全措施。这些安全增强可能会影响依赖于公有访问、未加密集群或非SSL连接的现有工作流程。建议您检查并更新配置、脚本和工具，以与这些新默认设置保持一致。

如您对本文有任何反馈，请在下方评论区留言。如有关于此帖子的疑问，请联系AWS支持。

Yanzhu JiYanzhu Ji是Amazon Redshift团队的高级产品经理，在数据库安全和行业领先数据产品平台的开发战略方面拥有丰富经验。她擅长使用Web开发、系统设计、数据库和分布式编程技术构建强大的软件产品。

标签： Amazon Redshift Redshift Security Blog