Amazon Redshift が新しいウェアハウス向けの強化されたデフォルトのセキュリティ設定を発表

本記事は、2025 年 1 月 28 日にAWS公式サイトの What’s New with AWS? に掲載された英語記事を自動翻訳したものです。

ニュース内容

Amazon Redshift は、データセキュリティのベストプラクティスを遵守し、潜在的な設定ミスのリスクを軽減するために、セキュリティのデフォルト強化を発表しました。これらの変更には、パブリックアクセスの無効化、データベース暗号化の有効化、新しいデータウェアハウスを作成するときにデフォルトで安全な接続を強制することが含まれます。

セキュリティのデフォルト強化により、3 つの重要な変更がもたらされます。まず、新しく作成されたプロビジョニングされたクラスターとスナップショットから復元されたクラスターのすべてで、パブリックアクセシビリティがデフォルトで無効になります。この構成では、クラスターへの接続は同じ Virtual Private Cloud (VPC) 内のクライアントアプリケーションからのみ許可されます。次に、プロビジョニングされたクラスターのデータベース暗号化がデフォルトで有効になります。プロビジョニングされたクラスターの作成時に AWS KMS キーを指定しないと、クラスターは AWS 所有のキーで自動的に暗号化されるようになりました。3 つ目に、Amazon Redshift はデフォルトで安全な暗号化された接続を強制するようになりました。新しく作成または復元されたすべてのクラスターに「default.redshift-2.0」という新しいデフォルトパラメータグループが導入され、「require_ssl」パラメータはデフォルトで「true」に設定されます。このデフォルトの変更は、新しいサーバーレスワークグループにも適用されます。

潜在的な混乱を回避するために、データウェアハウスの作成構成、スクリプト、およびツールを確認して、新しいデフォルト設定に合わせてください。これらのセキュリティ機能はデフォルトで有効になっていますが、クラスターまたはワークグループの設定を変更してデフォルトの動作を変更することができます。既存のデータ ウェアハウスは、これらのセキュリティ強化の影響を受けません。

これらの新しいデフォルトの変更は、Amazon Redshift が利用可能なすべての AWS リージョンで実装されています。詳細については、ドキュメントを参照してください。

原文

Amazon Redshift announces enhanced security defaults to help you adhere to best practices in data security and reduce the risk of potential misconfigurations. These changes include disabling public accessibility, enabling database encryption, and enforcing secure connections by default when creating a new data warehouse.

The enhanced security defaults bring three key changes: First, public accessibility is disabled by default for all newly created provisioned clusters and clusters restored from snapshots. In this configuration, connections to clusters will only be permitted from client applications within the same Virtual Private Cloud (VPC). Second, database encryption is enabled by default for provisioned clusters. If you don’t specify an AWS KMS key when creating a provisioned cluster, the cluster is now automatically encrypted with an AWS-owned key. Third, Amazon Redshift now enforces secure, encrypted connections by default, a new default parameter group named “default.redshift-2.0” will be introduced for all newly created or restored clusters, with “require_ssl” parameter set to “true” by default. This default change will also apply to new serverless workgroups.

Review your data warehouse creation configurations, scripts, and tools to align with the new default settings to avoid any potential disruption. While these security features are enabled by default, you will still have the ability to modify cluster or workgroup settings to change the default behavior. Your existing data warehouses will not be impacted by these security enhancements.

These new default changes are implemented in all AWS regions where Amazon Redshift is available. For more information, please refer to our documentation.

引用元：Amazon Redshift announces enhanced default security configurations for new warehouses