VPC エンドポイントの使用 - Amazon Redshift

VPC エンドポイントの使用

VPC エンドポイントを使用して、VPC にある Amazon Redshift クラスターと Amazon Simple Storage Service (Amazon S3) 間でマネージド接続を作成することができます。このとき、データベースと Amazon S3 のデータ間の COPY と UNLOAD トラフィックは Amazon VPC に留まります。エンドポイントにエンドポイントポリシーをアタッチして、より厳密なデータアクセスの管理ができます。たとえば、アカウントの特定の Amazon S3 バケットにのみデータをアップロード許可するようなポリシーを VPC エンドポイントに追加できます。

重要

現在、Amazon Redshift では、Amazon S3 に接続する場合にのみ VPC エンドポイントをサポートしています。Amazon VPC で VPC エンドポイントを使用するために他の AWS サービスへのサポートが追加されると、Amazon Redshift ではこれらの VPC エンドポイント接続もサポートされます。VPC エンドポイントを使用して Amazon S3 バケットに接続するには、接続する Amazon Redshift クラスターと Amazon S3 バケットが同じ AWS リージョンにある必要があります。

VPC エンドポイントを使用するには、データウェアハウスがある VPC への VPC エンドポイントを作成し、それから拡張された VPC ルーティングを有効化します。クラスターまたはワークグループを作成する場合、拡張された VPC ルーティングを有効にするか、あるいは VPC のクラスターまたはワークグループを変更して拡張された VPC ルーティングとして使用することもできます。

VPC エンドポイントは、ルートテーブルを使用して VPC のクラスターまたはワークグループと Amazon S3 間のトラフィックのルーティングをコントロールします。特定のルートテーブルに関連付けられたサブネットのすべてのクラスターまたはワークグループは、自動的にそのエンドポイントを使用してサービスにアクセスします。

VPC はトラフィックをルーティングするために、トラフィックに合う最も特定された、または最も限定的なルートを使用します。たとえば、ルートテーブルで、インターネットゲートウェイと Amazon S3 エンドポイントを指すすべてのインターネットトラフィック (0.0.0.0/0) にルートがあるとします。この場合、Amazon S3 を宛先とするすべてのトラフィックでエンドポイントルートが優先されます これは、Amazon S3 サービスの IP アドレス範囲が 0.0.0.0/0 よりも具体的であるためです。この例では、他の AWS リージョン にある Amazon S3 バケット行きのトラフィックを含め、その他のすべてのインターネットトラフィックはインターネットゲートウェイに移動します。

エンドポイントの作成の詳細については、Amazon VPC ユーザーガイドの「VPC エンドポイントの作成」を参照してください。

クラスターまたはワークグループからデータファイルがある Amazon S3 バケットへのアクセスを制御するために、エンドポイントポリシーを使用します。特定の制御については、オプションでカスタムエンドポイントポリシーをアタッチできます。詳細については、「AWS PrivateLink ガイド」の「Control access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)」を参照してください。

エンドポイントは追加料金なしで使用できます。データ転送とリソースの使用量に対する標準料金が適用されます。料金の詳細については、「Amazon EC2 料金表」を参照してください。