メニュー
Amazon Redshift
管理ガイド (API Version 2012-12-01)

VPC エンドポイントの使用

VPC エンドポイントを使用して、VPC の Amazon Redshift クラスターと Amazon Simple Storage Service (Amazon S3) 間で管理された接続を作成することができます。 このとき、クラスターと Amazon S3 のデータ間の COPY と UNLOAD トラフィックは Amazon VPC に留まります。 エンドポイントにエンドポイントポリシーをアタッチして、より厳密なデータアクセスの管理ができます。 たとえば、アカウントの特定の Amazon S3 バケットにのみデータをアップロード許可するようなポリシーを VPC エンドポイントに追加できます。

重要

現在 Amazon Redshift は、Amazon S3 に接続する VPC エンドポイントのみサポートしています。 Amazon VPC が VPC エンドポイントを使用するためにほかの AWS サービスへのサポートを追加すると、Amazon Redshift はこれらの VPC エンドポイント接続もサポートします。 Amazon S3 バケットに VPC エンドポイントを使用して接続する場合、接続する Amazon Redshift クラスターと Amazon S3 バケットは同じリージョンにある必要があります。

VPC エンドポイントを使用するには、クラスターがある VPC への VPC エンドポイントを作成し、そしてクラスターに拡張された VPC ルーチングを有効化します。 VPC でクラスターを作成する場合、拡張された VPC ルーチングを有効にするか、あるいは VPC のクラスターを変更して拡張された VPC ルーティングとして使用することもできます。

VPC エンドポイントは、ルートテーブルを使用して VPC のクラスターと Amazon S3 間のトラフィックのルーチングをコントロールします。 特定のルートテーブルに関連付けられたサブネットのすべてのクラスターは、自動的にそのエンドポイントを使用してサービスにアクセスします。

VPC はトラフィックをルーチングするために、クラスターのトラフィックに合う最も特定された、または最も限定的なルートを使用します。 たとえば、ルートテーブルにすべてのインターネットトラフィック (0.0.0.0/0) 向けに 1 つのインターネットゲートウェイと 1 つの Amazon S3 エンドポイントを示すルートがある場合、Amazon S3 行きのすべてのトラフィックにこのエンドポイントルートが優先されます。これは、Amazon S3 サービス向けの IP アドレス範囲が 0.0.0.0/0 よりも特定されているからです。 この例では、そのほかのリージョンの Amazon S3 バケット行きのトラフィックを含め、そのほかのすべてのインターネットトラフィックはインターネットゲートウェイに移動します。

エンドポイントの作成の詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイント」を参照してください。

クラスターからデータファイルがある Amazon S3 バケットへのアクセスを制御するために、エンドポイントポリシーを使用します。 デフォルトでは、エンドポイント作成ウィザードはどのユーザーあるいは VPC 内のサービスにもアクセス制限がないエンドポイントポリシーをアタッチします。 特定の制御については、オプションでカスタムエンドポイントポリシーをアタッチできます。 詳細については、「エンドポイントポリシーの使用」を参照してください。

エンドポイントは追加料金なしで使用できます。データ転送とリソースの使用量に対する標準料金が適用されます。料金の詳細については、「Amazon EC2 料金表」を参照してください。