クラスターの VPC セキュリティグループの管理 - Amazon Redshift

クラスターの VPC セキュリティグループの管理

Amazon Redshift クラスターをプロビジョンすると、デフォルトではロックされているため、誰もアクセスすることはできません。他のユーザーに Amazon Redshift クラスターへのインバウンドアクセスを許可するには、クラスターをセキュリティグループに関連付けます。EC2-VPC プラットフォームを使用する場合は、既存の Amazon VPC セキュリティグループを使用するか、新しいグループを定義することができます。次に、下記の説明どおり、クラスターに関連付けます。EC2-Classic プラットフォームでは、クラスターセキュリティグループを定義し、そのグループをクラスターに関連付けます。EC2-Classic プラットフォームでのクラスターセキュリティグループの使用の詳細については、「Amazon Redshift クラスターセキュリティグループ」を参照してください。

VPC セキュリティグループは、使用中のクラスターなど、VPC 上のインスタンスへのアクセスを制御しているルールのセットで構成されます。個別のルールのセットは、IP アドレスの範囲または他の VPC セキュリティグループに基づいてアクセスします。VPC セキュリティグループをクラスターに関連付けると、VPC セキュリティグループで定義されているルールがクラスターへのアクセスを制御します。

EC2-VPC プラットフォームでプロビジョンするクラスターごとに、1 つ以上の Amazon VPC セキュリティグループが関連付けられます。Amazon VPC は、デフォルトという VPC セキュリティグループを提供します。これは VPC を作成するときに自動的に作成されます。VPC で起動するクラスターは、そのクラスターの作成時に別の VPC セキュリティグループを指定しない限り、それぞれがデフォルトの VPC セキュリティグループに自動的に関連付けられます。クラスターの作成時にクラスターに VPC セキュリティグループを関連付けるか、または後でクラスターを変更して VPC セキュリティグループを関連付けることができます。

次の表では、デフォルトの VPC セキュリティグループ用のデフォルトルールについて説明します。

Amazon Redshift クラスターで、必要に応じてデフォルトの VPC セキュリティグループのルールを変更できます。

デフォルトの VPC セキュリティグループだけで十分であれば、さらにグループを作成する必要はありません。ただし、オプションでクラスターへのインバウンドアクセスをより適切に管理するために、追加の VPC セキュリティグループを作成できます。たとえば、Amazon Redshift クラスターでサービスを実行していて、顧客に複数の異なるサービスレベルを提供しているとします。すべてのサービスレベルに同じアクセス権を与えたくない場合は、サービスレベルごとに別の VPC セキュリティグループ (サービスレベルごとに 1 つ) を作成することをお勧めします。その後、それらの VPC セキュリティグループをクラスターに関連付けることができます。

VPC に対して最高 100 個の VPC セキュリティグループを作成し、VPC セキュリティグループを多くのクラスターと関連付けることができます。ただし、特定のクラスターと関連付けることができる VPC セキュリティグループは 5 つまでです。

Amazon Redshift では、VPC セキュリティグループへの変更は直ちに適用されます。そのため、VPC セキュリティグループをクラスターに関連付けると、更新された VPC セキュリティグループのインバウンドクラスターアクセスルールは即座に適用されます。

VPC セキュリティグループの作成と変更は、https://console.aws.amazon.com/vpc/ で行うことができます。AWS CLI、Amazon EC2 CLI、および AWS Tools for Windows PowerShell を使用して、VPC セキュリティグループをプログラムで管理することもできます。VPC セキュリティグループの操作に関する詳細については、Amazon VPC ユーザーガイドVPC のセキュリティグループを参照してください。