メニュー
Amazon Redshift
管理ガイド (API Version 2012-12-01)

クラスターの VPC セキュリティグループの管理

Amazon Redshift クラスターをプロビジョニングすると、デフォルトではロックされているため、誰もアクセスすることはできません。他のユーザーに Amazon Redshift クラスターへのインバウンドアクセスを許可するには、クラスターをセキュリティグループに関連付けます。EC2-VPC プラットフォームでは、既存の Amazon VPC セキュリティグループを使用するか、次に示すように新しいグループを定義してクラスターに関連付けることができます。EC2-Classic プラットフォームでは、クラスターセキュリティグループを定義し、そのグループをクラスターに関連付けます。EC2-Classic プラットフォームでのクラスターセキュリティグループの使用の詳細については、「Amazon Redshift クラスターセキュリティグループ」を参照してください。

VPC セキュリティグループは、使用中のクラスターなど、VPC 上のインスタンスへのアクセスを制御しているルールのセットで構成されます。個別のルールのセットは、IP アドレスの範囲または他の VPC セキュリティグループに基づいてアクセスします。VPC セキュリティグループをクラスターに関連付けると、VPC セキュリティグループで定義されているルールがクラスターへのアクセスを制御します。

EC2-VPC プラットフォーム上でプロビジョニングする各クラスターには、1 つ以上の Amazon VPC セキュリティグループが関連付けられます。Amazon VPC は、デフォルトという VPC セキュリティグループを提供します。これは VPC を作成するときに自動的に作成されます。VPC で起動するクラスターは、そのクラスターの作成時に別の VPC セキュリティグループを指定しない限り、それぞれがデフォルトの VPC セキュリティグループに自動的に関連付けられます。クラスターの作成時にクラスターに VPC セキュリティグループを関連付けるか、または後でクラスターを変更して VPC セキュリティグループを関連付けることができます。VPC セキュリティグループとクラスターの関連付けの詳細については、「クラスターを作成するには」および「クラスターを変更するには」を参照してください。

次の表では、デフォルトの VPC セキュリティグループ用のデフォルトルールについて説明します。

Amazon Redshift クラスターで、必要に応じてデフォルトの VPC セキュリティグループのルールを変更できます。

デフォルトの VPC セキュリティグループだけで十分であれば、さらにグループを作成する必要はありません。ただし、オプションでクラスターへのインバウンドアクセスをより適切に管理するために、追加の VPC セキュリティグループを作成できます。たとえば、Amazon Redshift クラスターでサービスを実行していて、顧客に複数の異なるサービスレベルを提供しているとします。すべてのサービスレベルに同じアクセス権を与えたくない場合は、サービスレベルごとに別の VPC セキュリティグループ (サービスレベルごとに 1 つ) を作成することをお勧めします。その後、それらの VPC セキュリティグループをクラスターに関連付けることができます。

VPC あたり最大 100 の VPC セキュリティグループを作成でき、VPC セキュリティグループは多くのクラスターと関連付けることができますが、特定のクラスターに関連付けることができる VPC セキュリティグループは、最大 5 つのみであることに注意してください。

Amazon Redshift では、VPC セキュリティグループへの変更は直ちに適用されます。そのため、VPC セキュリティグループをクラスターに関連付けると、更新された VPC セキュリティグループのインバウンドクラスターアクセスルールは即座に適用されます。

VPC セキュリティグループの作成と変更は、https://console.aws.amazon.com/vpc/ で行うことができます。AWS CLI、AWS EC2 CLI、および Windows PowerShell 用 AWS ツールを使用して、VPC セキュリティグループをプログラムで管理することもできます。VPC セキュリティグループの操作の詳細については、Amazon VPC ユーザーガイド の「VPC のセキュリティグループ」を参照してください。