メニュー
Amazon Redshift
管理ガイド (API Version 2012-12-01)

Amazon Redshift クラスターセキュリティグループ

Amazon Redshift クラスターをプロビジョニングすると、デフォルトではロックされているため、誰もアクセスすることはできません。他のユーザーに Amazon Redshift クラスターへのインバウンドアクセスを許可するには、クラスターをセキュリティグループに関連付けます。EC2-Classic プラットフォームを使用する場合は、後で示すようにクラスターセキュリティグループを定義してクラスターに関連付けます。EC2-VPC プラットフォームを使用する場合は、既存の Amazon VPC セキュリティグループを使用するか、新しいグループを定義してクラスターに関連付けることができます。EC2-VPC プラットフォームでのクラスターの管理の詳細については、「Amazon Virtual Private Cloud (VPC) でクラスターを管理する」を参照してください。

概要

クラスターセキュリティグループは、クラスターへのアクセスを制御するルールセットで構成されます。個々のルールは、IP アドレスの範囲またはクラスターへのアクセスが許可されている Amazon EC2 セキュリティグループを識別します。クラスターセキュリティグループをクラスターに関連付けると、クラスターセキュリティグループで定義されているルールがクラスターへのアクセスを制御します。

クラスターのプロビジョニングとは関係なくクラスターセキュリティグループを作成できます。クラスターをプロビジョニングするとき、またはその後のどちらでも、クラスターセキュリティグループを Amazon Redshift クラスターと関連付けることができます。また、クラスターセキュリティグループを複数のクラスターに関連付けることもできます。

Amazon Redshift では、最初のクラスターを起動すると、default と呼ばれるクラスターセキュリティグループが自動的に作成されます。初期状態では、このクラスターセキュリティグループは空です。インバウンドアクセスルールをデフォルトのクラスターセキュリティグループに追加し、それを Amazon Redshift クラスターに関連付けることができます。

default クラスターセキュリティグループだけで十分であれば、独自のグループを作成する必要はありません。しかし、クラスターへのインバウンドアクセスをより効果的に管理するために独自のクラスターセキュリティグループを作成することもできます。たとえば、Amazon Redshift クラスターでサービスを実行していて、数社の顧客がいると仮定します。すべての顧客に同じアクセス権を与えたくない場合は、会社ごとに 1 つのクラスターセキュリティグループを作成することをお勧めします。会社に固有の Amazon EC2 セキュリティグループと IP アドレス範囲を識別するため、各クラスターセキュリティグループにルールを追加できます。その後、これらすべてのクラスターセキュリティグループをクラスターに関連付けることができます。

1 つのクラスターセキュリティグループを複数のクラスターと関連付けることも、複数のクラスターセキュリティグループを 1 つのクラスターと関連付けることもできます。ただし、AWS のサービスの制限によります。詳細については、「Amazon Redshift における制限」を参照してください。

Amazon Redshift コンソールを使用してクラスターセキュリティグループを管理することも、Amazon Redshift API または AWS SDK を使用してプログラムによってクラスターセキュリティグループを管理することもできます。

Amazon Redshift では、クラスターセキュリティグループへの変更は直ちに適用されます。そのため、クラスターセキュリティグループがクラスターに関連付けられていると、更新されたクラスターセキュリティグループのインバウンドクラスターアクセスルールも直ちに適用されます。

このページの内容: