Grupos de seguridad de la VPC - Amazon Redshift

Grupos de seguridad de la VPC

Al aprovisionar un clúster de Amazon Redshift o un grupo de trabajo de Amazon Redshift sin servidor, el acceso se restringe de forma predeterminada para que nadie tenga acceso a él. Para concederle a otros usuarios acceso de entrada, debe asociar el clúster a un grupo de seguridad. Si está en la plataforma de EC2-VPC, puede utilizar un grupo de seguridad de Amazon VPC existente o definir uno nuevo. Luego lo asociará a un clúster o grupo de trabajo como se describe a continuación. Si está en la plataforma EC2-Classic, defina un grupo de seguridad y asócielo a un clúster o grupo de trabajo. Para obtener más información acerca del uso de grupos de seguridad en la plataforma EC2-Classic, consulte Grupos de seguridad de Amazon Redshift.

Un grupo de seguridad de VPC está formado por un conjunto de reglas que controlan el acceso a una instancia en la VPC, como el clúster. Las reglas individuales establecen el acceso en función de los rangos de direcciones IP o de otros grupos de seguridad de VPC. Cuando asocia un grupo de seguridad de VPC a un clúster o grupo de trabajo, las reglas que están definidas en el grupo de seguridad de VPC controlan el acceso.

Cada clúster que aprovisione en la plataforma EC2-VPC tiene uno o más grupos de seguridad de Amazon VPC asociados a él. Amazon VPC proporciona un grupo de seguridad de VPC llamado “default” (predeterminado) que se crea automáticamente junto con la VPC. Cada clúster que se lanza en la VPC se asocia automáticamente al grupo de seguridad de VPC predeterminado si no especifica un grupo de seguridad de VPC diferente cuando crea los recursos de Redshift. Puede asociar un grupo de seguridad de VPC a un clúster cuando crea el clúster o puede asociarlo más adelante mediante la modificación del clúster.

La captura de pantalla siguiente muestra las reglas predeterminadas para el grupo de seguridad de VPC predeterminado.

La tabla muestra las reglas de entrada y de salida para los grupos de seguridad. Cada regla tiene un origen o destino, un protocolo, un intervalo de puertos y comentarios.

Puede cambiar las reglas del grupo de seguridad de VPC predeterminado según sea necesario.

Si el grupo de seguridad de VPC predeterminado es suficiente para el usuario, no es necesario que cree más. No obstante, de forma opcional, puede crear grupos de seguridad de VPC adicionales para administrar mejor el acceso de entrada. Por ejemplo, suponga que está ejecutando un servicio en un clúster de Amazon Redshift o grupo de trabajo sin servidor y tiene varios niveles de servicio diferentes que proporciona a los clientes. Si no desea proporcionar el mismo acceso a todos los niveles de servicio, es posible que desee crear grupos de seguridad de VPC independientes, uno para cada nivel de servicio. Luego puede asociar estos grupos de seguridad de VPC al clúster o los grupos de trabajo.

Puede crear hasta 100 grupos de seguridad de VPC para una VPC y asociar un grupo de seguridad de VPC con varios clústeres y grupos de trabajo. No obstante, tenga en cuenta que existen límites en el número de grupos de seguridad de VPC que puede asociar a un clúster o un grupo de trabajo.

Amazon Redshift aplica los cambios a un grupo de seguridad de VPC de inmediato. Por lo que si asoció un grupo de seguridad de VPC a un clúster, las reglas de acceso de entrada al clúster en el grupo de seguridad de VPC actualizado se aplican de inmediato.

Puede crear y modificar grupos de seguridad de VPC en https://console.aws.amazon.com/vpc/. También puede administrar grupos de seguridad de VPC mediante programación con la AWS CLI, la CLI de Amazon EC2 y las AWS Tools for Windows PowerShell. Para obtener más información acerca del uso de grupos de seguridad de VPC, consulte Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.