Conexión a Amazon Redshift mediante un punto de enlace de la VPC de interfaz - Amazon Redshift
Creación de una política de punto de enlace de la VPC para Amazon Redshift

Conexión a Amazon Redshift mediante un punto de enlace de la VPC de interfaz

Puede conectarse directamente al servicio de API de Amazon Redshift mediante un punto de enlace de la VPC de interfaz (AWS PrivateLink) en su nube virtual privada (VPC) en lugar de conectarse a través de Internet. Para obtener más información sobre las acciones de la API de Amazon Redshift, consulte Acciones en la Referencia de la API de Amazon Redshift. Para obtener más información acerca de AWS PrivateLink, consulte Puntos de enlace de la VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC. Tenga en cuenta que la conexión JDBC/ODBC al clúster no forma parte del servicio de API de Amazon Redshift.

Cuando utiliza un punto de enlace de la VPC de interfaz, la comunicación entre la VPC y Amazon Redshift se realiza en su totalidad dentro de la red de AWS, la cual puede proporcionar más seguridad. Cada punto de enlace de la VPC está representado por una o varias interfaces de red elástica con direcciones IP privadas en las subredes de la VPC. Para obtener más información acerca de las interfaces de red elásticas, consulte Interfaces de red elásticas en la Guía del usuario de Amazon EC2 para instancias de Linux.

Un punto de enlace de la VPC de interfaz conecta la VPC directamente a Amazon Redshift. No utiliza una gateway de Internet, un dispositivo de conversión de direcciones de red (NAT), una conexión de red privada virtual (VPN) o una conexión de AWS Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con la API de Amazon Redshift.

Tiene dos opciones para utilizar Amazon Redshift a través de su VPC. Una opción es conectarse desde una instancia que está dentro de su VPC. La otra opción es conectar su red privada a la VPC a través de una opción de AWS VPN o a través de AWS Direct Connect. Para obtener más información acerca de las opciones de AWS VPN, consulte Conexiones de VPN en la Guía del usuario de Amazon VPC. Para obtener información acerca de AWS Direct Connect, consulte Creación de una conexión en la Guía del usuario de AWS Direct Connect.

Puede crear un punto de enlace de la VPC de interfaz para conectarse a Amazon Redshift a través de los comandos de la AWS Management Console o la AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Creación de un punto de conexión de interfaz.

Después de crear un punto de enlace de la VPC de interfaz, puede habilitar nombres de alojamiento de DNS privados para el punto de enlace. Una vez que lo hace, el punto de enlace de Amazon Redshift predeterminado (https://redshift.Region.amazonaws.com) se resuelve en el punto de enlace de la VPC.

Si no habilita nombres de alojamiento de DNS privados, Amazon VPC proporciona un nombre de punto de enlace de DNS que puede utilizar en el siguiente formato.

VPC_endpoint_ID.redshift.Region.vpce.amazonaws.com

Para obtener más información, consulte Puntos de enlace de la VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Amazon Redshift admite las llamadas a todas las operaciones de la API dentro de la VPC.

Puede adjuntar políticas de punto de enlace de la VPC a un punto de enlace de la VPC para controlar el acceso de las entidades principales de AWS Identity and Access Management (IAM). También puede asociar grupos de seguridad a un punto de enlace de la VPC para controlar el acceso de entrada y salida en función del origen y el destino del tráfico de red. Un ejemplo es un rango de direcciones IP. Para obtener más información, consulte Controlar el acceso a servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.

Puede crear una política para los puntos de enlace de la VPC para Amazon Redshift y especificar lo siguiente:

  • La entidad principal que puede o no puede realizar acciones

  • Las acciones que se pueden realizar

  • Los recursos en los que se pueden llevar a cabo las acciones

Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de VPC en la guía del usuario de Amazon VPC.

A continuación, encontrará ejemplos de políticas de puntos de enlace de la VPC.

La siguiente política de punto de enlace de la VPC deniega a la cuenta de AWS 123456789012 el acceso a los recursos a través del punto de enlace.


{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

La siguiente política de punto de conexión de VPC permite el acceso pleno solo al rol de IAM redshiftrole en la cuenta de AWS 123456789012. A las demás entidades principales de IAM se les deniega el acceso a través del punto de enlace.


   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:role/redshiftrole"
                ]
            }
        }]
}

Solo es un ejemplo. En la mayoría de los casos de uso, recomendamos adjuntar permisos para acciones específicas a fin de reducir el alcance de los permisos.

La siguiente política de punto de enlace de la VPC permite el acceso pleno solo al usuario de IAM redshiftadmin en la cuenta de AWS 123456789012. A las demás entidades principales de IAM se les deniega el acceso a través del punto de enlace.


   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/redshiftadmin"
                ]
            }
        }]
}

Solo es un ejemplo. En la mayoría de los casos de uso, recomendamos adjuntar permisos a un rol antes de asignarlos a un usuario. Además, recomendamos utilizar acciones específicas para reducir el alcance de los permisos.

La siguiente política de punto de enlace de la VPC solo permite a la cuenta de AWS 123456789012 realizar las acciones de Amazon Redshift especificadas.

Las acciones especificadas proporcionan el equivalente al acceso de solo lectura para Amazon Redshift. Las demás acciones en la VPC se deniegan para la cuenta especificada. También se les deniega el acceso a las demás cuentas. Para obtener una lista de acciones de Amazon Redshift, consulte Acciones, recursos y claves de condición para Amazon Redshift en la Guía del usuario de IAM.


  {
    "Statement": [
        {
            "Action": [
                "redshift:DescribeAccountAttributes",
                "redshift:DescribeClusterParameterGroups",
                "redshift:DescribeClusterParameters",
                "redshift:DescribeClusterSecurityGroups",
                "redshift:DescribeClusterSnapshots",
                "redshift:DescribeClusterSubnetGroups",
                "redshift:DescribeClusterVersions",
                "redshift:DescribeDefaultClusterParameters",
                "redshift:DescribeEventCategories",
                "redshift:DescribeEventSubscriptions",
                "redshift:DescribeHsmClientCertificates",
                "redshift:DescribeHsmConfigurations",
                "redshift:DescribeLoggingStatus",
                "redshift:DescribeOrderableClusterOptions",
                "redshift:DescribeQuery",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "redshift:DescribeResize",
                "redshift:DescribeSavedQueries",
                "redshift:DescribeScheduledActions",
                "redshift:DescribeSnapshotCopyGrants",
                "redshift:DescribeSnapshotSchedules",
                "redshift:DescribeStorage",
                "redshift:DescribeTable",
                "redshift:DescribeTableRestoreStatus",
                "redshift:DescribeTags",
                "redshift:FetchResults",
                "redshift:GetReservedNodeExchangeOfferings"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

La siguiente política de punto de enlace de la VPC permite el acceso pleno a todas las cuentas y las entidades principales. Al mismo tiempo, deniega el acceso de la cuenta de AWS 123456789012 a las acciones realizadas en el clúster de Amazon Redshift con el ID de clúster my-redshift-cluster. Se siguen permitiendo otras acciones de Amazon Redshift que no admiten permisos en el nivel de los recursos para los clústeres. Para obtener una lista de las acciones de Amazon Redshift y los tipos de recursos correspondientes, consulte Acciones, recursos y claves de condición para Amazon Redshift en la Guía del usuario de IAM. 


 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}