Connexion à Amazon Redshift à l'aide d'un point de terminaison de VPC d'interface - Amazon Redshift
Création d'une politique de point de terminaison de VPC pour Amazon Redshift

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connexion à Amazon Redshift à l'aide d'un point de terminaison de VPC d'interface

Vous pouvez vous connecter directement à Amazon Redshift à l'aide d'un point de terminaison de VPC d'interface (AWS PrivateLink) dans votre Virtual Private Cloud (VPC) au lieu de vous connecter via Internet. Pour plus d'informations sur les actions d'API Amazon Redshift, consultez Actions dans la Référence d'API Amazon Redshift. Pour plus d'informations à ce sujet AWS PrivateLink, consultez la section Interface VPC endpoints (AWS PrivateLink) dans le guide de l'utilisateur Amazon VPC. Notez que la connexion JDBC/ODBC au cluster ne fait pas partie du service API Amazon Redshift.

Lorsque vous utilisez un point de terminaison VPC d'interface, la communication entre votre VPC et Amazon Redshift s'effectue entièrement au sein du AWS réseau, ce qui peut renforcer la sécurité. Chaque point de terminaison d'un VPC est représenté par une ou plusieurs interfaces réseau Elastic avec des adresses IP privées dans vos sous-réseaux VPC. Pour plus d'informations sur les interfaces réseau Elastic, veuillez consulter Interfaces réseau Elastic dans le Guide de l'utilisateur Amazon EC2.

Un point de terminaison de VPC d'interface connecte votre VPC directement à Amazon Redshift. Il n'utilise pas de passerelle Internet, de périphérique de traduction d'adresses réseau (NAT), de connexion à un réseau privé virtuel (VPN) ou de AWS Direct Connect connexion. Les instances de votre VPC ne nécessitent pas d'adresses IP publiques pour communiquer avec l'API Amazon Redshift.

Pour utiliser Amazon Redshift via votre VPC, vous avez deux options. L'une consiste à vous connecter à partir d'une instance qui se trouve à l'intérieur de votre VPC. L'autre consiste à connecter votre réseau privé à votre VPC à l'aide d'une AWS VPN option ou. AWS Direct Connect Pour plus d'informations sur AWS VPN les options, consultez la section Connexions VPN dans le guide de l'utilisateur Amazon VPC. Pour obtenir des informations sur AWS Direct Connect, consultez Création d'une connexion dans le Guide de l'utilisateur AWS Direct Connect .

Vous pouvez créer un point de terminaison VPC d'interface pour vous connecter à Amazon Redshift à AWS Management Console l'aide des commandes AWS Command Line Interface or AWS CLI(). Pour plus d'informations, consultez Création d'un point de terminaison d'interface.

Une fois que vous avez créé un point de terminaison de VPC d'interface, vous pouvez activer les noms d'hôte DNS privés pour le point de terminaison. Lorsque vous le faites, la résolution du point de terminaison Amazon Redshift par défaut (https://redshift.Region.amazonaws.com) est faite par votre point de terminaison de VPC.

Si vous n'activez pas les noms d'hôte DNS privés, Amazon VPC fournit un nom de point de terminaison DNS que vous pouvez utiliser au format suivant.

VPC_endpoint_ID.redshift.Region.vpce.amazonaws.com

Pour de plus amples informations, consultez Points de terminaison VPC (AWS PrivateLink) dans le Guide de l'utilisateur Amazon VPC.

Amazon Redshift prend en charge les appels à toutes ses fonctions API à l'intérieur de votre VPC.

Vous pouvez attacher des politiques de point de terminaison de VPC à un point de terminaison VPC pour contrôler l'accès des entités AWS Identity and Access Management (IAM). Vous pouvez également associer des groupes de sécurité à un point de terminaison de VPC pour contrôler l'accès entrant et sortant en fonction de l'origine et de la destination du trafic réseau. Un exemple est une plage d'adresses IP. Pour en savoir plus, consultez Contrôle de l’accès aux services avec des points de terminaison d’un VPC dans le guide de l’utilisateur Amazon VPC.

Vous pouvez créer une politique pour les points de terminaison de VPC pour les instances de bloc-notes Amazon Redshift afin de spécifier les éléments suivants :

  • Principal qui peut ou ne peut pas effectuer des actions

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.

Vous trouverez ci-dessous des exemples de politiques de point de terminaison de VPC.

La politique de point de terminaison VPC suivante refuse au AWS compte 123456789012 tout accès aux ressources utilisant ce point de terminaison.


{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

La politique de point de terminaison VPC suivante autorise un accès complet uniquement au rôle IAM redshiftroledans AWS le compte 123456789012. Toutes les autres entités IAM se voient refuser l'accès à l'aide du point de terminaison.


   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:role/redshiftrole"
                ]
            }
        }]
}

Il s'agit uniquement d'un exemple. Dans la plupart des cas d'utilisation, nous recommandons d'associer des autorisations à des actions spécifiques afin de réduire la portée des autorisations.

La politique de point de terminaison VPC suivante autorise un accès complet uniquement à l'utilisateur IAM du compte 123456789012 redshiftadmin. AWS Toutes les autres entités IAM se voient refuser l'accès à l'aide du point de terminaison.


   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/redshiftadmin"
                ]
            }
        }]
}

Il s'agit uniquement d'un exemple. Dans la plupart des cas d'utilisation, nous recommandons d'associer des autorisations à un rôle avant de les attribuer à un utilisateur. En outre, nous vous recommandons d'utiliser des actions spécifiques pour réduire la portée des autorisations.

La politique de point de terminaison VPC suivante autorise uniquement le AWS compte 123456789012à effectuer les actions Amazon Redshift spécifiées.

Les actions spécifiées fournissent l'équivalent d'un accès en lecture seule pour Amazon Redshift. Toutes les autres actions sur le VPC sont refusées pour le compte spécifié. En outre, tous les autres comptes se voient refuser tout accès. Pour afficher la liste des actions Amazon Redshift, veuillez consulter Actions, ressources et clés de condition pour Amazon Redshift dans le Guide de l'utilisateur IAM.


  {
    "Statement": [
        {
            "Action": [
                "redshift:DescribeAccountAttributes",
                "redshift:DescribeClusterParameterGroups",
                "redshift:DescribeClusterParameters",
                "redshift:DescribeClusterSecurityGroups",
                "redshift:DescribeClusterSnapshots",
                "redshift:DescribeClusterSubnetGroups",
                "redshift:DescribeClusterVersions",
                "redshift:DescribeDefaultClusterParameters",
                "redshift:DescribeEventCategories",
                "redshift:DescribeEventSubscriptions",
                "redshift:DescribeHsmClientCertificates",
                "redshift:DescribeHsmConfigurations",
                "redshift:DescribeLoggingStatus",
                "redshift:DescribeOrderableClusterOptions",
                "redshift:DescribeQuery",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "redshift:DescribeResize",
                "redshift:DescribeSavedQueries",
                "redshift:DescribeScheduledActions",
                "redshift:DescribeSnapshotCopyGrants",
                "redshift:DescribeSnapshotSchedules",
                "redshift:DescribeStorage",
                "redshift:DescribeTable",
                "redshift:DescribeTableRestoreStatus",
                "redshift:DescribeTags",
                "redshift:FetchResults",
                "redshift:GetReservedNodeExchangeOfferings"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}

La politique de point de terminaison de VPC suivante permet un accès complet à tous les comptes et entités. Dans le même temps, il refuse tout accès au AWS compte 123456789012aux actions effectuées sur le cluster Amazon Redshift avec un identifiant de cluster. my-redshift-cluster D'autres actions Amazon Redshift qui ne prennent pas en charge les autorisations au niveau des ressources pour les clusters sont toujours autorisées. Pour obtenir une liste des actions Amazon Redshift et de leur type de ressource correspondant, veuillez consulter la rubrique Actions, ressources et clés de condition pour Amazon Redshift dans le Guide de l'utilisateur IAM. 


 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}