Redshift Spectrum et le routage VPC amélioré - Amazon Redshift
Considérations relatives à l'utilisation d'Amazon Redshift Spectrum

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Redshift Spectrum et le routage VPC amélioré

Amazon Redshift Spectrum ne prend pas en charge le routage VPC amélioré avec des clusters provisionnés. Le routage VPC amélioré Amazon Redshift achemine un trafic spécifique via votre VPC. L'ensemble du trafic entre votre cluster et vos compartiments Amazon S3 est contraint de passer par votre VPC Amazon. Redshift Spectrum s'exécute sur des ressources AWS gérées détenues par Amazon Redshift. Puisque ces ressources se trouvent en dehors de votre VPC, Redshift Spectrum n'utilise pas le routage VPC amélioré.

Le trafic entre Redshift Spectrum et Amazon S3 est acheminé de manière sécurisée via le réseau AWS privé, en dehors de votre VPC. Le trafic en transit est signé par le protocole Amazon Signature Version 4 (SIGv4) et chiffré via HTTPS. Ce trafic est autorisé sur la base du rôle IAM attaché à votre cluster Amazon Redshift. Pour gérer le trafic Redshift Spectrum, vous pouvez modifier le rôle IAM de votre cluster et la politique associée à votre compartiment Amazon S3. Vous devrez peut-être également configurer votre VPC pour autoriser votre cluster à accéder à AWS Glue Athena, comme indiqué ci-dessous.

Étant donné que le routage VPC amélioré affecte la manière dont Amazon Redshift accède aux autres ressources, les requêtes peuvent échouer si vous ne configurez pas votre VPC correctement. Pour obtenir plus d'informations, consultez la rubrique Amélioration du routage VPC dans Amazon Redshift qui traite en détail de la création d'un point de terminaison VPC, d'une passerelle NAT et d'autres ressources de réseaux pour diriger le trafic vers vos compartiments Amazon S3.

Note

Amazon Redshift sans serveur prend en charge le routage VPC amélioré pour les requêtes vers des tables externes sur Amazon S3.

Considérations relatives à l'utilisation d'Amazon Redshift Spectrum

Vous trouverez ci-après les considérations relatives à l'utilisation de Redshift Spectrum :

Politiques d'accès au compartiment

Vous pouvez contrôler l'accès aux données de vos compartiments Amazon S3 en utilisant d'une part une politique de compartiment associée au compartiment correspondant et d'autre part un rôle IAM associé au cluster.

Redshift Spectrum sur les clusters provisionnés ne peut accéder aux données stockées dans des compartiments Amazon S3 utilisant une politique de compartiment qui restreint l'accès aux seuls points de terminaison d'un VPC spécifiés. Utilisez plutôt une politique de compartiment qui restreint l'accès à certains principaux, tels qu'un AWS compte ou des utilisateurs spécifiques.

Pour le rôle IAM qui se voit autoriser l'accès au compartiment, utilisez une relation de confiance autorisant le rôle à être endossé uniquement par le principal du service Amazon Redshift. Lorsqu'il est associé à votre cluster, le rôle ne peut être utilisé que dans le cadre d'Amazon Redshift ; il ne peut pas être partagé en dehors du cluster. Pour plus d’informations, consultez Restriction de l'accès aux rôles IAM. Une politique de contrôle des services (SCP) peut également être utilisée pour restreindre davantage le rôle. Consultez Empêcher les utilisateurs et les rôles IAM d'apporter des modifications spécifiées, à l'exception d'un rôle administrateur spécifié dans le Guide de l'utilisateur AWS Organizations .

Note

Pour utiliser Redshift Spectrum, aucune politique IAM bloquant l'utilisation des URL présignées Amazon S3 ne peut être mise en place. Les URL présignées générées par Amazon Redshift Spectrum sont valides pendant 1 heure afin qu'Amazon Redshift dispose de suffisamment de temps pour charger tous les fichiers depuis le compartiment Amazon S3. Une URL présignée unique est générée pour chaque fichier scanné par Redshift Spectrum. Pour les politiques de compartiment qui incluent une s3:signatureAge action, veillez à définir la valeur sur au moins 3 600 000 millisecondes.

L'exemple de politique de compartiment suivant autorise l'accès au compartiment spécifié uniquement à partir du trafic provenant de Redshift Spectrum détenu par AWS le compte. 123456789012 

{
	"Version": "2012-10-17",
	"Statement": [{
		"Sid": "BucketPolicyForSpectrum",
		"Effect": "Allow",
		"Principal": {
			"AWS": ["arn:aws:iam::123456789012:role/redshift"]
		},
		"Action": ["s3:GetObject", "s3:List*"],
		"Resource": ["arn:aws:s3:::examplebucket/*"],
		"Condition": {
			"StringEquals": {
				"aws:UserAgent": "AWS Redshift/Spectrum"
			}
		}
	}]
}

Rôle IAM du cluster

Le rôle associé à votre cluster doit disposer d'une relation de confiance autorisant le rôle à être endossé uniquement par le service Amazon Redshift, comme indiqué ci-après.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Vous pouvez ajouter une politique au rôle du cluster afin d'empêcher l'accès de COPY et UNLOAD à un compartiment spécifique. La politique suivante autorise le trafic vers le compartiment défini uniquement à partir de Redshift Spectrum. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["s3:Get*", "s3:List*"],
        "Resource": "arn:aws:s3:::myBucket/*",
                "Condition": {"StringEquals": {"aws:UserAgent": "AWS Redshift/Spectrum"}}
    }]
}

Pour plus d'informations, consultez Politiques IAM pour Amazon Redshift Spectrum dans le Guide du développeur de base de données Amazon Redshift.

Audit et journalisation des accès Amazon S3

L'utilisation du routage VPC amélioré Amazon Redshift offre différents avantages, notamment l'enregistrement de l'ensemble du trafic COPY et UNLOAD dans les journaux de flux VPC. Le trafic provenant de Redshift Spectrum vers Amazon S3 ne passe pas par votre VPC ; il n'est donc pas enregistré dans les journaux de flux VPC. Lorsque Redshift Spectrum accède aux données dans Amazon S3, il effectue ces opérations dans le contexte du AWS compte et des privilèges de rôle respectifs. Vous pouvez journaliser et auditer l'accès à Amazon S3 en utilisant la journalisation de l'accès au serveur dans AWS CloudTrail et Amazon S3.

Assurez-vous que les plages d'adresses IP S3 sont ajoutées à votre liste des autorisations. Pour plus d’informations sur les plages d’adresses IP S3 requises, consultez Isolement de réseau.

AWS CloudTrail Journaux

Pour suivre tous les accès aux objets dans Amazon S3, y compris l'accès à Redshift Spectrum, activez la CloudTrail journalisation des objets Amazon S3.

Vous pouvez l'utiliser CloudTrail pour afficher, rechercher, télécharger, archiver, analyser et répondre à l'activité des comptes dans l'ensemble de votre AWS infrastructure. Pour plus d'informations, consultez Getting Started with CloudTrail.

Par défaut, CloudTrail suit uniquement les actions au niveau du bucket. Pour effectuer le suivi des actions au niveau de l'objet (par exemple GetObject), activez les événements de données et de gestion pour chaque compartiment enregistré.

Journalisation des accès au serveur Amazon S3

La journalisation des accès au serveur fournit des enregistrements détaillés pour les demandes soumises à un compartiment. Les informations des journaux d'accès peuvent s'avérer utiles en cas d'audit de sécurité ou d'audit des accès. Pour plus d'informations, consultez Comment activer la journalisation des accès au serveur dans le Guide de l'utilisateur Amazon Simple Storage Service.

Pour plus d'informations, consultez le billet de blog sur la AWS sécurité How to Use Bucket Policies and Apply Defense-in-Depth to Help Secure Your Amazon S3 Data.

Accès à AWS Glue ou Amazon Athena

Redshift Spectrum accède à votre catalogue de données dans ou AWS Glue Athena. Une autre option consiste à utiliser un metastore Hive dédié pour votre catalogue de données.

Pour activer l'accès à AWS Glue ou Athena, configurez votre VPC avec une passerelle Internet ou une passerelle NAT. Configurez vos groupes de sécurité VPC pour autoriser le trafic sortant vers les points de terminaison publics pour et Athena. AWS Glue Vous pouvez également configurer un point de terminaison VPC d'interface pour accéder AWS Glue à votre. AWS Glue Data Catalog Lorsque vous utilisez un point de terminaison d'interface VPC, la communication entre votre VPC et celui-ci AWS Glue s'effectue au sein du réseau. AWS Pour plus d'informations, consultez Création d'un point de terminaison d'interface.

Vous pouvez configurer les chemins suivants dans votre VPC :

  • Passerelle Internet : pour vous connecter à AWS des services extérieurs à votre VPC, vous pouvez associer une passerelle Internet à votre sous-réseau VPC, comme décrit dans le guide de l'utilisateur Amazon VPC. Pour utiliser une passerelle Internet, le cluster doit avoir une adresse IP publique afin que d'autres services puissent communiquer avec lui.

  • Passerelle NAT : pour vous connecter à un compartiment Amazon S3 dans une autre AWS région ou à un autre service du AWS réseau, configurez une passerelle de traduction d'adresses réseau (NAT), comme décrit dans le guide de l'utilisateur Amazon VPC. Utilisez cette même configuration pour accéder à une instance de l'hôte en dehors du réseau AWS .

Pour plus d'informations, consultez Amélioration du routage VPC dans Amazon Redshift.