Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Connect ke Amazon Redshift menggunakan VPC endpoint antarmuka
Anda dapat terhubung langsung melalui API Amazon Redshift menggunakan VPC endpoint antarmuka (AWS PrivateLink) di virtual private cloud (VPC) alih-alih terhubung melalui internet. Untuk informasi tentang tindakan API Amazon Redshift, lihat Tindakan di Referensi API Amazon Redshift. Untuk informasi selengkapnyaAWS PrivateLink, lihat VPC endpoint antarmuka (AWS PrivateLink) dalam Panduan Pengguna Amazon VPC. Perhatikan bahwa koneksi JDBC/ODBC ke klaster bukan bagian dari layanan Amazon Redshift API.
Saat Anda menggunakan VPC endpoint antarmuka, komunikasi antara VPC dan Amazon Redshift dilakukan sepenuhnya dalamAWS jaringan, yang dapat memberikan keamanan yang lebih besar. Masing-masing VPC endpoint diwakili oleh satu antarmuka jaringan elastis dengan alamat IP privat di subnet VPC Anda. Untuk informasi selengkapnya terkait antarmuka jaringan elastis, lihat Antarmuka jaringan elastis dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.
Endpoint VPC antarmuka menghubungkan VPC Anda langsung ke Amazon Redshift. Ini tidak menggunakan gateway internet, perangkat terjemahan alamat jaringan (NAT), koneksi jaringan pribadi (VPN), atauAWS Direct Connect koneksi. Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan API Amazon Redshift.
Untuk menggunakan Amazon Redshift melalui VPC Anda, Anda memiliki dua opsi. Salah satunya adalah connect dari instans yang ada di dalam VPC Anda. Yang lain adalah menghubungkan jaringan privat Anda ke VPC Anda dengan menggunakanAWS VPN opsi atauAWS Direct Connect. Untuk informasi selengkapnya tentangAWS VPN opsi, lihat Koneksi VPN di Panduan Pengguna Amazon VPC. Untuk informasi tentang AWS Direct Connect, lihat Membuat hubungan di Panduan Pengguna AWS Direct Connect.
Anda dapat membuat antarmuka VPC endpoint untuk terhubung ke Amazon Redshift menggunakan perintahAWS Management Console atauAWS Command Line Interface (AWS CLI). Untuk informasi selengkapnya, lihat Membuat Titik Akhir Antarmuka.
Setelah Anda membuat antarmuka VPC endpoint, Anda dapat mengaktifkan nama host DNS privat untuk titik akhir. Saat Anda melakukannya, endpoint (https://redshift.
) Amazon Redshift default akan teratasi ke titik akhir VPC Anda.
.amazonaws.comRegion
Jika Anda tidak mengaktifkan nama host DNS privat, Amazon VPC menyediakan nama titik akhir DNS yang dapat Anda gunakan dalam format berikut.
VPC_endpoint_ID
.redshift.Region
.vpce.amazonaws.com
Untuk informasi selengkapnya, lihat Antarmuka VPC endpoint (AWS PrivateLink) dalam Panduan Pengguna Amazon VPC.
Amazon Redshift mendukung panggilan ke semua operasi API-nya di dalam VPC Anda.
Anda dapat melampirkan kebijakan VPC endpoint ke VPC endpoint untuk mengontrol akses untuk prinsipalAWS Identity and Access Management (IAM). Anda juga dapat menghubungkan grup keamanan dengan VPC endpoint untuk mengontrol akses masuk dan keluar berdasarkan asal dan tujuan lalu lintas jaringan. Contohnya adalah serangkaian alamat IP. Untuk informasi selengkapnya, lihat Mengendalikan Akses ke Layanan dengan VPC Endpoint dalam Panduan Pengguna Amazon VPC.
Membuat kebijakan VPC endpoint untuk Amazon Redshift
Anda dapat membuat kebijakan untuk VPC endpoint untuk Amazon Redshift guna menentukan hal-hal berikut:
Prinsip-prinsip yang dapat atau tidak dapat melakukan tindakan
Tindakan yang dapat dilakukan
Sumber daya yang dapat digunakan untuk mengambil tindakan
Untuk informasi selengkapnya, lihat Mengendalikan akses ke layanan dengan VPC endpoint di Panduan Pengguna Amazon VPC.
Berikut ini, Anda dapat menemukan contoh kebijakan VPC endpoint.
Topik
- Contoh: Kebijakan VPC endpoint untuk tolak semua akses dariAWS akun tertentu
- Contoh: Kebijakan VPC endpoint untuk mengizinkan akses VPC hanya ke peran IAM tertentu
- Contoh: Kebijakan VPC endpoint untuk mengizinkan akses VPC hanya ke utama IAM tertentu (pengguna)
- Contoh: Kebijakan VPC endpoint untuk mengizinkan operasi Amazon Redshift hanya-baca
- Contoh: Kebijakan VPC endpoint menolak akses ke klaster tertentu
Contoh: Kebijakan VPC endpoint untuk tolak semua akses dariAWS akun tertentu
Kebijakan VPC endpoint berikut menolak
semua aksesAWS akun ke sumber daya menggunakan titik akhir ini.123456789012
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Contoh: Kebijakan VPC endpoint untuk mengizinkan akses VPC hanya ke peran IAM tertentu
Kebijakan VPC endpoint berikut memungkinkan akses penuh hanya ke peran IAM
diAWS akun redshiftrole
123456789012
. Semua prinsipal IAM lain ditolak aksesnya menggunakan titik akhir.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:role/redshiftrole" ] } }] }
Ini hanya sampel. Dalam kebanyakan kasus penggunaan, kami sarankan melampirkan izin untuk tindakan tertentu untuk mempersempit ruang lingkup izin.
Contoh: Kebijakan VPC endpoint untuk mengizinkan akses VPC hanya ke utama IAM tertentu (pengguna)
Kebijakan VPC endpoint berikut memungkinkan akses penuh hanya ke pengguna IAM
diAWS akun redshiftadmin
123456789012
. Semua prinsipal IAM lain ditolak aksesnya menggunakan titik akhir.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/redshiftadmin" ] } }] }
Ini hanya sampel. Dalam kebanyakan kasus penggunaan, kami sarankan untuk melampirkan izin ke peran sebelum menetapkan ke pengguna. Selain itu, sebaiknya gunakan tindakan khusus untuk mempersempit cakupan izin.
Contoh: Kebijakan VPC endpoint untuk mengizinkan operasi Amazon Redshift hanya-baca
Kebijakan VPC endpoint berikut hanya mengizinkanAWS akun
untuk melakukan tindakan Amazon Redshift tertentu. 123456789012
Tindakan yang ditentukan memberikan setara dengan akses hanya-baca untuk Amazon Redshift. Semua tindakan lain pada VPC ditolak untuk akun yang ditentukan. Juga, semua akun lain ditolak akses apa pun. Untuk daftar tindakan Amazon Redshift, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon Redshift dalam Panduan Pengguna IAM.
{ "Statement": [ { "Action": [ "redshift:DescribeAccountAttributes", "redshift:DescribeClusterParameterGroups", "redshift:DescribeClusterParameters", "redshift:DescribeClusterSecurityGroups", "redshift:DescribeClusterSnapshots", "redshift:DescribeClusterSubnetGroups", "redshift:DescribeClusterVersions", "redshift:DescribeDefaultClusterParameters", "redshift:DescribeEventCategories", "redshift:DescribeEventSubscriptions", "redshift:DescribeHsmClientCertificates", "redshift:DescribeHsmConfigurations", "redshift:DescribeLoggingStatus", "redshift:DescribeOrderableClusterOptions", "redshift:DescribeQuery", "redshift:DescribeReservedNodeOfferings", "redshift:DescribeReservedNodes", "redshift:DescribeResize", "redshift:DescribeSavedQueries", "redshift:DescribeScheduledActions", "redshift:DescribeSnapshotCopyGrants", "redshift:DescribeSnapshotSchedules", "redshift:DescribeStorage", "redshift:DescribeTable", "redshift:DescribeTableRestoreStatus", "redshift:DescribeTags", "redshift:FetchResults", "redshift:GetReservedNodeExchangeOfferings" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Contoh: Kebijakan VPC endpoint menolak akses ke klaster tertentu
Kebijakan endpoint VPC berikut memungkinkan akses penuh untuk semua akun dan prinsipal. Pada saat yang sama, ia menolak akses apa pun untukAWS akun
terhadap tindakan yang dilakukan pada klaster Amazon Redshift dengan ID klaster123456789012
. Tindakan Amazon Redshift lain yang tidak support izin tingkat sumber daya untuk klaster masih diizinkan. Untuk daftar tindakan Amazon Redshift dan jenis sumber daya terkait, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon Redshift dalam Panduan Pengguna IAM. my-redshift-cluster
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster", "Principal": { "AWS": [ "123456789012" ] } } ] }