RedShift が管理する VPC エンドポイント - Amazon Redshift

RedShift が管理する VPC エンドポイント

デフォルトでは、Amazon Redshift クラスターまたは Amazon Redshift Serverless ワークグループは仮想プライベートクラウド (VPC) 内にプロビジョニングされます。VPC は、パブリックアクセスを許可するか、インターネットゲートウェイ、NAT デバイス、または AWS Direct Connect 接続を設定してトラフィックをクラスターにルーティングすると、別の VPC またはサブネットからアクセスすることができます。また、Redshift 管理の VPC エンドポイント (AWS PrivateLink を使用) を設定して、クラスターまたはワークグループにアクセスすることもできます。

Redshift 管理の VPC エンドポイントは、クラスターまたはワークグループを含む VPC とクライアントツールを実行する VPC 間のプライベート接続としてセットアップすることができます。クラスターまたはワークグループが別のアカウントにある場合、アカウント所有者 (付与者) は、接続するアカウント (被付与者) へのアクセスを許可する必要があります。これにより、パブリック IP アドレスを使用したり、インターネット経由でトラフィックをルーティングしたりすることなく、データウェアハウスにアクセスできます。

Redshift 管理の VPC エンドポイントを使用してアクセスを許可する一般的な理由は次のとおりです。

  • AWS アカウント A が AWS アカウント B の VPC にクラスターまたはワークグループへのアクセスを許可する。

  • AWS アカウント A が AWS アカウント A の VPC にクラスターまたはワークグループへのアクセスを許可する。

  • AWS アカウント A が AWS アカウント A の VPC にある別のサブネットに、クラスターまたはワークグループへのアクセスを許可する。

Redshift 管理の VPC エンドポイントを設定して、別のアカウントのクラスターまたはワークグループにアクセスするためのワークフローは次のとおりです。

  1. 所有者アカウントは、別のアカウントにアクセス許可を付与し、被付与者の AWS アカウント ID と VPC 識別子 (またはすべての VPC) を指定します。

  2. 被付与者アカウントには、Redshift 管理の VPC エンドポイントを作成する権限があることが通知されます。

  3. 被付与者アカウントは、Redshift 管理の VPC エンドポイントを作成します。

  4. 被付与者アカウントは、Redshift 管理の VPC エンドポイントを使用して、所有者アカウントのクラスターまたはワークグループにアクセスできるようになります。

このプロセスは、Amazon Redshift コンソール、AWS CLI、または Amazon Redshift API を使用して実行できます。

Redshift で管理される VPC エンドポイントを使用する場合の考慮事項

注記

RedShift が管理する VPC エンドポイントを作成または変更するには、ec2:ModifyVpcEndpoint マネージドポリシー AmazonRedshiftFullAccess に指定されている他のアクセス許可に加えて、IAM ポリシーに ec2:CreateVpcEndpoint と AWS のアクセス許可が必要です。

Redshift が管理する VPC エンドポイントを使用する場合は、以下に注意してください。

  • プロビジョニングされたクラスターを使用している場合は、RA3 ノードタイプが必要です。Amazon Redshift Serverless ワークグループは、VPC エンドポイントの設定にも機能します。

  • プロビジョニングされたクラスターの場合、クラスターが再配置やマルチ AZ で有効になっていることを確認します。クラスターの再配置を有効にする要件については、「クラスターの再配置」を参照してください。マルチ AZ を有効にする方法については、「新しいクラスターを作成する際のマルチ AZ の設定」を参照してください。

  • セキュリティグループを介してアクセスするクラスターまたはワークグループが、有効なポート範囲 5431~5455 と 8191~8215 で利用できることを確認します。デフォルトは 5439 です。

  • 既存の Redshift で管理される VPC エンドポイントに関連付けられた VPC セキュリティグループを変更できます。他の設定を変更するには、現在の Redshift が管理する VPC エンドポイントを削除し、新しいエンドポイントを作成します。

  • 作成できる Redshift 管理の VPC エンドポイントの数は、VPC エンドポイントのクォータに制限されます。

  • Redshift 管理の VPC エンドポイントには、インターネットからアクセスできません。Redshift 管理の VPC エンドポイントは、エンドポイントがプロビジョニングされている VPC 内か、ルートテーブルとセキュリティグループによって許可されているエンドポイントがプロビジョニングされている VPC とピア接続されている VPC からのみアクセスできます。

  • Amazon VPC コンソールを使用して Redshift 管理の VPC エンドポイントを管理することはできません。

  • プロビジョニングされたクラスターに RedShift 管理の VPC エンドポイントを作成する場合、選択する VPC にはクラスターサブネットグループが必要です。サブネットグループを作成するには、「クラスターサブネットグループの作成」を参照してください。

  • アベイラビリティーゾーンがダウンした場合、Amazon Redshift は、別のアベイラビリティーゾーンに新しい伸縮自在なネットワークインターフェイスを作成しません。この場合は、必要に応じて、新しいエンドポイントを作成します。

クォータと命名規則の詳細については、Amazon Redshift でのクォータと制限 を参照してください。

料金については、「AWS PrivateLink の料金」を参照してください。