Amazon Redshift での Redshift 管理の VPC エンドポイントの操作 - Amazon Redshift

Amazon Redshift での Redshift 管理の VPC エンドポイントの操作

デフォルトでは、Amazon Redshift クラスターはVirtual Private Cloud (VPC) 内にプロビジョニングされます。パブリックアクセスを許可するか、インターネットゲートウェイ、NAT デバイス、または AWS Direct Connect 接続を設定してトラフィックをクラスターにルーティングする場合、別の VPC またはサブネットからアクセスすることができます。または、RedShift で管理される VPC エンドポイント ( AWS PrivateLink を使用) を設定して、クラスターにアクセスすることもできます。

RedShift で管理される VPC エンドポイントは、クラスターを含む VPC とクライアントツールを実行する VPC 間のプライベート接続としてセットアップします。クラスターが別のアカウントにある場合、アカウント所有者 (被付与者) は、接続を確立するアカウント (被付与者) へのアクセスを許可する必要があります。この方法では、パブリック IP アドレスを使用したり、インターネット経由でトラフィックをルーティングしたりすることなく、データウェアハウスにアクセスできます。

以下のシナリオでは、RedShift で管理される VPC エンドポイントを使用してクラスターへのアクセスを許可する一般的な理由について説明します。

  • AWS アカウント A で、AWS アカウント B の VPC にクラスターへのアクセスを許可したいとします。

  • AWS アカウント A で、同様に AWS アカウント A にある VPC にクラスターへのアクセスを許可したいとします。

  • AWS アカウント A で、AWS アカウント A 内のクラスターの VPC にある別のサブネットに、クラスターへのアクセスを許可したいとします。

RedShift で管理される VPC エンドポイントを設定して、別のアカウントのクラスターにアクセスするための一般的なワークフローは次のとおりです。

  1. クラスターの所有者アカウントは、別のアカウントにアクセス許可を付与し、被付与者の AWS アカウント ID と VPC 識別子 (またはすべての VPC) を指定します。

  2. 被付与者アカウントには、RedShift で管理される VPC エンドポイントを作成する権限があることが通知されます。

  3. 被付与者アカウントは、RedShift 管理の VPC エンドポイントを作成します。

  4. 被付与者アカウントは、RedShift が管理する VPC エンドポイントを使用して、所有者アカウントのクラスターにアクセスできるようになりました。

このプロセスは、Amazon Redshift コンソール、AWS CLI、または Amazon Redshift API を使用して管理できます。

RedShift で管理される VPC エンドポイントを使用する場合の考慮事項

RedShift で管理される VPC エンドポイントを使用する場合は、以下に注意してください。

  • アクセスするクラスターが RA3 ノードタイプであることを確認します。

  • アクセスするクラスターで、クラスターの再配置がオンになっていることを確認します。クラスターの再配置を有効にする要件については、「Amazon Redshift でのクラスター再配置の管理」を参照してください。

  • アクセスするクラスターがポート 5439 を介して利用可能であることを確認します。

  • 既存の RedShift で管理される VPC エンドポイントに関連付けられた VPC セキュリティグループを変更できます。他の設定を変更するには、現在の RedShift が管理する VPC エンドポイントを削除し、新しいエンドポイントを作成します。

  • 作成できる RedShift 管理の VPC エンドポイントの数は、VPC エンドポイントのクォータに制限されます。

  • RedShift で管理される VPC エンドポイントには、インターネットからアクセスできません。RedShift で管理される VPC エンドポイントは、エンドポイントがプロビジョニングされている VPC 内か、ルートテーブルとセキュリティグループによって許可されているエンドポイントがプロビジョニングされている VPC とピア接続されている VPC 内でのみアクセスできます。

  • Amazon VPC コンソールを使用して RedShift が管理する VPC エンドポイントを管理することはできません。

クォータと命名規則の詳細については、Amazon Redshift でのクォータと制限 を参照してください。

料金については、「 AWS PrivateLink の料金」を参照してください。

Amazon Redshift コンソールを使用した Redshift 管理の VPC エンドポイントの管理

Amazon Redshift コンソールを使用して、Redshift で管理される VPC エンドポイントの使用を設定できます。

すべてのクラスターへのアクセスの許可

クラスターにアクセスする VPC が別の AWS アカウントにある場合は、必ず所有者 (付与者の) アカウントから許可してください。

別の AWS アカウント内の VPC にクラスターへのアクセスを許可するには

  1. AWS Management Console にサインインして、 https://console.aws.amazon.com/redshift/で Amazon Redshift コンソールを開きます。

  2. ナビゲーションペインで [Clusters] を選択します。

  3. アクセスを許可するクラスターについて、クラスター名を選択してクラスターの詳細を表示します。クラスターの [Properties (プロパティ)] タブを選択します。

    [Granted accounts (付与されたアカウント)] セクションには、クラスターにアクセスできるアカウントと対応する VPC が表示されます。

  4. アカウントを追加するために被付与者情報を入力するフォームを表示するには、[Grant access (アクセスの許可)] を選択します。

  5. AWS アカウント ID に、アクセスを許可するアカウントの ID を入力します。特定のアカウント内の特定の VPC またはすべての VPC へのアクセス権を付与できます。

  6. アクセスを許可するには、[Grant access (アクセスの許可)] を選択します。

RedShift で管理される VPC エンドポイントの作成

クラスターを所有している場合、またはクラスターへのアクセス権が付与されている場合は、そのクラスターの RedShift 管理の VPC エンドポイントを作成できます。

RedShift で管理される VPC エンドポイントを作成するには

  1. AWS Management Console にサインインして、 https://console.aws.amazon.com/redshift/で Amazon Redshift コンソールを開きます。

  2. ナビゲーションペインで、[Configuration] を選択します。

    [Configurations (設定)] ページには、作成された RedShift 管理の VPC エンドポイントが表示されます。エンドポイントの詳細を表示するには、その名前を選択します。

  3. [Create endpoint (エンドポイントの作成)] を選択して、追加するエンドポイントに関する情報を入力するためのフォームを表示します。

  4. エンドポイント名AWS アカウント IDクラスター識別子仮想プライベートクラウド (VPC)サブネットグループ、およびエンドポイントの他のプロパティの値を入力します。

    [Subnet group (サブネットグループ)] のサブネットグループは、Amazon Redshift がエンドポイントをデプロイするサブネットと IP アドレスを定義します。Amazon Redshift は、エンドポイントに関連付けられたネットワークインターフェイスで使用可能な IP アドレスを持つサブネットを選択します。

    [Security group (セキュリティグループ)] でオプションのセキュリティグループは、エンドポイントに対して承認するインバウンドトラフィックのポート、プロトコル、およびソースを定義します。通常、ポート 5439 へのアクセスをセキュリティグループまたはワークロードが実行される CIDR 範囲に許可します。

  5. [Create endpoint (エンドポイントの作成)] を選択して、エンドポイントを作成します。

エンドポイントが作成されたら、エンドポイント URLを、RedShift で管理される VPC エンドポイントの設定で設定します。

AWS CLI を使用して RedShift 管理の VPC エンドポイントを管理する

以下の Amazon Redshift CLI オペレーションを使用して、Redshift が管理する VPC エンドポイントを操作できます。詳細については、AWS CLI コマンドリファレンスを参照してください。

Amazon Redshift API オペレーションを使用した Redshift 管理の VPC エンドポイントの管理

以下の Amazon Redshift API オペレーションを使用して、Redshift が管理する VPC エンドポイントを操作できます。詳細については、Amazon Redshift API リファレンスを参照してください。