Amazon Redshift クラスターセキュリティグループ - Amazon Redshift

Amazon Redshift クラスターセキュリティグループ

Amazon Redshift クラスターをプロビジョニングすると、デフォルトではロックされているため、誰もアクセスすることはできません。他のユーザーに Amazon Redshift クラスターへのインバウンドアクセスを許可するには、クラスターをセキュリティグループに関連付けます。EC2-VPC プラットフォームを使用する場合は、既存の Amazon VPC セキュリティグループを使用するか、新しいグループを定義してクラスターに関連付けることができます。EC2-VPC プラットフォームでのクラスターの管理の詳細については、「VPC でクラスターを管理する」を参照してください。

EC2-Classic プラットフォームを使用する場合は、後のセクションで示すようにクラスターセキュリティグループを定義してクラスターに関連付けます。クラスターは、EC2-Classic プラットフォームではなく EC2-VPC プラットフォームで起動することをお勧めします。ただし、Amazon Redshift コンソールを使用して EC2-Classic スナップショットを EC2-VPC クラスターに復元できます。詳細については、スナップショットからのクラスターの復元 を参照してください。

Overview

クラスターセキュリティグループは、クラスターへのアクセスを制御するルールセットで構成されます。個々のルールは、IP アドレスの範囲またはクラスターへのアクセスが許可されている Amazon EC2 セキュリティグループを識別します。クラスターセキュリティグループをクラスターに関連付けると、クラスターセキュリティグループで定義されているルールがクラスターへのアクセスを制御します。

クラスターのプロビジョニングとは関係なくクラスターセキュリティグループを作成できます。クラスターをプロビジョニングするとき、またはその後のどちらでも、クラスターセキュリティグループを Amazon Redshift クラスターと関連付けることができます。また、クラスターセキュリティグループを複数のクラスターに関連付けることもできます。

Amazon Redshift では、最初のクラスターを起動すると、default と呼ばれるクラスターセキュリティグループが自動的に作成されます。初期状態では、このクラスターセキュリティグループは空です。インバウンドアクセスルールをデフォルトのクラスターセキュリティグループに追加し、それを Amazon Redshift クラスターに関連付けることができます。

デフォルトのクラスターセキュリティグループだけで十分であれば、独自のグループを作成する必要はありません。しかし、クラスターへのインバウンドアクセスをより効果的に管理するために独自のクラスターセキュリティグループを作成することもできます。たとえば、Amazon Redshift クラスターでサービスを実行していて、数社のお客様がいると仮定します。すべての顧客に同じアクセス権を与えたくない場合は、会社ごとに 1 つのクラスターセキュリティグループを作成することをお勧めします。会社に固有の Amazon EC2 セキュリティグループと IP アドレス範囲を識別するため、各クラスターセキュリティグループにルールを追加できます。その後、これらすべてのクラスターセキュリティグループをクラスターに関連付けることができます。

1 つのクラスターセキュリティグループを複数のクラスターと関連付けたり、複数のクラスターセキュリティグループを 1 つのクラスターと関連付けできます。ただし、AWS のサービスの制限によります。詳細については、「Amazon Redshift における制限」を参照してください。

Amazon Redshift コンソールを使用してクラスターセキュリティグループを管理したり、Amazon Redshift API または AWS SDK を使用してプログラムでクラスターセキュリティグループを管理できます。

Amazon Redshift では、クラスターセキュリティグループへの変更は直ちに適用されます。そのため、クラスターセキュリティグループがクラスターに関連付けられていると、更新されたクラスターセキュリティグループのインバウンドクラスターアクセスルールも直ちに適用されます。