Amazon Redshift 클러스터에 대한 보안 그룹 통신 설정 구성 또는 Amazon Redshift Serverless 작업 그룹 - Amazon Redshift

Amazon Redshift 클러스터에 대한 보안 그룹 통신 설정 구성 또는 Amazon Redshift Serverless 작업 그룹

이 주제는 네트워크 트래픽을 적절하게 라우팅하고 수신하도록 보안 그룹을 구성하는 데 도움이 됩니다. 다음은 몇 가지 일반적인 사용 사례입니다.

  • Amazon Redshift 클러스터 또는 Amazon Redshift Serverless 작업 그룹에 대해 퍼블릭 액세스를 활성화했지만 트래픽이 수신되지 않는 경우. 이런 경우 인터넷에서 트래픽이 클러스터에 도달할 수 있도록 인바운드 규칙을 구성해야 합니다.

  • 클러스터 또는 작업 그룹에 공개적으로 액세스할 수 없으며 인바운드 트래픽을 허용하기 위해 Redshift의 사전 구성된 기본 VPC 보안 그룹을 사용하는 경우. 하지만 기본값 이외의 보안 그룹을 사용해야 하는 요구 사항이 있으며 이 사용자 지정 보안 그룹은 인바운드 트래픽을 허용하지 않는 경우. 통신을 허용하도록 구성해야 합니다.

다음 섹션에서는 각 사용 사례에 대한 올바른 응답을 선택하고 요구 사항에 따라 네트워크 트래픽을 구성하는 방법을 보여 줍니다. 선택적으로 이 단계를 사용하여 다른 프라이빗 보안 그룹으로부터의 통신을 설정할 수 있습니다.

참고

대부분의 경우 네트워크 트래픽 설정은 Amazon Redshift에서 자동으로 구성되지 않습니다. 이는 트래픽 소스가 인터넷인지 프라이빗 보안 그룹인지에 따라 세부적인 수준에서 달라질 수 있고 보안 요구 사항이 다양하기 때문입니다.

기본 또는 사용자 지정 보안 그룹 구성을 통한 퍼블릭 액세스 가능성

클러스터 또는 작업 그룹을 만들고 있거나 이미 있는 경우 다음 구성 단계를 수행하여 퍼블릭 액세스를 허용하세요. 이는 기본 보안 그룹을 선택하는 경우와 사용자 지정 보안 그룹을 선택하는 경우 모두에 적용됩니다.

  1. 네트워크 설정을 찾는 방법:

    • 프로비저닝된 Amazon Redshift 클러스터의 경우 속성 탭을 선택한 다음 네트워크 및 보안 설정에서 클러스터의 VPC를 선택합니다.

    • Amazon Redshift Serverless 작업 그룹의 경우 작업 그룹 구성을 선택합니다. 목록에서 작업 그룹을 선택합니다. 데이터 액세스네트워크 및 보안 패널에서 편집을 선택합니다.

  2. VPC의 인터넷 게이트웨이 및 라우팅 테이블을 구성합니다. VPC를 이름으로 선택하여 구성을 시작합니다. 그러면 VPC 대시보드가 열립니다. 인터넷에서 퍼블릭 액세스가 가능한 클러스터 또는 작업 그룹에 연결하려면 인터넷 게이트웨이를 라우팅 테이블에 연결해야 합니다. VPC 대시보드에서 라우팅 테이블을 선택하여 이를 구성할 수 있습니다. 인터넷 게이트웨이의 대상이 소스 0.0.0.0/0 또는 퍼블릭 IP CIDR로 설정되어 있는지 확인합니다. 라우팅 테이블은 클러스터가 상주하는 VPC와 연결되어야 합니다. 여기에 설명된 것과 같이 VPC의 인터넷 액세스 설정에 대한 자세한 내용은 Amazon VPC 설명서에서 인터넷 액세스 활성화를 참조하세요. 라우팅 테이블 구성에 대한 자세한 내용은 라우팅 테이블 구성을 참조하세요.

  3. 인터넷 게이트웨이 및 라우팅 테이블을 구성한 후 Redshift의 네트워크 설정으로 돌아가세요. 보안 그룹을 선택한 다음 인바운드 규칙을 선택하여 인바운드 액세스를 엽니다. 인바운드 규칙 편집을 선택합니다.

  4. 요구 사항에 따라 인바운드 규칙의 프로토콜 및 포트를 선택하여 클라이언트의 트래픽을 허용합니다. RA3 클러스터의 경우 5431~5455 또는 8191~8215 범위 내의 포트를 선택하세요. 작업을 마쳤으면 각 규칙을 저장합니다.

  5. 퍼블릭 액세스 가능 설정을 편집하여 활성화합니다. 클러스터 또는 작업 그룹의 작업 메뉴에서 이 작업을 수행할 수 있습니다.

퍼블릭 액세스 가능 설정을 켜면 Redshift가 탄력적 IP 주소를 생성합니다. 이는 AWS 계정과 연결되는 고정 IP 주소입니다. VPC 외부의 클라이언트는 이를 사용하여 연결할 수 있습니다.

보안 그룹 구성에 대한 자세한 내용은 Amazon Redshift 클러스터 보안 그룹을 참조하세요.

클라이언트와 연결하여 규칙을 테스트할 수 있습니다. Amazon Redshift Serverless에 연결하는 경우 다음 작업을 수행하세요. 네트워크 구성을 완료한 후 Amazon Redshift RSQL과 같은 클라이언트 도구를 사용하여 연결합니다. Amazon Redshift Serverless 도메인을 호스트로 사용하여 다음을 입력합니다.

rsql -h workgroup-name.account-id.region.amazonaws.com -U admin -d dev -p 5439

기본 또는 사용자 지정 보안 그룹 구성을 통한 프라이빗 액세스 가능성

인터넷을 통해 클러스터 또는 작업 그룹과 통신하지 않는 경우 프라이빗 액세스가 가능하다고 합니다. 보안 그룹을 만들 때 기본 보안 그룹을 선택한 경우 보안 그룹에는 다음과 같은 기본 통신 규칙이 포함됩니다.

  • 이 보안 그룹에 할당된 모든 리소스로부터의 인바운드 트래픽을 허용하는 인바운드 규칙

  • 모든 아웃바운드 트래픽을 허용하는 아웃바운드 규칙. 이 규칙의 대상은 0.0.0.0/0입니다. Classless Inter-Domain Routing(CIDR) 표기법에서는 가능한 모든 IP 주소를 나타냅니다.

클러스터나 작업 그룹의 보안 그룹을 선택하여 콘솔에서 규칙을 볼 수 있습니다.

클러스터나 작업 그룹 및 클라이언트가 모두 기본 보안 그룹을 사용하는 경우 네트워크 트래픽을 허용하는 데 추가 구성이 필요하지 않습니다. 그러나 Redshift 또는 클라이언트의 기본 보안 그룹에서 규칙을 삭제하거나 변경하면 추가 구성이 필요해집니다. 이 경우 인바운드 및 아웃바운드 통신을 허용하도록 규칙을 구성해야 합니다. 다음은 일반적인 보안 그룹 구성입니다.

  • 클라이언트 Amazon EC2 인스턴스의 경우:

    • 클라이언트의 IP 주소를 허용하는 인바운드 규칙

    • Redshift 사용을 위해 제공된 모든 서브넷의 IP 주소 범위(CIDR 블록)를 허용하는 아웃바운드 규칙. 아니면 모든 IP 주소 범위인 0.0.0.0/0을 지정해도 됩니다.

  • Redshift 클러스터 또는 작업 그룹의 경우:

    • 클라이언트 보안 그룹을 허용하는 인바운드 규칙

    • 0.0.0.0/0으로의 트래픽을 허용하는 아웃바운드 규칙. 일반적으로 이 아웃바운드 규칙은 모든 아웃바운드 트래픽을 허용합니다. 선택적으로 아웃바운드 규칙을 추가하여 클라이언트 보안 그룹에 대한 트래픽을 허용할 수 있습니다. 이 경우에는 각 요청에 대한 응답 트래픽이 인스턴스에 도달하도록 허용되므로 아웃바운드 규칙이 항상 필요한 것은 아닙니다. 요청 및 응답 동작에 대한 자세한 내용은 Amazon VPC 사용 설명서의 보안 그룹을 참조하세요.

Redshift 사용을 위해 지정된 서브넷 또는 보안 그룹의 구성을 변경하는 경우 통신을 계속 유지하기 위해 트래픽 규칙을 적절히 변경해야 할 수 있습니다. 인바운드 및 아웃바운드 규칙 생성에 대한 자세한 내용은 Amazon VPC 사용 설명서의 VPC CIDR 블록을 참조하세요. 클라이언트에서 Amazon Redshift에 연결하는 방법에 대한 자세한 내용은 Amazon Redshift에서 연결 구성을 참조하세요.