Trabalhando com endpoints da VPC gerenciados por Redshift

Por padrão, um cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor é provisionado em uma nuvem privada virtual (VPC). A VPC pode ser acessada por meio de outra VPC ou sub-rede quando você permite acesso público ou configura um gateway da internet, um dispositivo NAT ou uma conexão do AWS Direct Connect para rotear o tráfego para ela. Ou você pode acessar um cluster ou grupo de trabalho configurando um endpoint da VPC gerenciado pelo Redshift (habilitado pelo AWS PrivateLink).

É possível configurar um endpoint da VPC gerenciado pelo Redshift como uma conexão privada entre uma VPC que contém um cluster ou grupo de trabalho e uma VPC em que uma ferramenta cliente está sendo executada. Se o cluster ou grupo de trabalho estiver em outra conta, o proprietário da conta (concessor) precisará conceder acesso à conta que está estabelecendo conexão (favorecida). Com essa abordagem, você pode acessar o data warehouse sem usar um endereço IP público ou rotear tráfego pela internet.

Estes são os motivos comuns para permitir o acesso usando um endpoint da VPC gerenciado pelo Redshift:

• Uma conta A da AWS deseja permitir que uma VPC em uma conta B da AWS tenha acesso a um cluster ou grupo de trabalho.

• Uma conta A da AWS deseja permitir que uma VPC que também está na conta A da AWS tenha acesso a um cluster ou grupo de trabalho.

• A conta A da AWS deseja permitir que uma sub-rede diferente na VPC dentro da conta A da AWS tenha acesso a um cluster ou grupo de trabalho.

O fluxo de trabalho para configurar um endpoint da VPC gerenciado pelo Redshift para acessar um cluster ou grupo de trabalho em outra conta é o seguinte:

1. A conta de proprietário concede autorização de acesso a outra conta e especifica o ID da conta da AWS e o identificador da VPC (ou de todas as VPCs) do favorecido.

2. A conta do favorecido é notificada de que eles têm permissão para criar um endpoint da VPC gerenciado por Redshift.

3. A conta do favorecido cria um endpoint da VPC gerenciado por Redshift.

4. A conta do favorecido acessa o cluster ou grupo de trabalho da conta do proprietário usando o endpoint da VPC gerenciado pelo Redshift.

Você pode fazer isso usando o console do Amazon Redshift, a AWS CLI ou a API do Amazon Redshift.

Considerações ao usar endpoints da VPC gerenciados por Redshift

nota

Para criar ou modificar endpoints da gerenciados pelo Redshift, você precisa da permissão ec2:CreateVpcEndpoint ou ec2:ModifyVpcEndpoint na política do IAM, além de outras permissões especificadas na política AmazonRedshiftFullAccess gerenciada pela AWS.

Ao usar endpoints da VPC gerenciados pelo Redshift, lembre-se do seguinte:

• Certifique-se de que o cluster a ser acessado é um tipo de nó RA3. Um grupo de trabalho do Amazon Redshift sem servidor também trabalha para isso.

• Para clusters provisionados, o cluster a ser acessado dever ter a realocação de cluster ativada. Para obter informações sobre os requisitos para ativar a realocação de cluster, consulte Realocar um cluster.

• Verifique se o cluster ou grupo de trabalho a ser acessado por meio do respectivo grupo de segurança está disponível nos intervalos de portas válidos 5431-5455 e 8191-8215. O padrão é 5439.

• Você pode modificar os grupos de segurança da VPC associados a um endpoint da VPC gerenciado por Redshift existente. Para modificar outras configurações, exclua o endpoint da VPC gerenciado pelo Redshift atual e crie um novo.

• O número de endpoints da VPC gerenciados por Redshift que você pode criar está limitado à cota de endpoint da VPC.

• Os endpoints da VPC gerenciados por Redshift não são acessíveis pela Internet. Um endpoint da VPC gerenciado pelo Redshift é acessível somente dentro da VPC em que o endpoint é provisionado ou de qualquer VPC emparelhada com a VPC em que o endpoint é provisionado conforme permitido pelas tabelas de rotas e pelos grupos de segurança.

• Você não pode usar o console da Amazon VPC para gerenciar endpoints da VPC gerenciados pelo Redshift.

• Quando você cria um endpoint da VPC gerenciado pelo Redshift para um cluster provisionado, a VPC escolhida deve ter um grupo de sub-redes. Para criar um grupo de sub-redes, consulte Gerenciamento de grupos de sub-redes de cluster usando o console.

Para obter informações sobre cotas e restrições de nomeação, consulte Cotas e limites no Amazon Redshift.

Para obter mais informações sobre preços, consulte Preços do AWS PrivateLink.

Gerenciar endpoints da VPC gerenciados pelo Redshift usando o console

Você pode configurar o uso de endpoints da VPC gerenciados por Redshift usando o console do Amazon Redshift.

Como conceder acesso ao

Se a VPC pela qual você deseja acessar seu cluster ou grupo de trabalho estiver em outra conta da AWS, você deve autorizá-la por meio da conta do proprietário (concessor).

Como permitir que uma VPC em outra conta da AWS tenha acesso ao seu cluster ou grupo de trabalho

1. Faça login no AWS Management Console e abra o console do Amazon Redshift em https://console.aws.amazon.com/redshiftv2/.

2. No menu de navegação, escolha Clusters. Para o Amazon Redshift sem servidor, escolha Painel da tecnologia sem servidor.

3. Para um cluster ao qual você deseja permitir acesso, visualize os detalhes escolhendo o nome do cluster. Escolha a guia Propriedades do cluster.

   A seção Contas concedidas exibe as contas e as VPCs correspondentes que têm acesso ao cluster. Para um grupo de trabalho do Amazon Redshift sem servidor, escolha o grupo de trabalho. As contas concedidas estão disponíveis na guia Acesso a dados.

4. Selecione Conceder acesso para exibir um formulário para inserir Informações do favorecido para adicionar uma conta.

5. Para o ID da conta da AWS, insira o ID da conta que você está concedendo acesso. Você pode conceder acesso a VPCs específicas ou a todas as VPCs na conta especificada.

6. Selecione Conceder acesso para conceder acesso.

Criar um endpoint da VPC gerenciado por Redshift

Se você possui um cluster ou grupo de trabalho ou recebeu acesso para gerenciá-lo, poderá criar um endpoint da VPC gerenciado pelo Redshift para ele.

Para criar um endpoint da VPC gerenciado por Redshift

1. Faça login no AWS Management Console e abra o console do Amazon Redshift em https://console.aws.amazon.com/redshiftv2/.

2. No menu de navegação, escolha Configurations (Configurações).

   A página Configurações exibe os endpoints da VPC gerenciados por Redshift que foram criados. Para exibir detalhes de um endpoint, escolha seu nome. Para o Amazon Redshift sem servidor, os endpoints da VPC estão na guia Acesso a dados quando você escolhe o grupo de trabalho.

3. Selecione Criar endpoint para exibir um formulário para inserir informações sobre o endpoint a ser adicionado.

4. Insira valores para Nome do endpoint, AWSID da conta de 12 dígitos, Nuvem privada virtual (VPC) em que o endpoint está localizado, Sub-rede e Grupo de segurança da VPC.

   A sub-rede em Sub-rede define as sub-redes e os endereços IP em que o Amazon Redshift implanta o endpoint. O Amazon Redshift escolhe uma sub-rede que tenha endereços IP disponíveis para a interface de rede associada ao endpoint.

   As regras de grupo de segurança em Grupo de segurança da VPC definem portas, protocolos e fontes para o tráfego de entrada que você está autorizando para o endpoint. O acesso à porta selecionada é permitido por meio do grupo de segurança ou do intervalo CIDR em que as workloads são executadas.

5. Selecione Criar endpoint para criar o endpoint.

Depois que o endpoint for criado, você poderá acessar o cluster ou grupo de trabalho por meio do URL mostrado em URL do endpoint nas definições de configuração para o endpoint da VPC gerenciado pelo Redshift.

Gerenciar endpoints da VPC gerenciados por Redshift usando a AWS CLI

Você pode usar as seguintes operações da CLI do Amazon Redshift para trabalhar com endpoints da VPC gerenciados por Redshift. Para obter mais informações, consulte Referência de comandos da AWS CLI.

• authorize-endpoint-access

• revoke-endpoint-access

• create-endpoint-access

• modify-endpoint-access

• delete-endpoint-access

• describe-endpoint-access

• describe-endpoint-authorization

Gerenciar endpoints da VPC gerenciados por Redshift usando operações de API do Amazon Redshift

Você pode usar as seguintes operações de API do Amazon Redshift para trabalhar com endpoints da VPC gerenciados por Redshift. Para obter mais informações, consulte a Referência de API do Amazon Redshift.

• AuthorizeEndpointAccess

• RevokeEndpointAccess

• CreateEndpointAccess

• ModifyEndpointAccess

• DeleteEndpointAccess

• DescribeEndpointAccess

• DescribeEndpointAuthorization

Gerenciamento de endpoints da VPC gerenciados por Redshift usando o AWS CloudFormation

Para obter informações sobre o tipo de recurso do AWS CloudFormation para criar um endpoint da VPC gerenciado pelo Redshift usando AWS CloudFormation, consulte AWS::Redshift::EndpointAccess no Guia do usuário do AWS CloudFormation.