Definir as configurações de comunicação do grupo de segurança para um cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor - Amazon Redshift
Acessibilidade pública com configuração de grupo de segurança padrão ou personalizadoAcessibilidade privada com configuração de grupo de segurança padrão ou personalizado

Definir as configurações de comunicação do grupo de segurança para um cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor

Este tópico ajuda você a configurar grupos de segurança para rotear e receber o tráfego de rede adequadamente. Veja abaixo alguns casos de uso comuns:

  • Você ativa a acessibilidade pública para um cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshfit sem servidor, mas ele não está recebendo tráfego. Para isso, é necessário configurar uma regra de entrada para permitir que o tráfego chegue pela internet.

  • O cluster ou o grupo de trabalho não está acessível ao público e você usa o grupo de segurança da VPC padrão pré-configurado do Redshift a fim de permitir tráfego de entrada. No entanto, você precisa usar um grupo de segurança diferente do padrão, e esse grupo de segurança personalizado não permite tráfego de entrada. É necessário configurá-lo para permitir a comunicação.

As seções a seguir ajudam você a escolher a resposta correta para cada caso de uso e mostra como configurar o tráfego de rede de acordo com seus requisitos. Opcionalmente, você pode usar as etapas para configurar a comunicação de outros grupos de segurança privados.

nota

Na maioria dos casos, as configurações de tráfego de rede não são definidas automaticamente no Amazon Redshift. Isso ocorre porque eles podem variar consideravelmente, dependendo se a origem do tráfego é a internet ou um grupo de segurança privado, e porque os requisitos de segurança variam.

Acessibilidade pública com configuração de grupo de segurança padrão ou personalizado

Se você estiver criando ou já tiver um cluster ou grupo de trabalho, execute as etapas de configuração a seguir para torná-lo acessível ao público. Isso se aplica tanto quando você escolhe o grupo de segurança padrão quanto um grupo de segurança personalizado:

  1. Encontre as configurações de rede:

    • Para um cluster provisionado do Amazon Redshift, escolha a guia Propriedades e, em Configurações de rede e segurança, selecione a VPC para o cluster.

    • Para um grupo de trabalho do Amazon Redshift sem servidor, escolha Configuração do grupo de trabalho. Escolha o grupo de trabalho na lista. Em seguida, em Acesso a dados, no painel Rede e segurança, escolha Editar.

  2. Configure o gateway da Internet e a tabela de rotas para a VPC. Você inicia a configuração escolhendo a VPC pelo nome. O painel da VPC é aberto. Para se conectar a um cluster ou um grupo de trabalho acessível ao público pela internet, um gateway da Internet deve estar associado à tabela de rotas. Você pode configurar isso escolhendo Tabelas de rotas no painel da VPC. Confirme se o destino do gateway da Internet está definido com a origem 0.0.0.0/0 ou um CIDR de IP público. A tabela de rotas deve estar associada à VPC em que o cluster reside. Para obter mais informações sobre como configurar o acesso à internet para uma VPC, conforme descrito aqui, consulte Habilitar acesso à Internet na documentação da Amazon VPC. Para obter mais informações sobre como configurar uma tabela de rotas, consulte Configurar tabelas de rotas.

  3. Depois de configurar o gateway da Internet e a tabela de rotas, retorne às configurações de rede do Redshift. Abra o acesso de entrada escolhendo o grupo de segurança e, em seguida, selecionando as Regras de entrada. Escolha Editar regras de entrada.

  4. Escolha o Protocolo e a Porta para a regra de entrada, de acordo com seus requisitos, para permitir o tráfego de clientes. Para um cluster RA3, selecione uma porta dentro dos intervalos 5431-5455 ou 8191-8215. Quando terminar, salve cada regra.

  5. Edite a configuração Publicamente acessível para habilitá-la. É possível fazer isso pelo menu Ações do cluster ou do grupo de trabalho.

Quando você ativa a configuração de acesso público, o Redshift cria um endereço IP elástico. É um endereço IP estático associado à sua conta da AWS. Clientes fora da VPC podem usá-lo para se conectar.

Para obter mais informações sobre como configurar o grupo de segurança, consulte Grupos de segurança do Amazon Redshift.

Você pode testar suas regras conectando-se a um cliente. Faça o que está descrito a seguir se estiver se conectando ao Amazon Redshift sem servidor. Depois de concluir a configuração da rede, conecte-se à ferramenta do cliente, como o Amazon Redshift RSQL. Usando seu domínio do Amazon Redshift Serverless como host, insira o seguinte:

rsql -h workgroup-name.account-id.region.amazonaws.com -U admin -d dev -p 5439

Acessibilidade privada com configuração de grupo de segurança padrão ou personalizado

Quando você não se comunica pela internet com o cluster ou grupo de trabalho, isso é chamado de acesso privado. Se você escolheu o grupo de segurança padrão ao criá-lo, o grupo de segurança inclui as seguintes regras de comunicação padrão:

  • Uma regra de entrada que permite tráfego de todos os recursos atribuídos a esse grupo de segurança.

  • Uma regra de saída que permite todo tráfego de saída. O destino dessa regra é 0.0.0.0/0. Na notação de Encaminhamento Entre Domínios Sem Classificação (CIDR), ele representa todos os endereços IP possíveis.

Você pode visualizar as regras no console selecionando o grupo de segurança para o cluster ou grupo de trabalho.

Se o cluster, o grupo de trabalho e o cliente usarem o grupo de segurança padrão, não será necessária nenhuma configuração adicional para permitir o tráfego de rede. Mas, se você excluir ou alterar alguma regra no grupo de segurança padrão do Redshift ou do cliente, isso não se aplicará mais. Nesse caso, você deve configurar regras para permitir a comunicação de entrada e saída. Uma configuração de grupo de segurança comum é a seguinte:

  • Para uma instância do Amazon EC2 do cliente:

    • Uma regra de entrada que permite o endereço IP do cliente.

    • Uma regra de saída que permite o intervalo de endereços IP (bloco CIDR) de todas as sub-redes fornecidas para uso do Redshift. Ou você pode especificar 0.0.0.0/0, que são todos os intervalos de endereços IP.

  • Para o cluster ou grupo de trabalho do Redshift:

    • Uma regra de entrada que permite o grupo de segurança do cliente.

    • Uma regra de saída que permite tráfego para 0.0.0.0/0. Normalmente, uma regra de saída permite todo tráfego de saída. Opcionalmente, você pode adicionar uma regra de saída para permitir o tráfego para o grupo de segurança do cliente. Nesse caso opcional, uma regra de saída nem sempre é necessária, porque o tráfego de resposta de cada solicitação pode chegar à instância. Para obter mais detalhes sobre o comportamento de solicitações e respostas, consulte Grupos de segurança no Manual do usuário do Amazon VPC.

Se você alterar a configuração de qualquer sub-rede ou grupo de segurança especificado para uso do Redshift, talvez seja necessário alterar as regras de tráfego adequadamente para manter a comunicação aberta. Para obter mais informações sobre a criação de regras de entrada e saída, consulte Blocos CIDR da VPC no Manual do usuário do Amazon VPC. Para obter informações sobre como se conectar ao Amazon Redshift sem servidor, consulte Configurar conexões no Amazon Redshift.