使用 Redshift 管理的 VPC 端點 - Amazon Redshift

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Redshift 管理的 VPC 端點

根據預設,Amazon Redshift 叢集或 Amazon Redshift 無伺服器工作群組會佈建在虛擬私有雲端 (VPC) 中。當您允許公用存取或設定網際網路閘道、NAT 裝置或將流量路由到 VPC 的 AWS Direct Connect 連線時,可以從其他 VPC 或子網路存取 VPC。您也可以透過設定 RedShift 管理的 VPC 端點 (由支援) 來存取叢集或工作群組。 AWS PrivateLink

您可以將 RedShift 管理的 VPC 端點設定為包含叢集或工作群組的 VPC 與執行用戶端工具的 VPC 之間的私人連線。如果叢集或工作群組位於其他帳戶中,則帳戶擁有者 (授與者) 必須授與連線帳戶 (受權者) 的存取權。使用這種方法,您可以存取資料倉儲,而無需使用公用 IP 位址或透過網際網路路由傳送流量。

以下是允許使用 RedShift 管理的 VPC 端點進行存取的常見原因:

  • AWS 帳戶 A 想要允許 AWS 帳戶 B 中的 VPC 存取叢集或工作群組。

  • AWS 帳戶 A 想要允許也在 AWS 帳戶 A 中的 VPC 具有叢集或工作群組的存取權。

  • AWS 帳戶 A 想要允許 AWS 帳戶 A 內 VPC 中的不同子網路存取叢集或工作群組。

設定 RedShift 管理的 VPC 端點以存取其他帳戶中的叢集或工作群組的工作流程如下:

  1. 擁有者帳戶將存取權授予其他帳戶,並指定受權者的 AWS 帳戶 ID 和 VPC 識別碼 (或所有 VPC)。

  2. 被授予者帳戶收到通知,指出其已擁有建立 Redshift 管理的 VPC 端點的許可。

  3. 被授予者帳戶建立 Redshift 管理的 VPC 端點。

  4. 受權者帳戶會使用 RedShift-管理的 VPC 端點存取擁有者帳戶的叢集或工作群組。

您可以使用 Amazon Redshift 控制台,或亞 Amazon Redshift API 來執行此操作。 AWS CLI

使用 Redshift 管理的 VPC 端點時的考量

注意

若要建立或修改 RedShift-託管的 VPC 端點,除了ec2:ModifyVpcEndpoint在受管政策中指定的其他許可外,您還需要在 IAM 政策中獲得許可ec2:CreateVpcEndpoint或存取權管理政策。 AWS AmazonRedshiftFullAccess

在使用 Redshift 管理的 VPC 端點時,請記住以下事項:

  • 確定要存取的叢集是 RA3 節點類型。亞 Amazon Redshift 無服務器工作組也適用於此。

  • 對於佈建的叢集,請確定叢集已啟用叢集重新定位或異地同步備份。如需開啟叢集重新定位要求的相關資訊,請參閱重新定位叢集。如需啟用異地同步備份的資訊,請參閱在建立新叢集時設定多可用區

  • 請確定要透過其安全性群組存取的叢集或工作群組可在有效連接埠範圍 5431-5455 和 8191-8215 內使用。預設值為 5439。

  • 您可以修改與現有 Redshift 管理的 VPC 端點相關聯的 VPC 安全群組。若要修改其他設定,請刪除目前的 Redshift 管理的 VPC 端點並建立新端點。

  • 您可建立的 Redshift 管理的 VPC 端點數目受限於 VPC 端點的配額。

  • Redshift 管理的 VPC 端點無法從網際網路存取。RedShift 管理的 VPC 端點只能在佈建端點的 VPC 內存取,或從任何與 VPC 對等的 VPC 存取 (該端點是在路由表和安全群組允許的情況下佈建端點)。

  • 您無法使用 Amazon VPC 主控台來管理 Redshift 管理的 VPC 端點。

  • 當您為已佈建的叢集建立 RedShift 管理的 VPC 端點時,您選擇的 VPC 必須具有子網路群組。若要建立子網路群組,請參閱使用主控台管理叢集子網路群組

  • 如果可用區域關閉,Amazon Redshift 就不會在另一個可用區域中建立新的 elastic network interface。在此情況下,您可能需要建立新端點。

如需有關配額和命名限制的資訊,請參閱 Amazon Redshift 中的配額和限制

如需定價的詳細資訊,請參閱 AWS PrivateLink 定價。

使用主控台管理由 RedShift 管理的 VPC 人雲端端點

您可以透過使用 Amazon Redshift 主控台來設定 Redshift 管理的 VPC 端點的使用。

授與 存取權

如果您要存取叢集或工作群組的 VPC 位於其他 AWS 帳戶中,請確定從擁有者 (授與者) 帳戶授權該 VPC。

允許其他 AWS 帳戶中的 VPC 存取您的叢集或工作群組
  1. 登入 AWS Management Console 並開啟 Amazon Redshift 主控台,網址為 https://console.aws.amazon.com/redshiftv2/

  2. 在導覽選單上,選擇叢集。對於 Amazon Redshift 無伺服器,請選擇無伺服儀表板。

  3. 對於您要允許存取的叢集,請選擇叢集名稱來檢視詳細資訊。選擇叢集的屬性索引標籤。

    已授予的帳戶區段會顯示可存取您叢集的帳戶和對應的 VPC。如果是 Amazon Redshift 無伺服器工作群組,請選擇工作群組。授與的帳戶可在「資料存取」標籤下找到。

  4. 選擇授予存取權以顯示表單,供您輸入要新增帳戶的被授予者資訊

  5. 對於 AWS 帳戶 ID,輸入您要授予存取權之帳戶的 ID。您可以授予存取權給指定帳戶中的特定 VPC 或所有 VPC。

  6. 選擇授予存取權以授予存取權。

建立 Redshift 管理的 VPC 端點

如果您擁有叢集或工作群組,或者您已獲得管理叢集或工作群組的存取權,則可以為其建立由 RedShift 管理的 VPC 端點。

建立 Redshift 管理的 VPC 端點
  1. 登入 AWS Management Console 並開啟 Amazon Redshift 主控台,網址為 https://console.aws.amazon.com/redshiftv2/

  2. 在導覽功能表上,選擇組態

    組態頁面會顯示已建立的 Redshift 管理的 VPC 端點。若要檢視端點的詳細資訊,請選擇其名稱。對於 Amazon Redshift 無伺服器,當您選擇工作群組時,VPC 端點位於「資料存取」索引標籤下。

  3. 選擇建立端點以顯示表單,供您輸入要新增之端點的相關資訊。

  4. 輸入端點名稱、12 位數AWS 帳號識別碼、端點所在的虛擬私人雲端 (VPC)子網路VPC 安全性群組的值。

    子網路中的子網會定義 Amazon Redshift 在其中部署端點的子網路和 IP 位址。Amazon Redshift 會選擇具有 IP 地址可供與該端點相關聯之網路介面使用的子網路。

    VPC 安全群組中的安全群組規則會定義您為端點授權之入站流量的連接埠、通訊協定和來源。您允許透過安全性群組或工作負載執行的 CIDR 範圍存取所選連接埠。

  5. 選擇建立端點以建立端點。

建立端點之後,您可以透過 RedShift 管理的 VPC 端點組態設定中端點 URL 中顯示的 URL 存取叢集或工作群組。

使用管理 RedShift 管理的 VPC 人雲端端點 AWS CLI

您可以使用下列 Amazon Redshift CLI 操作來使用 Redshift 管理的 VPC 端點。如需詳細資訊,請參閱《AWS CLI 命令參考》

使用 Amazon Redshift API 操作來管理 Redshift 管理的 VPC 端點

您可以使用下列 Amazon Redshift API 操作來使用 Redshift 管理的 VPC 端點。如需詳細資訊,請參閱《Amazon Redshift API 參考》

使用以下方式管理 RedShift 管理的 VPC 端點 AWS CloudFormation

如需用來建立 RedShift-管理的 VPC 端點之 AWS CloudFormation 資源類型的相關資訊 AWS CloudFormation,請參閱使用者指南AWS::Redshift::EndpointAccess中的。AWS CloudFormation