Puntos de conexión de la VPC administrados por Redshift
De forma predeterminada, un clúster de Amazon Redshift o un grupo de trabajo de Amazon Redshift sin servidor se aprovisionan en una nube privada virtual (VPC). Se puede acceder a esa VPC desde otra VPC o subred cuando se permite el acceso público o se configura una puerta de enlace de Internet, un dispositivo NAT o una conexión de AWS Direct Connect para enrutar el tráfico a ella. Para acceder a un clúster, también puede configurar un punto de conexión de VPC administrado por Redshift (basado en AWS PrivateLink).
Usted configura un punto de conexión de VPC administrado por Redshift como una conexión privada entre una VPC que contiene un clúster o un grupo de trabajo y una VPC que ejecuta una herramienta de cliente. Si el clúster o el grupo de trabajo están en otra cuenta, el propietario de la cuenta (concedente) debe conceder acceso a la cuenta que va a conectarse (beneficiario). Con este enfoque, puede acceder al almacenamiento de datos sin usar una dirección IP pública ni enrutar el tráfico a través de Internet.
Estas son razones comunes para permitir el acceso mediante un punto de conexión de VPC administrado por Redshift:
-
La cuenta de AWS A quiere permitir que una VPC en la cuenta de AWS B tenga acceso a un clúster o un grupo de trabajo.
-
La cuenta de AWS A quiere permitir que una VPC que también está en la cuenta de AWS A tenga acceso a un clúster o un grupo de trabajo.
-
La cuenta de AWS A quiere permitir que una subred diferente en la VPC dentro de la cuenta de AWS A tenga acceso a un clúster o a un grupo de trabajo.
El flujo de trabajo para configurar un punto de conexión de VPC administrado por Redshift para acceder a un clúster o un grupo de trabajo que está en otra cuenta es el siguiente:
-
La cuenta de propietario concede autorización de acceso a otra cuenta y especifica el ID de la cuenta de AWS y el identificador de VPC (o todas las VPC) del beneficiario.
-
Se notifica a la cuenta del beneficiario que tiene permiso para crear un punto de enlace de la VPC administrado por Redshift.
-
La cuenta del beneficiario crea un punto de enlace de la VPC administrado por Redshift.
-
La cuenta del beneficiario accede al clúster o al grupo de trabajo de la cuenta del propietario mediante el punto de conexión de VPC administrado por Redshift.
Para hacerlo, puede utilizar la consola de Amazon Redshift, la AWS CLI o la API de Amazon Redshift.
Consideraciones para el uso de puntos de enlace de la VPC administrados por Redshift
nota
Para crear o modificar puntos de conexión de VPC administrados por Redshift, necesita permiso ec2:CreateVpcEndpoint
o ec2:ModifyVpcEndpoint
en su política de IAM, además de otros permisos especificados en la política AmazonRedshiftFullAccess
administrada por AWS.
Cuando utilice los puntos de enlace de la VPC administrados por Redshift, tenga en cuenta lo siguiente:
-
Si utiliza un clúster aprovisionado, debe tener el tipo de nodo RA3. Un grupo de trabajo de Amazon Redshift sin servidor también sirve para establecer un punto de conexión de VPC.
-
Para clústeres aprovisionados, asegúrese de que el clúster esté habilitado para la reubicación de clústeres o para Multi-AZ. Para obtener información acerca de los requisitos para activar la reubicación de clústeres, consulte Reubicación de un clúster. Para obtener más información sobre la habilitación de Multi-AZ, consulte Configuración de multi-AZ al crear un nuevo clúster.
-
Asegúrese de que el clúster o el grupo de trabajo al que se accede a través de su grupo de seguridad esté disponible dentro de los intervalos de puertos válidos 5431-5455 y 8191-8215. El valor predeterminado es 5439.
-
Puede modificar los grupos de seguridad de la VPC asociados a un punto de enlace de la VPC administrado por Redshift existente. Para modificar otros parámetros, elimine el punto de enlace de la VPC administrado por Redshift actual y cree uno nuevo.
-
La cantidad de puntos de enlace de la VPC administrados por Redshift que puede crear está limitado a la cuota de puntos de enlace de la VPC.
-
No se puede acceder a los puntos de enlace de la VPC administrados por Redshift desde Internet. Solo se puede acceder a un punto de conexión de VPC administrado por Redshift dentro de la VPC donde se aprovisiona el punto de conexión o desde cualquier VPC interconectada con la VPC donde se aprovisiona el punto de conexión de la forma que permitan las tablas de enrutamiento y los grupos de seguridad.
-
No puede utilizar la consola de Amazon VPC para administrar los puntos de enlace de la VPC administrados por Redshift.
-
Cuando cree un punto de conexión de VPC administrado por Redshift para un clúster aprovisionado, la VPC que elija debe tener un grupo de subredes. Para crear un grupo de subredes, consulte Creación de un grupo de subredes de clúster.
-
Si una zona de disponibilidad está inactiva, Amazon Redshift no crea una nueva interfaz de red elástica en otra zona de disponibilidad. En este caso, puede que tenga que crear un punto de conexión nuevo.
Para obtener información acerca de cuotas y restricciones de nomenclatura, consulte Cuotas y límites de Amazon Redshift.
Para obtener información sobre precios, consulte Precios de AWS PrivateLink