Accessibilité à tous avec une configuration de groupe de sécurité par défaut ou personnalisée Accessibilité privée avec une configuration de groupe de sécurité par défaut ou personnalisée

Configuration des paramètres de communication des groupes de sécurité pour un cluster Amazon Redshift ou un groupe de travail Amazon Redshift sans serveur

Cette rubrique vous aide à configurer vos groupes de sécurité afin d’acheminer et de recevoir le trafic réseau de manière appropriée. Voici quelques cas d’utilisation courants :

Vous activez l’accès public pour un cluster Amazon Redshift ou un groupe de travail Amazon Redshift sans serveur, mais celui-ci ne reçoit pas de trafic. Pour cela, vous devez configurer une règle entrante pour autoriser le trafic à y accéder depuis Internet.
Votre cluster ou groupe de travail n'est pas accessible au public et vous utilisez le groupe de VPC sécurité par défaut préconfiguré de Redshift pour autoriser le trafic entrant. Or, vous êtes tenu d’utiliser un groupe de sécurité différent de celui par défaut, et ce groupe de sécurité personnalisé n’autorise pas le trafic entrant. Vous devez le configurer pour autoriser la communication.

Les sections suivantes vous aident à choisir la bonne réponse pour chaque cas d’utilisation et vous montrent comment configurer le trafic réseau selon vos besoins. Vous pouvez éventuellement suivre les étapes permettant de configurer la communication à partir d’autres groupes de sécurité privés.

Note

Dans la plupart des cas, les paramètres de trafic réseau ne sont pas configurés automatiquement dans Amazon Redshift. Cela est dû au fait qu’ils peuvent varier à un niveau granulaire, selon que le trafic provient d’Internet ou d’un groupe de sécurité privé, et que les exigences de sécurité varient.

Accessibilité à tous avec une configuration de groupe de sécurité par défaut ou personnalisée

Si vous créez un cluster ou que vous possédez déjà un cluster ou un groupe de travail, effectuez les étapes de configuration suivantes pour le rendre accessible à tous. Vous devez suivre cette procédure, que vous optiez pour le groupe de sécurité par défaut ou pour un groupe de sécurité personnalisé :

Trouvez les paramètres réseau :
- Pour un cluster Amazon Redshift provisionné, choisissez l'onglet Propriétés, puis sous Paramètres réseau et de sécurité, sélectionnez VPC le cluster correspondant à votre cluster.
- Pour un groupe de travail Amazon Redshift sans serveur, choisissez Configuration de groupe de travail. Choisissez le groupe de travail dans la liste. Ensuite, sous Accès aux données, dans le panneau Réseau et sécurité, choisissez Modifier.
Configurez la passerelle Internet et la table de routage pour votreVPC. Vous démarrez la configuration en choisissant le VPC par nom. Cela ouvre le VPC tableau de bord. Pour se connecter à un cluster ou à un groupe de travail accessible à tous depuis Internet, une passerelle Internet doit être attachée à la table de routage. Vous pouvez le configurer en choisissant les tables de routage dans le VPC tableau de bord. Vérifiez que la cible de la passerelle Internet est définie avec la source 0.0.0.0/0 ou une adresse IP publique. CIDR La table de routage doit être associée à l'VPCemplacement de votre cluster. Pour plus d'informations sur la configuration de l'accès à Internet pour unVPC, comme décrit ici, consultez Activer l'accès à Internet dans la VPC documentation Amazon. Pour en savoir plus sur la configuration d’une table de routage, consultez Configuration des tables de routage.
Après avoir configuré la passerelle Internet et la table de routage, revenez aux paramètres réseau pour Redshift. Ouvrez l’accès entrant en choisissant le groupe de sécurité, puis Règles entrantes. Choisissez Modifier les règles entrantes.
Choisissez le Protocole et le Port pour la ou les règles entrantes, selon vos besoins, afin d’autoriser le trafic depuis des clients. Pour un RA3 cluster, sélectionnez un port compris entre 5431 et 5455 ou 8191 à 8215. Lorsque vous avez terminé, enregistrez chaque règle.
Modifiez le paramètre Accessible à tous pour l’activer. Pour ce faire, vous pouvez passer par le menu Actions de votre cluster ou groupe de travail.

Lorsque vous activez le paramètre Accessible publiquement, Redshift crée une adresse IP élastique. Il s'agit d'une adresse IP statique associée à votre AWS . Les clients extérieurs VPC peuvent l'utiliser pour se connecter.

Pour en savoir plus sur la configuration de votre groupe de sécurité, consultez Groupes de sécurité Amazon Redshift.

Vous pouvez tester vos règles en vous connectant à un client. Effectuez les opérations suivantes si vous vous connectez à Amazon Redshift sans serveur. Une fois la configuration du réseau terminée, connectez-vous à votre outil client, tel qu'Amazon Redshift RSQL. En utilisant votre domaine Amazon Redshift sans serveur comme hôte, saisissez les informations suivantes :


rsql -h workgroup-name.account-id.region.amazonaws.com -U admin -d dev -p 5439

Accessibilité privée avec une configuration de groupe de sécurité par défaut ou personnalisée

Lorsque vous ne communiquez pas via Internet avec votre cluster ou votre groupe de travail, on parle d’accès privé. Si vous avez choisi le groupe de sécurité par défaut lors de sa création, celui-ci inclut les règles de communication par défaut suivantes :

Règle entrante qui autorise le trafic de toutes les ressources attribuées au groupe de sécurité.
Règle sortante qui autorise tout le trafic sortant. La destination de cette règle est 0.0.0.0/0. Dans la notation de routage inter-domaines (CIDR) sans classe, il représente toutes les adresses IP possibles.

Vous pouvez consulter les règles dans la console en sélectionnant le groupe de sécurité pour votre cluster ou groupe de travail.

Si votre cluster ou groupe de travail et le client utilisent tous deux le groupe de sécurité par défaut, aucune configuration supplémentaire n’est nécessaire pour autoriser le trafic réseau. Mais si vous supprimez ou modifiez des règles du groupe de sécurité par défaut pour Redshift ou le client, cela ne s’applique plus. Dans ce cas, vous devez configurer des règles pour autoriser les communications entrantes et sortantes. Une configuration de groupe de sécurité courante est la suivante :

Pour une EC2 instance Amazon cliente :
- Règle entrante qui autorise l’adresse IP du client.
- Règle sortante qui autorise la plage d'adresses IP (CIDRbloc) de tous les sous-réseaux fournis pour l'utilisation de Redshift. Vous pouvez également spécifier 0.0.0.0/0, qui correspond à toutes les plages d’adresses IP.
Pour votre cluster ou groupe de travail Redshift :
- Règle entrante qui autorise le groupe de sécurité du client.
- Règle sortante qui autorise le trafic vers 0.0.0.0/0. Généralement, la règle sortante autorise tout le trafic sortant. Vous pouvez éventuellement ajouter une règle sortante pour autoriser le trafic vers le groupe de sécurité du client. Dans ce cas facultatif, une règle sortante n’est pas toujours requise, car le trafic de réponse pour chaque demande est autorisé à atteindre l’instance. Pour en savoir plus sur le comportement des demandes et des réponses, consultez la section Groupes de sécurité dans le guide de VPC l'utilisateur Amazon.

Si vous modifiez la configuration de sous-réseaux ou de groupes de sécurité spécifiés pour l’utilisation de Redshift, vous devrez peut-être modifier les règles de trafic en conséquence pour maintenir la communication ouverte. Pour plus d'informations sur la création de règles entrantes et sortantes, consultez les VPCCIDRblocs dans le guide de VPCl'utilisateur Amazon. Pour plus d’informations sur la connexion à Amazon Redshift depuis un client, consultez Configuration des connexions dans Amazon Redshift.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

VPCgroupes de sécurité

VPCpartage pour AWS resources