Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione ad Amazon Redshift utilizzando un endpoint VPC di interfaccia

È possibile connettersi direttamente al servizio API Amazon Redshift utilizzando un endpoint VPC di interfaccia (AWS PrivateLink) nel Virtual Private Cloud (VPC) invece di connettersi tramite Internet. Per ulteriori informazioni sulle operazioni API di Amazon Redshift, consultare Operazioni nella Documentazione di riferimento dell'API Amazon Redshift. Per ulteriori informazioni AWS PrivateLink, consulta Interface VPC endpoints (AWS PrivateLink) nella Amazon VPC User Guide. Tenere presente che la connessione JDBC/ODBC al cluster non fa parte del servizio API di Amazon Redshift.

Quando utilizzi un endpoint VPC di interfaccia, la comunicazione tra il tuo VPC e Amazon Redshift avviene interamente all'interno della rete, AWS il che può fornire una maggiore sicurezza. Ogni endpoint VPC è rappresentato da una o più interfacce di rete elastiche con indirizzi IP privati nelle sottoreti del VPC. Per maggiori informazioni sulle interfacce di rete elastiche, consulta le interfacce di rete elastiche nella Guida dell'utente di Amazon EC2.

Un endpoint VPC di interfaccia collega il VPC direttamente ad Amazon Redshift. Non utilizza un gateway Internet, un dispositivo NAT (Network Address Translation), una connessione di rete privata virtuale (VPN) o una connessione. AWS Direct Connect Le istanze presenti nel tuo VPC non richiedono indirizzi IP pubblici per comunicare con l'API di Amazon Redshift.

Per utilizzare Amazon Redshift tramite il VPC, sono disponibili due opzioni. Una è quella di connettersi da un'istanza che si trova all'interno del VPC. L'altro è connettere la rete privata al VPC utilizzando un' AWS VPN opzione o. AWS Direct Connect Per ulteriori informazioni sulle AWS VPN opzioni, consulta le connessioni VPN nella Amazon VPC User Guide. Per informazioni su AWS Direct Connect, consultare Creazione di una connessione nella Guida per l'utente di AWS Direct Connect .

Puoi creare un endpoint VPC di interfaccia per connetterti ad Amazon Redshift utilizzando i AWS Management Console comandi or (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consultare Creazione di un endpoint di interfaccia.

Una volta creato un endpoint VPC di interfaccia, è possibile abilitare nomi host DNS privati per l'endpoint. Quando si fa, l'endpoint Amazon Redshift predefinito (https://redshift.Region.amazonaws.com) restituisce l'endpoint VPC.

Se non si abilitano nomi host DNS privati, Amazon VPC fornisce un nome di endpoint DNS che può essere utilizzato nel formato seguente:

VPC_endpoint_ID.redshift.Region.vpce.amazonaws.com

Per ulteriori informazioni, consultare Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.

Amazon Redshift supporta l'esecuzione di chiamate a tutte le operazioni API all'interno del VPC.

È possibile collegare le policy di endpoint VPC a un endpoint VPC per controllare l'accesso per i principal AWS Identity and Access Management (IAM). È inoltre possibile associare i gruppi di sicurezza a un endpoint VPC per controllare l'accesso in ingresso e in uscita in base all'origine e alla destinazione del traffico di rete. Un esempio è un intervallo di indirizzi IP. Per ulteriori informazioni, consultare Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.

Creazione di una policy per l'endpoint VPC per Amazon Redshift

È possibile creare una policy per gli endpoint VPC per Amazon Redshift in cui specificare quanto segue:

Per ulteriori informazioni, consultare Controllo degli accessi ai servizi con endpoint VPC in Guida per l'utente di Amazon VPC.

Di seguito sono riportati alcuni esempi di policy di endpoint VPC.

Esempio: policy degli endpoint VPC per negare tutti gli accessi da un account specificato AWS

La seguente politica degli endpoint VPC nega all' AWS account 123456789012 tutto l'accesso alle risorse che utilizzano questo endpoint.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
                    

Esempio: policy di endpoint VPC per consentire l'accesso VPC solo a un ruolo IAM specificato

La seguente policy degli endpoint VPC consente l'accesso completo solo al ruolo IAM redshiftrolenell' AWS account 123456789012. A tutte le altre entità principali IAM viene negato l'accesso utilizzando l'endpoint.

   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:role/redshiftrole"
                ]
            }
        }]
}

Si tratta solo di un esempio, nella maggior parte dei casi d'uso ti consigliamo di collegare le autorizzazioni per operazioni specifiche in modo da limitare l'ambito delle autorizzazioni.

Esempio: policy di endpoint VPC per consentire l'accesso VPC solo a un principal IAM specificato (utente)

La seguente policy sugli endpoint VPC consente l'accesso completo solo all'utente IAM redshiftadminnell' AWS account 123456789012. A tutte le altre entità principali IAM viene negato l'accesso utilizzando l'endpoint.

   {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/redshiftadmin"
                ]
            }
        }]
}

Si tratta solo di un esempio, nella maggior parte dei casi d'uso ti consigliamo di collegare le autorizzazioni a un ruolo prima di assegnarlo a un utente. Inoltre, suggeriamo di utilizzare operazioni specifiche in modo da limitare l'ambito delle autorizzazioni.

Esempio: policy di endpoint VPC per consentire operazioni Amazon Redshift di sola lettura

La seguente policy sugli endpoint VPC consente solo 123456789012all' AWS account di eseguire le azioni Amazon Redshift specificate.

Le operazioni specificate forniscono l'equivalente dell'accesso di sola lettura per Amazon Redshift. Tutte le altre azioni sul VPC vengono negate per l'account specificato. Inoltre, a tutti gli altri account viene negato l'accesso. Per visualizzare un elenco delle operazioni Amazon Redshift, consultare Operazioni, risorse e chiavi di condizione per Amazon Redshift nella Guida per l'utente di IAM.

  {
    "Statement": [
        {
            "Action": [
                "redshift:DescribeAccountAttributes",
                "redshift:DescribeClusterParameterGroups",
                "redshift:DescribeClusterParameters",
                "redshift:DescribeClusterSecurityGroups",
                "redshift:DescribeClusterSnapshots",
                "redshift:DescribeClusterSubnetGroups",
                "redshift:DescribeClusterVersions",
                "redshift:DescribeDefaultClusterParameters",
                "redshift:DescribeEventCategories",
                "redshift:DescribeEventSubscriptions",
                "redshift:DescribeHsmClientCertificates",
                "redshift:DescribeHsmConfigurations",
                "redshift:DescribeLoggingStatus",
                "redshift:DescribeOrderableClusterOptions",
                "redshift:DescribeQuery",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "redshift:DescribeResize",
                "redshift:DescribeSavedQueries",
                "redshift:DescribeScheduledActions",
                "redshift:DescribeSnapshotCopyGrants",
                "redshift:DescribeSnapshotSchedules",
                "redshift:DescribeStorage",
                "redshift:DescribeTable",
                "redshift:DescribeTableRestoreStatus",
                "redshift:DescribeTags",
                "redshift:FetchResults",
                "redshift:GetReservedNodeExchangeOfferings"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
                

Esempio: policy di endpoint VPC che nega l'accesso a un cluster specificato

La seguente policy di endpoint VPC consente l'accesso completo a tutti gli account e principal. Allo stesso tempo, nega qualsiasi accesso AWS dell'account 123456789012alle azioni eseguite sul cluster Amazon Redshift con l'ID del cluster. my-redshift-cluster Le altre operazioni Amazon Redshift che non supportano le autorizzazioni a livello di risorsa per i cluster sono comunque consentite. Per un elenco delle operazioni Amazon Redshift e dei tipi di risorse corrispondenti, consultare Operazioni, risorse e chiavi di condizione per Amazon Redshift nella Guida per l'utente di IAM.

 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}