拡張 VPC ルーティングを使用して Redshift でネットワークトラフィックを制御する
Amazon Redshift の拡張された VPC のルーティングを使用すると、Amazon Redshift は Amazon VPC サービスに基づく Virtual Private Cloud (VPC) を介して、クラスターとデータリポジトリ間のすべての COPY と UNLOAD トラフィックを強制します。拡張 VPC ルーティングを使用することで、Amazon VPC ユーザーガイドに記載されているように、標準の VPC 機能を使用できます。これらの機能には、VPC セキュリティグループ、ネットワークアクセスコントロールリスト (ACL)、VPC エンドポイント、VPC エンドポイントポリシー、インターネットゲートウェイ、ドメインネームシステム (DNS) サーバーなどがあります。これらの機能を使用して、Amazon Redshift クラスターと他のリソースの間のデータフローを制御します。拡張された VPC ルーティングを使用して VPC からトラフィックをルーティングする場合には、VPC フローログを使って COPY と UNLOAD トラフィックを監視することもできます。
Amazon Redshift クラスターと Amazon Redshift Serverless ワークグループはどちらも高度な VPC ルーティングをサポートしています。Redshift Spectrum で拡張 VPC ルーティングを使用することはできません。詳細については、「Redshift Spectrum を使用した Amazon S3 バケットへのアクセス」を参照してください。
拡張された VPC ルーティングが有効でない場合、Amazon Redshift は AWS ネットワーク内のその他のサービスなどへのトラフィックをインターネット経由でルーティングします。
重要
拡張された VPC ルーティングはそのほかのリソースに Amazon Redshift がアクセスする方法に影響を与えるため、VPC を正しく設定しないと COPY と UNLOAD コマンドが失敗する場合があります。次に説明するように、クラスターの VPC とデータリソース間のネットワークパスを別に作成する必要があります。
拡張された VPC ルーティングが有効化されているクラスターで COPY または UNLOAD コマンドを実行すると、VPC が利用可能なネットワークパスで最も厳密、または最も限定的なものを使用して、指定されたリソースにトラフィックをルーティングします。
たとえば、VPC で次のパスを設定できます。
-
VPC エンドポイント – クラスターまたはワークグループと同じ AWS リージョンの Amazon S3 バケットへのトラフィックで、バケットに直接トラフィックする VPC エンドポイントを作成できます。VPC のエンドポイントを使用すると、Amazon S3 へのアクセスを管理するためにエンドポイントのポリシーをアタッチできます。Redshift でのエンドポイントの使用に関する詳細は、「VPC エンドポイントを使用したデータベーストラフィックの制御」を参照してください。Lake Formation を使用する場合、VPC と AWS Lake Formation との間にプライベート接続を確立する方法の詳細については、「AWS Lake Formation とインターフェイス VPC エンドポイント (AWS PrivateLink)」を参照してください。
注記
Redshift VPC エンドポイントを Amazon S3 VPC ゲートウェイエンドポイントと共に使用する場合は、Redshift で拡張 VPC のルーティングを有効にする必要があります。詳細については、「Amazon S3 のゲートウェイエンドポイント」を参照してください。
-
NAT ゲートウェイ – 別の AWS リージョンにある Amazon S3 バケットと、AWS ネットワーク内にある別のサービスに接続できます。また、AWS ネットワーク外のホストインスタンスにアクセスすることもできます。これを行うには、Amazon VPC ユーザーガイドの説明に従って、ネットワークアドレス変換 (NAT) ゲートウェイを設定します。
-
インターネットゲートウェイ – VPC の外にある AWS サービスに接続するには、Amazon VPC ユーザーガイドの説明通りに、インターネットゲートウェイを VPC サブネットにアタッチします。インターネットゲートウェイを使用するには、クラスターまたはワークグループは、他のサービスとの通信を可能にするためにアクセスできる必要があります。
詳細については、Amazon VPC ユーザーガイドの「VPC エンドポイント」を参照してください。
拡張 VPC ルーティングは追加料金なしで使用できます。特定の操作では、追加のデータ転送料金が発生する可能性があります。これには、異なる AWS リージョンでの Amazon S3 への UNLOAD などのオペレーションが含まれます。Amazon EMR から COPY、またはパブリック IP アドレスを持つ Secure Shell (SSH)。料金の詳細については、「Amazon EC2 料金表