VPC エンドポイントを使用したデータベーストラフィックの制御 - Amazon Redshift

VPC エンドポイントを使用したデータベーストラフィックの制御

VPC エンドポイントを使用して、VPC にある Amazon Redshift クラスターまたは Serverless ワークグループと Amazon Simple Storage Service (Amazon S3) 間でマネージド接続を作成することができます。このとき、データベースと Amazon S3 のデータ間の COPY と UNLOAD トラフィックは Amazon VPC に留まります。エンドポイントにエンドポイントポリシーをアタッチして、より厳密なデータアクセスの管理ができます。たとえば、アカウントの特定の Amazon S3 バケットにのみデータをアップロード許可するようなポリシーを VPC エンドポイントに追加できます。

VPC エンドポイントを使用するには、データウェアハウスがある VPC への VPC エンドポイントを作成し、それから拡張された VPC ルーティングを有効化します。クラスターまたはワークグループを作成する場合、拡張された VPC ルーティングを有効にするか、あるいは VPC のクラスターまたはワークグループを変更して拡張された VPC ルーティングとして使用することもできます。

VPC エンドポイントは、ルートテーブルを使用して VPC のクラスターまたはワークグループと Amazon S3 間のトラフィックのルーティングをコントロールします。特定のルートテーブルに関連付けられたサブネットのすべてのクラスターまたはワークグループは、自動的にそのエンドポイントを使用してサービスにアクセスします。

VPC はトラフィックをルーティングするために、トラフィックに合う最も特定された、または最も限定的なルートを使用します。たとえば、ルートテーブルで、インターネットゲートウェイと Amazon S3 エンドポイントを指すすべてのインターネットトラフィック (0.0.0.0/0) にルートがあるとします。この場合、Amazon S3 を宛先とするすべてのトラフィックでエンドポイントルートが優先されます これは、Amazon S3 サービスの IP アドレス範囲が 0.0.0.0/0 よりも具体的であるためです。この例では、他の AWS リージョン にある Amazon S3 バケット行きのトラフィックを含め、その他のすべてのインターネットトラフィックはインターネットゲートウェイに移動します。

エンドポイントの作成の詳細については、Amazon VPC ユーザーガイドの「VPC エンドポイントの作成」を参照してください。

クラスターまたはワークグループからデータファイルがある Amazon S3 バケットへのアクセスを制御するために、エンドポイントポリシーを使用します。特定の制御については、オプションでカスタムエンドポイントポリシーをアタッチできます。詳細については、AWS PrivateLink ガイドControl access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)を参照してください。

注記

AWS Database Migration Service (AWS DMS) は、リレーショナルデータベース、データウェアハウス、その他のタイプのデータストアを移行できるようにするクラウドサービスです。VPC が有効になっている Amazon Redshift データベースなど、任意の AWS ソースまたはターゲットデータベースに接続できますが、いくつかの設定制限があります。Amazon VPC エンドポイントのサポートにより、AWS DMS は、レプリケーションタスクにおいてエンドツーエンドのネットワークセキュリティを簡単に維持できます。AWS DMS での Redshift の使用の詳細については、「AWS Database Migration Service ユーザーガイド」の「VPC エンドポイントを AWS DMS ソースエンドポイントとターゲットエンドポイントとして設定する」を参照してください。

エンドポイントは追加料金なしで使用できます。データ転送とリソースの使用量に対する標準料金が適用されます。料金の詳細については、「Amazon EC2 料金表」を参照してください。