VPC セキュリティグループ - Amazon Redshift

VPC セキュリティグループ

Amazon Redshift クラスターまたは Amazon Redshift Serverless ワークグループをプロビジョニングすると、アクセスはデフォルトで制限されるため、誰もアクセスできません。他のユーザーにインバウンドアクセスを許可するには、クラスターをセキュリティグループに関連付けます。EC2-VPC プラットフォームを使用する場合は、既存の Amazon VPC セキュリティグループを使用するか、新しいグループを定義することができます。次に、下記の説明どおり、クラスターまたはワークグループに関連付けます。EC2-Classic プラットフォームでは、セキュリティグループを定義し、そのグループをクラスターまたはワークグループに関連付けます。EC2-Classic プラットフォームでのセキュリティグループの使用の詳細については、「Amazon Redshift セキュリティグループ」を参照してください。

VPC セキュリティグループは、使用中のクラスターなど、VPC 上のインスタンスへのアクセスを制御しているルールのセットで構成されます。個別のルールのセットは、IP アドレスの範囲または他の VPC セキュリティグループに基づいてアクセスします。VPC セキュリティグループをクラスターまたはワークグループに関連付けると、VPC セキュリティグループで定義されているルールがアクセスを制御します。

EC2-VPC プラットフォームでプロビジョンするクラスターごとに、1 つ以上の Amazon VPC セキュリティグループが関連付けられます。Amazon VPC は、デフォルトという VPC セキュリティグループを提供します。これは VPC を作成するときに自動的に作成されます。VPC で起動するクラスターは、Redshift のリソース作成時に別の VPC セキュリティグループを指定しない限り、それぞれがデフォルトの VPC セキュリティグループに自動的に関連付けられます。クラスターの作成時にクラスターに VPC セキュリティグループを関連付けるか、または後でクラスターを変更して VPC セキュリティグループを関連付けることができます。

次のスクリーンショットは、デフォルトの VPC セキュリティグループ用のデフォルトルールについて示しています。

この表はセキュリティグループのインバウンドルールとアウトバウンドルールを示しています。各ルールには、送信元または送信先、プロトコル、ポート範囲、コメントがあります。

必要に応じてデフォルトの VPC セキュリティグループのルールを変更できます。

デフォルトの VPC セキュリティグループだけで十分であれば、さらにグループを作成する必要はありません。ただし、オプションでインバウンドアクセスをより適切に管理するために、追加の VPC セキュリティグループを作成できます。例えば、Amazon Redshift クラスターまたは Serverless ワークグループでサービスを実行していて、顧客に複数の異なるサービスレベルを提供しているとします。すべてのサービスレベルに同じアクセス権を与えたくない場合は、サービスレベルごとに別の VPC セキュリティグループ (サービスレベルごとに 1 つ) を作成することをお勧めします。その後、それらの VPC セキュリティグループをクラスターまたはワークグループに関連付けることができます。

VPC に対して最高 100 個の VPC セキュリティグループを作成し、VPC セキュリティグループを複数のクラスターおよびワークグループと関連付けることができます。ただし、クラスターまたはワークグループに関連付けることができる VPC セキュリティグループの数には制限があることに注意してください。

Amazon Redshift では、VPC セキュリティグループへの変更は直ちに適用されます。そのため、VPC セキュリティグループをクラスターに関連付けると、更新された VPC セキュリティグループのインバウンドクラスターアクセスルールは即座に適用されます。

VPC セキュリティグループの作成と変更は、https://console.aws.amazon.com/vpc/ で行うことができます。AWS CLI、Amazon EC2 CLI、および AWS Tools for Windows PowerShell を使用して、VPC セキュリティグループをプログラムで管理することもできます。VPC セキュリティグループの操作に関する詳細については、Amazon VPC ユーザーガイドVPC のセキュリティグループを参照してください。