VPC セキュリティグループ
Amazon Redshift クラスターまたは Amazon Redshift Serverless ワークグループをプロビジョニングすると、アクセスはデフォルトで制限されるため、誰もアクセスできません。他のユーザーにインバウンドアクセスを許可するには、クラスターをセキュリティグループに関連付けます。EC2-VPC プラットフォームを使用する場合は、既存の Amazon VPC セキュリティグループを使用するか、新しいグループを定義することができます。次に、下記の説明どおり、クラスターまたはワークグループに関連付けます。EC2-Classic プラットフォームでは、セキュリティグループを定義し、そのグループをクラスターまたはワークグループに関連付けます。EC2-Classic プラットフォームでのセキュリティグループの使用の詳細については、「Amazon Redshift セキュリティグループ」を参照してください。
VPC セキュリティグループは、使用中のクラスターなど、VPC 上のインスタンスへのアクセスを制御しているルールのセットで構成されます。個別のルールのセットは、IP アドレスの範囲または他の VPC セキュリティグループに基づいてアクセスします。VPC セキュリティグループをクラスターまたはワークグループに関連付けると、VPC セキュリティグループで定義されているルールがアクセスを制御します。
EC2-VPC プラットフォームでプロビジョンするクラスターごとに、1 つ以上の Amazon VPC セキュリティグループが関連付けられます。Amazon VPC は、デフォルトという VPC セキュリティグループを提供します。これは VPC を作成するときに自動的に作成されます。VPC で起動するクラスターは、Redshift のリソース作成時に別の VPC セキュリティグループを指定しない限り、それぞれがデフォルトの VPC セキュリティグループに自動的に関連付けられます。クラスターの作成時にクラスターに VPC セキュリティグループを関連付けるか、または後でクラスターを変更して VPC セキュリティグループを関連付けることができます。
次のスクリーンショットは、デフォルトの VPC セキュリティグループ用のデフォルトルールについて示しています。
必要に応じてデフォルトの VPC セキュリティグループのルールを変更できます。
デフォルトの VPC セキュリティグループだけで十分であれば、さらにグループを作成する必要はありません。ただし、オプションでインバウンドアクセスをより適切に管理するために、追加の VPC セキュリティグループを作成できます。例えば、Amazon Redshift クラスターまたは Serverless ワークグループでサービスを実行していて、顧客に複数の異なるサービスレベルを提供しているとします。すべてのサービスレベルに同じアクセス権を与えたくない場合は、サービスレベルごとに別の VPC セキュリティグループ (サービスレベルごとに 1 つ) を作成することをお勧めします。その後、それらの VPC セキュリティグループをクラスターまたはワークグループに関連付けることができます。
VPC に対して最高 100 個の VPC セキュリティグループを作成し、VPC セキュリティグループを複数のクラスターおよびワークグループと関連付けることができます。ただし、クラスターまたはワークグループに関連付けることができる VPC セキュリティグループの数には制限があることに注意してください。
Amazon Redshift では、VPC セキュリティグループへの変更は直ちに適用されます。そのため、VPC セキュリティグループをクラスターに関連付けると、更新された VPC セキュリティグループのインバウンドクラスターアクセスルールは即座に適用されます。
VPC セキュリティグループの作成と変更は、https://console.aws.amazon.com/vpc/
