VPC 및 서브넷에 대한 퍼블릭 액세스 차단 - Amazon Redshift

VPC 및 서브넷에 대한 퍼블릭 액세스 차단

VPC 퍼블릭 액세스 차단(BPA)은 중앙 집중식 보안 기능으로, 인터넷 게이트웨이 및 이그레스 전용 인터넷 게이트웨이를 통한 AWS 리전 소유 VPC 및 서브넷의 리소스의 인터넷 송신 또는 수신을 차단할 수 있습니다. AWS 계정에서 이 기능을 켜면 기본적으로 Amazon Redshift가 사용하는 VPC 또는 서브넷에 영향을 미칩니다. 즉, Amazon Redshift는 퍼블릭에 대한 모든 작업을 차단합니다.

VPC BPA가 켜져 있고 퍼블릭 인터넷을 통해 Amazon Redshift API를 사용하려는 경우 VPC 또는 서브넷에 Amazon EC2 API를 사용하기 위한 제외를 추가해야 합니다. 제외 항목에는 다음 모드 중 하나를 사용할 수 있습니다.

  • 양방향: 제외된 VPC 및 서브넷을 오가는 모든 인터넷 트래픽이 허용됩니다.

  • 송신 전용: 제외된 VPC 및 서브넷의 아웃바운드 인터넷 트래픽만 허용됩니다. 제외된 VPC 및 서브넷으로의 인바운드 인터넷 트래픽은 차단됩니다. 이는 BPA가 양방향으로 설정된 경우에만 적용됩니다.

VPC BPA 제외는 전체 VPC 또는 VPC 내의 특정 서브넷을 퍼블릭 액세스 가능으로 지정합니다. 해당 경계 내의 네트워크 인터페이스는 해당 인터페이스에 퍼블릭 인터넷에 대한 라우팅 및 액세스 권한이 있는지와 관련하여 보안 그룹, 라우팅 테이블 및 네트워크 ACL과 같은 일반 VPC 네트워킹 제어를 준수합니다. 제외 추가에 대한 자세한 내용은 Amazon VPC 사용 설명서Create and delete exclusions 섹션을 참조하세요.

프로비저닝된 클러스터

서브넷 그룹은 동일한 VPC의 서브넷 조합입니다. 프로비저닝된 클러스터의 서브넷 그룹이 VPC BPA가 켜져 있는 계정에 있는 경우 다음 기능이 차단됩니다.

  • 퍼블릭 클러스터 만들기

  • 퍼블릭 클러스터 복원

  • 프라이빗 클러스터를 퍼블릭으로 수정

  • 그룹 내에 퍼블릭 클러스터가 하나 이상 있는 경우 VPC BPA가 켜져 있는 서브넷을 서브넷 그룹에 추가

Serverless 클러스터

Redshift Serverless는 서브넷 그룹을 사용하지 않습니다. 대신 각 클러스터에는 자체 서브넷 세트가 있습니다. 작업 그룹이 VPC BPA가 켜져 있는 계정에 있는 경우 다음 기능이 차단됩니다.

  • 퍼블릭 액세스 작업 그룹 만들기

  • 프라이빗 작업 그룹을 퍼블릭으로 수정

  • 작업 그룹이 퍼블릭일 때 VPC BPA가 켜져 있는 서브넷을 작업 그룹에 추가