Redshift 관리형 VPC 엔드포인트 - Amazon Redshift
고려 사항

Redshift 관리형 VPC 엔드포인트

기본적으로 Amazon Redshift 클러스터 또는 Amazon Redshift Serverless 작업 그룹은 Virtual Private Cloud(VPC)에서 프로비저닝됩니다. VPC는 퍼블릭 액세스를 허용하거나 인터넷 게이트웨이, NAT 디바이스 또는 AWS Direct Connect 연결을 설정하여 트래픽을 라우팅할 때 다른 VPC 또는 서브넷에서 액세스할 수 있습니다. 또한 Redshift 관리형 VPC 엔드포인트(AWS PrivateLink 기반)를 설정하여 클러스터 또는 작업에 액세스할 수 있습니다.

클러스터 또는 작업 그룹이 포함된 VPC와 클라이언트 도구를 실행하는 VPC 간의 프라이빗 연결로 Redshift 관리형 VPC 엔드포인트를 설정할 수 있습니다. 클러스터 또는 작업 그룹이 다른 계정에 있는 경우 계정 소유자(부여자)는 연결하는 계정(피부여자)에게 액세스 권한을 부여해야 합니다. 이 접근 방식을 사용하면 퍼블릭 IP 주소를 사용하거나 인터넷을 통해 트래픽을 라우팅하지 않고도 데이터 웨어하우스에 액세스할 수 있습니다.

Redshift 관리형 VPC 엔드포인트를 사용하여 액세스를 허용하는 일반적인 이유는 다음과 같습니다.

  • AWS 계정 A는 AWS 계정 B의 VPC가 클러스터 또는 작업 그룹에 액세스할 수 있도록 허용하려고 합니다.

  • AWS 계정 A는 AWS 계정 A에도 있는 VPC가 클러스터 또는 작업 그룹에 액세스할 수 있도록 허용하려고 합니다.

  • AWS 계정 A는 AWS 계정 A 내의 VPC에 있는 다른 서브넷이 클러스터 또는 작업 그룹에 액세스할 수 있도록 허용하려고 합니다.

Redshift 관리형 VPC 엔드포인트를 설정하여 다른 계정의 클러스터 또는 작업 그룹에 액세스하는 워크플로는 다음과 같습니다.

  1. 소유자 계정은 다른 계정에 액세스 권한을 부여하고 피부여자의 AWS 계정 ID와 VPC 식별자(또는 모든 VPC)를 지정합니다.

  2. 피부여자 계정은 Redshift 관리형 VPC 엔드포인트를 생성할 권한이 있다는 알림을 받습니다.

  3. 피부여자 계정은 Redshift 관리형 VPC 엔드포인트를 생성합니다.

  4. 피부여자 계정은 Redshift 관리형 VPC 엔드포인트를 사용하여 소유자 계정의 클러스터 또는 작업 그룹에 액세스할 수 있습니다.

Amazon Redshift 콘솔, AWS CLI 또는 Amazon Redshift API를 사용하여 이 프로세스를 수행할 수 있습니다.

Redshift 관리형 VPC 엔드포인트 사용 시 고려 사항

참고

RedShift 관리형 VPC 엔드포인트를 생성하거나 수정하려면 AWS 관리형 정책 AmazonRedshiftFullAccess에 지정된 기타 권한 외에도 IAM 정책 내에 ec2:CreateVpcEndpoint 또는 ec2:ModifyVpcEndpoint 권한이 필요합니다.

Redshift 관리형 VPC 엔드포인트를 사용할 때 다음 사항에 유의합니다.

  • 프로비저닝된 클러스터를 사용하는 경우 노드 유형이 RA3이어야 합니다. Amazon Redshift Serverless 작업 그룹은 VPC 엔드포인트를 설정하는 데에도 사용할 수 있습니다.

  • 프로비저닝된 클러스터의 경우 클러스터에 클러스터 재배치 또는 다중 AZ가 활성화되어 있어야 합니다. 클러스터 재배치를 설정하기 위한 요구 사항에 대한 자세한 내용은 클러스터 재부팅 섹션을 참조하세요. 다중 AZ 활성화에 대한 자세한 내용은 새 클러스터 생성 시 다중 AZ 설정 섹션을 참조하세요.

  • 보안 그룹을 통해 액세스할 클러스터 또는 작업 그룹이 유효한 포트 범위 5431~5455 및 8191~8215 내에서 사용 가능한지 확인합니다. 기본값은 5439입니다.

  • 기존 Redshift 관리형 VPC 엔드포인트와 연결된 VPC 보안 그룹을 수정할 수 있습니다. 다른 설정을 수정하려면 현재 Redshift 관리형 VPC 엔드포인트를 삭제하고 새 엔드포인트를 생성합니다.

  • 생성할 수 있는 Redshift 관리형 VPC 엔드포인트 수는 VPC 엔드포인트 할당량으로 제한됩니다.

  • Redshift 관리형 VPC 엔드포인트는 인터넷에서 액세스할 수 없습니다. Redshift 관리형 VPC 엔드포인트는 엔드포인트가 프로비저닝된 VPC 내에서 또는 라우팅 테이블 및 보안 그룹에서 허용하는 대로 엔드포인트가 프로비저닝된 VPC와 피어링된 VPC에서만 액세스할 수 있습니다.

  • Amazon VPC 콘솔을 사용하여 Redshift 관리형 VPC 엔드포인트를 관리할 수 없습니다.

  • 프로비저닝된 클러스터에 대해 Redshift 관리형 VPC 엔드포인트를 만들 때 선택하는 VPC에는 클러스터 서브넷 그룹이 있어야 합니다. 서브넷 그룹을 생성하려면 클러스터 서브넷 그룹 생성 섹션을 참조하세요.

  • 가용 영역이 다운된 경우 Amazon Redshift는 다른 가용 영역에 새로운 탄력적 네트워크 인터페이스를 생성하지 않습니다. 이 경우 새 엔드포인트를 생성해야 할 수도 있습니다.

할당량 및 명명 제약 조건에 대한 자세한 내용은 Amazon Redshift의 할당량 및 제한 섹션을 참조하세요.

요금에 대한 자세한 정보는 AWS PrivateLink 요금을 참조하세요.