Amazon Redshift 서버리스에 연결

Amazon Redshift Serverless 인스턴스를 설정한 후에는 아래에 설명된 다양한 방법으로 인스턴스에 연결할 수 있습니다. 여러 팀이나 프로젝트가 있고 비용을 별도로 관리하고 싶다면 별도의 AWS 계정를 사용할 수 있습니다.

Amazon Redshift Serverless를 사용할 수 있는 AWS 리전 목록은 Amazon Web Services 일반 참조의 Amazon Redshift Serverless API에 나열된 엔드포인트를 참조하세요.

Amazon Redshift Serverless는 현재 AWS 리전의 AWS 계정에 있는 서버리스 환경에 연결됩니다. Amazon Redshift Serverless는 포트 범위 5431~5455 및 8191~8215 내의 VPC에서 실행됩니다. 기본값은 5439입니다. 현재는 API 작업 UpdateWorkgroup 및 AWS CLI 작업 update-workgroup을 통해서만 포트를 변경할 수 있습니다.

Amazon Redshift 서버리스에 연결

다음 구문을 사용하여 Amazon Redshift Serverless의 데이터베이스(이름: dev)에 연결할 수 있습니다.

workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:port/dev

예를 들어 다음 연결 문자열은 us-east-1 리전을 지정합니다.

default.123456789012.us-east-1.redshift-serverless.amazonaws.com:5439/dev

JDBC 드라이버를 통해 Amazon Redshift 서버리스에 연결

다음 방법 중 하나를 통해 Amazon Redshift에서 제공하는 JDBC 드라이버 버전 2 드라이버를 사용하여 원하는 SQL 클라이언트로 Amazon Redshift Serverless에 연결할 수 있습니다.

JDBC 드라이버 버전 2.1.x 이상을 사용하여 데이터베이스 인증을 위한 로그인 보안 인증과 연결하려면 다음 구문을 사용합니다. 포트 번호는 선택 사항입니다. 포함되지 않은 경우 Amazon Redshift Serverless는 기본적으로 포트 번호 5439로 설정됩니다. 포트 범위 5431~5455 또는 8191~8215에서 다른 포트로 변경할 수 있습니다. 서버리스 엔드포인트의 기본 포트를 변경하려면 AWS CLI 및 Amazon Redshift API를 사용하세요.

jdbc:redshift://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev

예를 들어 다음 연결 문자열은 작업 그룹 기본값, 계정 ID 123456789012 및 리전 us-east-2를 지정합니다.

jdbc:redshift://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev

JDBC 드라이버 버전 2.1.x를 사용하여 IAM에 연결하려면 다음 구문을 사용합니다. 포트 번호는 선택 사항입니다. 포함되지 않은 경우 Amazon Redshift Serverless는 기본적으로 포트 번호 5439로 설정됩니다. 포트 범위 5431~5455 또는 8191~8215에서 다른 포트로 변경할 수 있습니다. 서버리스 엔드포인트의 기본 포트를 변경하려면 AWS CLI 및 Amazon Redshift API를 사용하세요.

jdbc:redshift:iam://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev

예를 들어 다음 연결 문자열은 작업 그룹 기본값, 계정 ID 123456789012 및 리전 us-east-2를 지정합니다.

jdbc:redshift:iam://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev

ODBC의 경우 다음 구문을 사용합니다.

Driver={Amazon Redshift (x64)}; Server=workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com; Database=dev

2.1.0.9 이전 버전의 JDBC 드라이버를 사용 중이며 IAM에 연결하는 경우 다음 구문을 사용해야 합니다.

jdbc:redshift:iam://redshift-serverless-<name>:aws-region/database-name

예를 들어 다음 연결 문자열은 작업 그룹 기본값 및 AWS 리전 us-east-1을 지정합니다.

jdbc:redshift:iam://redshift-serverless-default:us-east-1/dev

드라이버에 대한 자세한 내용은 Amazon Redshift에서 연결 구성 섹션을 참조하세요.

JDBC 및 ODBC 연결 문자열 찾기

SQL 클라이언트 도구를 사용하여 작업 그룹에 연결하려면 JDBC 또는 ODBC 연결 문자열이 있어야 합니다. Amazon Redshift Serverless 콘솔의 작업 그룹 세부 정보 페이지에서 연결 문자열을 확인할 수 있습니다.

Data API를 사용하여 Amazon Redshift Serverless에 연결

Amazon Redshift Data API를 사용하여 Amazon Redshift Serverless에 연결할 수도 있습니다. AWS CLI 호출에서 cluster-identifier 파라미터 대신 workgroup-name 파라미터를 사용합니다.

Data API에 대한 자세한 내용은 Amazon Redshift Data API 사용 섹션을 참조하세요. Python에서 데이터 API를 호출하는 예제 코드 및 기타 예제는 Redshift 데이터 API 시작하기를 참조하고 GitHub의 quick-start 및 use-cases 폴더를 살펴보세요.

SSL을 사용하여 Amazon Redshift Serverless에 연결

Amazon Redshift Serverless에 대한 보안 연결 구성

SSL 연결을 지원하기 위해 Redshift Serverless는 AWS Certificate Manager(ACM)에서 발급한 SSL 인증서를 생성해 각 작업 그룹에 설치합니다. ACM 인증서는 대부분의 운영 체제, 웹 브라우저 및 클라이언트에서 공개적으로 신뢰합니다. SQL 클라이언트 또는 애플리케이션의 sslmode 연결 옵션이 require, verify-ca 또는 verify-full로 설정된 상태에서 SSL을 사용하여 Redshift Serverless에 연결하는 경우 인증서 번들을 다운로드해야 합니다. 클라이언트에 인증서가 필요한 경우 Redshift Serverless는 다음과 같이 번들 인증서를 제공합니다.

기본적으로 작업 그룹 데이터베이스는 SSL의 사용 여부와 상관없이 연결을 허용합니다.

SSL 연결만 허용하는 새 작업 그룹을 만들려면 create-workgroup 명령을 사용하고 require_ssl 파라미터를 true로 설정합니다. 다음 예제를 사용하려면 네임스페이스 이름을 yourNamespaceName으로 바꾸고 WorkgroupName을 작업 그룹 이름으로 바꿉니다.

aws redshift-serverless create-workgroup \
--namespace-name yourNamespaceName \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=require_ssl,parameterValue=true

SSL 연결만 허용하는 기존 작업 그룹을 업데이트하려면 update-workgroup 명령을 사용하고 require_ssl 파라미터를 true로 설정합니다. 참고로 Redshift Serverless는 require_ssl 파라미터가 업데이트되면 작업 그룹을 다시 시작합니다. 다음 예제에서 yourWorkgroupName을 작읍 그룹의 이름으로 바꿉니다.

aws redshift-serverless update-workgroup \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=require_ssl,parameterValue=true

Amazon Redshift는 ECDHE(Elliptic Curve Diffie—Hellman Ephemeral) 키 계약 프로토콜을 지원합니다. ECDHE 프로토콜에서는 클라이언트와 서버가 비보안 채널을 통해 공유 비밀을 구성하는 데 사용하는 타원 곡선 공개-비공개 키 페어를 갖습니다. ECDHE를 사용하기 위해 Amazon Redshift에서 아무 것도 구성할 필요가 없습니다. ECDHE를 통해 클라이언트와 서버 간 통신을 암호화하는 SQL 클라이언트 도구에서 연결하는 경우 Amazon Redshift가 제공된 암호 목록을 사용해 적절히 연결합니다. 자세한 내용은 Wikipedia의 Elliptic curve diffie—hellman 및 OpenSSL 웹 사이트의 Ciphers 섹션을 참조하세요.

Amazon Redshift Serverless에 대한 FIPS 준수 SSL 연결 구성

FIPS 준수 SSL 연결을 사용하는 새 작업 그룹을 생성하려면 create-workgroup 명령을 사용하고 use_fips_ssl 파라미터를 true로 설정합니다. 다음 예제를 사용하려면 네임스페이스 이름을 yourNamespaceName으로 바꾸고 WorkgroupName을 작업 그룹 이름으로 바꿉니다.

aws redshift-serverless create-workgroup \
--namespace-name yourNamespaceName \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=use_fips_ssl,parameterValue=true

FIPS 준수 SSL 연결을 사용하도록 기존 작업 그룹을 업데이트하려면 update-workgroup 명령을 사용하고 use_fips_ssl 파라미터를 true로 설정합니다. 참고로 Redshift Serverless는 use_fips_ssl 파라미터가 업데이트되면 작업 그룹을 다시 시작합니다. 다음 예제에서 yourWorkgroupName을 작읍 그룹의 이름으로 바꿉니다.

aws redshift-serverless update-workgroup \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=use_fips_ssl,parameterValue=true

FIPS 준수 연결을 사용하도록 Redshift Serverless를 구성하는 방법에 대한 자세한 내용은 Amazon Redshift 데이터베이스 개발자 안내서의 use_fips_ssl을 참조하세요.

Amazon Redshift 관리형 VPC 엔드포인트에서 Amazon Redshift Serverless에 연결

다른 VPC 엔드포인트에서 Amazon Redshift Serverless에 연결

Amazon Redshift Serverless 작업 그룹을 위한 관리형 VPC 엔드포인트를 설정 또는 구성하는 방법에 대한 자세한 내용은 Redshift 관리형 VPC 엔드포인트 작업을 참조하세요.

인터페이스 VPC 엔드포인트에서 Amazon Redshift Serverless에 연결(AWS PrivateLink)

인터페이스 VPC 엔드포인트(AWS PrivateLink)에서 Amazon Redshift Serverless에 연결하는 방법에 대한 자세한 내용은 인터페이스 VPC 엔드포인트 섹션을 참조하세요.

다른 계정 또는 리전의 Redshift VPC 엔드포인트에서 Amazon Redshift Serverless에 연결

교차 VPC 엔드포인트에서 Amazon Redshift Serverless에 연결

Amazon Redshift Serverless는 VPC에서 프로비저닝됩니다. 다른 계정의 VPC에 액세스 권한을 부여하여 사용자 계정의 Amazon Redshift Serverless에 액세스하도록 할 수 있습니다. 이는 관리형 VPC 엔드포인트의 연결과 비슷하지만, 이 경우 연결은 예를 들어 다른 계정의 데이터베이스 클라이언트에서 시작됩니다. 수행할 수 있는 몇 가지 작업이 있습니다.

크로스 계정 액세스의 주요 이점은 데이터베이스 협업이 더 쉬워진다는 것입니다. 데이터베이스가 포함된 계정에서 사용자를 프로비저닝하지 않아도 데이터베이스에 액세스할 수 있으므로 구성 단계가 줄어들고 시간이 절약됩니다.

다른 계정의 VPC에 대한 액세스 권한을 부여하는 데 필요한 권한

액세스를 허용하거나 허용된 액세스를 변경하려면 권한 부여자에게 다음 권한이 포함된 할당된 권한 정책이 필요합니다.

AWS 관리형 정책 AmazonRedshiftFullAccess에 지정된 다른 권한이 필요할 수 있습니다. 자세한 내용은 Amazon Redshift Serverless에 권한 부여를 참조하세요.

피부여자에게는 다음 권한이 포함된 할당된 권한 정책이 필요합니다.

가장 좋은 방법은 권한 정책을 IAM 역할에 연결한 다음 필요에 따라 사용자 및 그룹에 할당하는 것입니다. 자세한 내용은 Amazon Redshift의 Identity and Access Management를 참조하세요.

다음은 VPC 간 액세스를 구성하는 데 사용되는 샘플 리소스 정책입니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountCrossVPCAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                   "123456789012",
                   "234567890123"
                ]
             },
            "Action": [
                "redshift-serverless:CreateEndpointAccess",
                "redshift-serverless:UpdateEndpointAccess",
                "redshift-serverless:DeleteEndpointAccess",
                "redshift-serverless:GetEndpointAccess"
            ],
            "Condition": {
                "ArnLike": {
                    "redshift-serverless:AuthorizedVpc": [
                        "arn:aws:ec2:us-east-1:123456789012:vpc/*",
                        "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-456",
                        "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-987"
                        ]
                    }
                }
            }
        }
    ]
}

이 섹션의 다음 절차에서는 이러한 작업을 수행하는 사용자가 예를 들어 해당 권한이 나열된 할당된 IAM 역할을 통해 적절한 권한을 할당받은 것으로 가정합니다. 또한 작업 그룹에 적절한 리소스 권한이 부여된 IAM 역할이 연결되어 있다고 가정합니다.

콘솔을 사용하여 다른 계정에 VPC 액세스 권한 부여

이 절차는 데이터베이스 소유자가 데이터베이스 액세스 권한을 부여하려는 경우 데이터베이스 액세스를 구성하는 단계를 보여줍니다.

변경 사항을 저장하면 해당 계정이 부여된 계정 목록에 나타납니다. 항목에는 계정 ID와 액세스 권한이 부여된 VPC 목록이 표시됩니다.

데이터베이스 소유자는 계정에 대한 액세스 권한을 취소할 수도 있습니다. 소유자는 언제든지 액세스 권한을 취소할 수 있습니다.

액세스 권한이 부여되면 피부여자의 데이터베이스 관리자는 콘솔을 확인하여 액세스 권한이 있는지 확인할 수 있습니다.

콘솔을 사용하여 다른 계정에 액세스 권한 부여

액세스 권한을 부여하는 계정은 먼저 put-resource-policy를 사용하여 연결할 다른 계정에 액세스 권한을 부여해야 합니다. 데이터베이스 소유자는 put-resource-policy를 호출하여 다른 계정이 작업 그룹에 연결을 생성하도록 권한을 부여할 수 있습니다. 그러면 피부여자 계정은 create-endpoint-authorization을 사용하여 허용된 VPC를 통해 작업 그룹에 대한 연결을 생성할 수 있습니다.

다음은 특정 계정 및 VPC에 대한 액세스를 허용하기 위해 호출할 수 있는 put-resource-policy 속성을 보여줍니다.

aws redshift-serverless put-resource-policy
--resource-arn <value> 
--policy <value>

명령을 호출한 후 get-resource-policy를 호출하여 resource-arn을 지정함으로써 리소스에 액세스할 수 있는 계정과 VPC를 확인할 수 있습니다.

피부여자는 다음과 같은 호출을 할 수 있습니다. 부여된 액세스 권한에 대한 정보가 표시됩니다. 특히 액세스 권한이 부여된 VPC가 포함된 목록을 반환합니다.

aws redshift-serverless list-workgroups
--owner-account <value>

이는 피부여자가 권한 부여 계정으로부터 엔드포인트 권한 부여에 대한 정보를 가져오기 위한 것입니다. owner-account는 공유하는 계정입니다. 실행하면 각 작업 그룹에 대해 허용된 VPC 목록인 CrossAccountVpcs가 반환됩니다. 참고로 다음은 작업 그룹에 사용할 수 있는 모든 속성을 보여줍니다.

Output: workgroup (Object)
workgroupId String,
workgroupArn String,
workgroupName String,
status: String,
namespaceName: String,
baseCapacity: Integer, (Not-applicable)
enhancedVpcRouting: Boolean,
configParameters: List,
securityGroupIds: List,
subnetIds: List,
endpoint: String,
publiclyAccessible: Boolean,
creationDate: Timestamp,
port: Integer,
CrossAccountVpcs: List

추가 리소스

네트워크 트래픽 설정을 지정하는 방법은 기본 또는 사용자 지정 보안 그룹 구성을 통한 퍼블릭 액세스 가능성에서 확인할 수 있습니다. 클러스터에 퍼블릭 액세스가 가능한 사용 사례가 나와 있습니다.

네트워크 트래픽 설정을 지정하는 방법은 기본 또는 사용자 지정 보안 그룹 구성을 통한 프라이빗 액세스 가능성에서 확인할 수 있습니다. 인터넷에서 클러스터를 사용할 수 없는 사용 사례가 나와 있습니다.

권한 부여, 추가 서비스에 대한 액세스 권한 부여, IAM 역할 생성을 비롯한 Amazon Redshift Serverless로의 보안 연결에 대한 자세한 내용은 Amazon Redshift Serverless의 Identity and Access Management 섹션을 참조하세요.