Endpoints da VPC gerenciados pelo Redshift - Amazon Redshift
Considerações

Endpoints da VPC gerenciados pelo Redshift

Por padrão, um cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor é provisionado em uma nuvem privada virtual (VPC). A VPC pode ser acessada por meio de outra VPC ou sub-rede quando você permite acesso público ou configura um gateway da internet, um dispositivo NAT ou uma conexão do AWS Direct Connect para rotear o tráfego para ela. Ou você pode acessar um cluster ou grupo de trabalho configurando um endpoint da VPC gerenciado pelo Redshift (habilitado pelo AWS PrivateLink).

É possível configurar um endpoint da VPC gerenciado pelo Redshift como uma conexão privada entre uma VPC que contém um cluster ou grupo de trabalho e uma VPC em que uma ferramenta cliente está sendo executada. Se o cluster ou grupo de trabalho estiver em outra conta, o proprietário da conta (concessor) precisará conceder acesso à conta que está estabelecendo conexão (favorecida). Com essa abordagem, você pode acessar o data warehouse sem usar um endereço IP público ou rotear tráfego pela internet.

Estes são os motivos comuns para permitir o acesso usando um endpoint da VPC gerenciado pelo Redshift:

  • Uma conta A da AWS deseja permitir que uma VPC em uma conta B da AWS tenha acesso a um cluster ou grupo de trabalho.

  • Uma conta A da AWS deseja permitir que uma VPC que também está na conta A da AWS tenha acesso a um cluster ou grupo de trabalho.

  • A conta A da AWS deseja permitir que uma sub-rede diferente na VPC dentro da conta A da AWS tenha acesso a um cluster ou grupo de trabalho.

O fluxo de trabalho para configurar um endpoint da VPC gerenciado pelo Redshift para acessar um cluster ou grupo de trabalho em outra conta é o seguinte:

  1. A conta de proprietário concede autorização de acesso a outra conta e especifica o ID da conta da AWS e o identificador da VPC (ou de todas as VPCs) do favorecido.

  2. A conta do favorecido é notificada de que eles têm permissão para criar um endpoint da VPC gerenciado por Redshift.

  3. A conta do favorecido cria um endpoint da VPC gerenciado por Redshift.

  4. A conta do favorecido acessa o cluster ou grupo de trabalho da conta do proprietário usando o endpoint da VPC gerenciado pelo Redshift.

Você pode fazer isso usando o console do Amazon Redshift, a AWS CLI ou a API do Amazon Redshift.

Considerações ao usar endpoints da VPC gerenciados por Redshift

nota

Para criar ou modificar endpoints da gerenciados pelo Redshift, você precisa da permissão ec2:CreateVpcEndpoint ou ec2:ModifyVpcEndpoint na política do IAM, além de outras permissões especificadas na política AmazonRedshiftFullAccess gerenciada pela AWS.

Ao usar endpoints da VPC gerenciados pelo Redshift, lembre-se do seguinte:

  • Se você estiver usando um cluster provisionado, ele deverá ter o tipo de nó RA3. Um grupo de trabalho do Amazon Redshift sem servidor também funciona para configurar um endpoint da VPC.

  • Para clusters provisionados, verifique se o cluster está habilitado para realocação de cluster ou multi-AZ. Para obter informações sobre os requisitos para ativar a realocação de cluster, consulte Realocar um cluster. Para ter informações sobre como habilitar multi-AZ, consulte Configurar multi-AZ ao criar um cluster.

  • Verifique se o cluster ou grupo de trabalho a ser acessado por meio do respectivo grupo de segurança está disponível nos intervalos de portas válidos 5431-5455 e 8191-8215. O padrão é 5439.

  • Você pode modificar os grupos de segurança da VPC associados a um endpoint da VPC gerenciado por Redshift existente. Para modificar outras configurações, exclua o endpoint da VPC gerenciado pelo Redshift atual e crie um novo.

  • O número de endpoints da VPC gerenciados por Redshift que você pode criar está limitado à cota de endpoint da VPC.

  • Os endpoints da VPC gerenciados por Redshift não são acessíveis pela Internet. Um endpoint da VPC gerenciado pelo Redshift é acessível somente dentro da VPC em que o endpoint é provisionado ou de qualquer VPC emparelhada com a VPC em que o endpoint é provisionado conforme permitido pelas tabelas de rotas e pelos grupos de segurança.

  • Você não pode usar o console da Amazon VPC para gerenciar endpoints da VPC gerenciados pelo Redshift.

  • Quando você cria um endpoint da VPC gerenciado pelo Redshift para um cluster provisionado, a VPC escolhida deve ter um grupo de sub-redes. Para criar um grupo de sub-redes, consulte Criação de um grupo de sub-redes de clusters.

  • Se uma zona de disponibilidade estiver inativa, o Amazon Redshift não criará uma interface de rede elástica em outra zona de disponibilidade. Nesse caso, talvez seja necessário criar um endpoint.

Para obter informações sobre cotas e restrições de nomeação, consulte Cotas e limites no Amazon Redshift.

Para obter mais informações sobre preços, consulte Preços do AWS PrivateLink.