屏蔽 VPC 和子网的公共访问权限
VPC 屏蔽公共访问权限(BPA)是一种集中式安全功能,可以使用它来阻止您在 AWS 区域中拥有的 VPC 和子网中的资源通过互联网网关和仅出口互联网网关访问互联网,或从互联网进行访问。如果您在 AWS 账户中开启此功能,则默认情况下,它将影响 Amazon Redshift 使用的任何 VPC 或子网。这意味着 Amazon Redshift 会阻止公众执行所有操作。
当您开启了 VPC BPA 并想通过公共互联网使用 Amazon Redshift API 时,您必须添加一个排除项,以便在您的 VPC 或子网中使用 Amazon EC2 API。排除可以采用以下任一模式:
-
双向:允许进出已排除 VPC 和子网的所有互联网流量。
-
仅出口:允许来自已排除 VPC 和子网的出站互联网流量。进入已排除 VPC 和子网的入站互联网流量已被阻止。这仅在 BPA 设置为双向时适用。
VPC BPA 排除项将整个 VPC 或 VPC 内的特定子网指定为可公开访问。该边界内的网络接口遵守常规的 VPC 网络控制,例如安全组、路由表和网络 ACL,以决定该接口是否具有访问公共互联网的路由和权限。有关添加排除项的更多信息,请参阅《Amazon VPC 用户》指南中的创建和删除排除项。
预置集群
子网组是同一 VPC 中子网的组合。如果预置集群的子网组位于开启了 VPC BPA 的账户中,则以下功能将被阻止:
-
创建公有集群
-
还原公有集群
-
将私有集群修改为公有集群
-
当子网组中至少有一个公有集群时,向该子网组添加已开启 VPC BPA 的子网
无服务器集群
Redshift Serverless 不使用子网组。相反,每个集群都有自己的子网集。如果工作组位于开启了 VPC BPA 的账户中,则以下功能将被阻止:
-
创建公有访问工作组
-
将私有工作组修改为公有工作组
-
当工作组为公有工作组时,向工作组添加已开启 VPC BPA 的子网
