配置自定义域
您可以使用 Amazon Redshift 或 Amazon Redshift Serverless 控制台创建自定义域 URL。如果您尚未进行配置,则自定义域名属性会在一般信息下显示为短划线(–)。创建 CNAME 记录和证书后,您可以关联集群或工作组的自定义域名。
创建自定义域关联需要以下 IAM 权限:
-
redshift:CreateCustomDomainAssociation– 您可以通过添加特定集群的 ARN 来限制对该集群的权限。 -
redshiftServerless:CreateCustomDomainAssociation– 您可以通过添加特定工作组的 ARN 来限制对该工作组的权限。 -
acm:DescribeCertificate
作为最佳实践,我们建议将权限策略附加到 IAM 角色,然后根据需要将其分配给用户和组。有关更多信息,请参阅 Amazon Redshift 中的 Identity and Access Management。
您可以通过执行以下步骤来分配自定义域名。
-
在 Redshift 控制台中选择集群,或者在 Amazon Redshift Serverless 控制台中选择工作组,然后在操作菜单下选择创建自定义域名。此时将显示对话框。
-
输入自定义域名。
-
为 ACM 证书选择来自 AWS Certificate Manager 的 ARN。确认您所做的更改。根据您创建证书的步骤中的指导,我们建议您通过 AWS Certificate Manager,选择符合托管续订资格的 DNS 经验证证书 。
-
在集群属性中,验证自定义域名和自定义域证书 ARN 中填充了您的条目,并列出了自定义域证书的到期日期。
配置自定义域后,仅可为新的自定义域使用 sslmode=verify-full。它不适用于默认端点。但您仍然可以使用其他 ssl 模式(例如 sslmode=verify-ca)连接到默认端点。
注意
提醒一下,集群重新定位不是配置其它 Redshift 联网特征的先决条件。您无需将其开启即可启用以下功能:
-
从跨账户或跨区域 VPC 连接到 Redshift – 您可以从一个 AWS Virtual Private Cloud (VPC) 连接到另一个包含 Redshift 数据库的虚拟私有云 (VPC)。这简化了管理,例如,对于来自不同账户或 VPC 的客户端访问,无需对连接到数据库的身份提供本地 VPC 访问权限。有关更多信息,请参阅从其他账户或区域中的 Redshift VPC 端点连接到 Amazon Redshift Serverless。
-
设置自定义域名 – 您可以创建自定义域名(如本主题中所述),以使端点名称更加相关和简单。
