使用 VPC 端点控制数据库流量 - Amazon Redshift

使用 VPC 端点控制数据库流量

您可以使用 VPC 端点,创建 VPC 中的 Amazon Redshift 集群或 Serverless 工作组与 Amazon Simple Storage Service(Amazon S3)之间的托管连接。在执行此操作时,您的数据库与 Amazon S3 数据之间的 COPY 和 UNLOAD 流量将保留在您的 Amazon VPC 中。可以将终端节点策略附加到您的终端节点,以便更严格地管理对数据的访问。例如,可以向 VPC 终端节点添加策略以仅允许将数据上载到您账户中的特定 Amazon S3 存储桶。

要使用 VPC 终端节点,请为数据仓库所在的 VPC 创建 VPC 端点,然后开启增强型 VPC 路由。可以在 VPC 中创建集群时开启增强型 VPC 路由,也可以修改 VPC 中的集群或工作组以使用增强型 VPC 路由。

VPC 端点使用路由表来控制 VPC 中的集群或工作组和 Amazon S3 之间的流量路由。与指定路由表关联的子网中的所有集群和工作组会自动使用该端点来访问服务。

您的 VPC 使用与流量匹配的最具体的或最严格的路由来决定路由流量的方式。例如,假设路由表中有一条路由用于所有指向互联网网关和 Amazon S3 端点的互联网流量 (0.0.0.0/0)。在这种情况下,对所有传送到 Amazon S3 的流量优先使用端点路由。这是因为 Amazon S3 服务的 IP 地址范围比 0.0.0.0/0 更具体。在此示例中,所有其他互联网流量(包括定位到其他 AWS 区域 区域内的 Amazon S3 存储桶的流量)将流向互联网网关。

有关创建端点的更多信息,请参阅《Amazon VPC 用户指南》中的创建 VPC 端点

您使用端点策略控制从集群或工作组到包含数据文件的 Amazon S3 存储桶的访问。要实现更具体的控制,您可以选择附加一个自定义终端节点策略。有关更多信息,请参阅《AWS PrivateLink 指南》中的使用端点策略控制对服务的访问权限

注意

AWS Database Migration Service(AWS DMS)是一项云服务,可轻松迁移关系数据库、数据仓库及其他类型的数据存储。这项服务可以连接到任何 AWS 源数据库或目标数据库,包括启用了 VPC 的 Amazon Redshift 数据库,但有一些配置限制。支持 Amazon VPC 端点可使 AWS DMS 更轻松地维护复制任务的端到端网络安全。有关将 Redshift 与 AWS DMS 结合使用的详细信息,请参阅《AWS Database Migration Service 用户指南》中的将 VPC 端点配置为 AWS DMS 源端点和目标端点

使用终端节点不收取任何额外费用。采用标准的数据传输和资源使用计费方式。有关定价的更多信息,请参阅 Amazon EC2 定价