本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Redshift 受管 VPC 端點
根據預設,Amazon Redshift 叢集或 Amazon Redshift Serverless 工作群組會佈建在虛擬私有雲端 (VPC) 中。當您允許公有存取或設定網際網路閘道、NAT 裝置或 連線將流量路由到 VPC 時,可以從另一個 VPC 或 AWS Direct Connect 子網路存取 VPC。您也可以設定 Redshift 受管 VPC 端點 (由 提供) 來存取叢集或工作群組 AWS PrivateLink。
您可以將 Redshift 受管 VPC 端點設定為包含叢集或工作群組的 VPC 與執行用戶端工具的 VPC 之間的私有連線。如果叢集或工作群組位於另一個帳戶中,帳戶擁有者 (授權方) 必須授予連線帳戶 (授權方) 的存取權。使用此方法,您可以存取資料倉儲,而無需使用公有 IP 地址或透過網際網路路由流量。
以下是允許使用 Redshift 受管 VPC 端點存取的常見原因:
-
AWS 帳戶 A 想要允許 AWS 帳戶 B 中的 VPC 存取叢集或工作群組。
-
AWS 帳戶 A 想要允許帳戶 AWS A 中的 VPC 存取叢集或工作群組。
-
AWS 帳戶 A 想要允許 AWS 帳戶 A 內 VPC 中的不同子網路存取叢集或工作群組。
設定 Redshift 受管 VPC 端點以存取另一個帳戶中叢集或工作群組的工作流程如下:
-
擁有者帳戶會授予另一個帳戶的存取授權,並指定承授者 AWS 的帳戶 ID 和 VPC 識別符 (或所有 VPCs)。
-
被授予者帳戶收到通知,指出其已擁有建立 Redshift 管理的 VPC 端點的許可。
-
被授予者帳戶建立 Redshift 管理的 VPC 端點。
-
承授者帳戶會使用 Redshift 受管 VPC 端點存取擁有者帳戶的叢集或工作群組。
您可以使用 Amazon Redshift 主控台、 AWS CLI或 Amazon Redshift API 來執行此操作。
使用 Redshift 管理的 VPC 端點時的考量
注意
若要建立或修改 Redshift 受管 VPC 端點,除了 AWS 受管政策 ec2:ModifyVpcEndpoint 中指定的其他許可之外,還需要 許可ec2:CreateVpcEndpoint或 IAM 政策中的 AmazonRedshiftFullAccess。
在使用 Redshift 管理的 VPC 端點時,請記住以下事項:
-
如果您使用的是佈建叢集,則其必須具有 RA3 節點類型。Amazon Redshift Serverless 工作群組也適用於設定 VPC 端點。
-
對於佈建的叢集,請確定叢集已針對叢集重新定位或多可用區域啟用。如需開啟叢集重新定位要求的相關資訊,請參閱重新定位叢集。如需啟用異地同步備份的詳細資訊,請參閱 在建立新叢集時設定多可用區。
-
確定叢集或工作群組可透過其安全群組存取,其有效連接埠範圍為 5431-5455 和 8191-8215。預設值為 5439。
-
您可以修改與現有 Redshift 管理的 VPC 端點相關聯的 VPC 安全群組。若要修改其他設定,請刪除目前的 Redshift 管理的 VPC 端點並建立新端點。
-
您可建立的 Redshift 管理的 VPC 端點數目受限於 VPC 端點的配額。
-
Redshift 管理的 VPC 端點無法從網際網路存取。Redshift 受管 VPC 端點只能在佈建端點的 VPC 內存取,或從與佈建端點的 VPCs 對等的任何 VPC 存取,如路由表和安全群組所允許。
-
您無法使用 Amazon VPC 主控台來管理 Redshift 管理的 VPC 端點。
-
當您為佈建叢集建立 Redshift 受管 VPC 端點時,您選擇的 VPC 必須具有子網路群組。若要建立子網路群組,請參閱 建立叢集子網路群組。
-
如果可用區域關閉,Amazon Redshift 不會在另一個可用區域中建立新的彈性網路介面。在這種情況下,您可能需要建立新的端點。
如需有關配額和命名限制的資訊,請參閱 Amazon Redshift 中的配額和限制。
如需定價的詳細資訊,請參閱 AWS PrivateLink 定價。
