Amazon Redshift
管理指南 (API Version 2012-12-01)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

管理群集的 VPC 安全组

在您预置 Amazon Redshift 群集时,它默认处于锁定状态,因此任何人都无法访问。要为其他用户授予针对 Amazon Redshift 群集的入站访问权限,您可以将该群集与安全组关联起来。如果您处于 EC2-VPC 平台上,则可以使用现有的 Amazon VPC 安全组或者定义一个新的安全组,然后将其与群集关联,如下所述。如果您处于 EC2-Classic 平台上,您可以定义一个群集安全组,并将其与群集关联。有关在 EC2-Classic 平台上使用群集安全组的更多信息,请参阅Amazon Redshift 群集安全组

VPC 安全组中包含一组规则,用于控制对 VPC 上实例(如您的群集)的访问。各个规则根据 IP 地址范围或其他 VPC 安全组设置访问权限。当您将 VPC 安全组与群集关联后,在 VPC 安全组中定义的规则即可控制对群集的访问。

您在 EC2-VPC 平台上预置的每个群集均有一个或多个关联的 Amazon VPC 安全组。Amazon VPC 提供一个名为 default 的 VPC 安全组,该安全组是在您创建 VPC 时自动创建的。如果您在创建群集时未指定其他 VPC 安全组,则您在 VPC 内启动的每个群集都会自动与默认 VPC 安全组关联。您可以在创建群集时将 VPC 安全组与之关联,也可以稍后通过修改该群集再将 VPC 安全组与之关联。有关将 VPC 安全组与群集关联的更多信息,请参阅创建群集修改群集

下表介绍了默认 VPC 安全组的默认规则。

您可以视需要针对您的 Amazon Redshift 群集更改默认 VPC 安全组的规则。

如果默认 VPC 安全组对您来说已经够用,则您无需创建更多 VPC 安全组。不过,您可以选择创建其他 VPC 安全组,以便更好地管理针对您的群集的入站访问权限。例如,假设您正在 Amazon Redshift 群集上运行一项服务,向客户提供多种不同的服务水平。如果您不想在所有服务水平提供相同的访问权限,则可能需要创建单独的 VPC 安全组,为每种服务水平各创建一个。然后,您可以将这些 VPC 安全组与您的群集关联起来。

请注意,虽然您可以为一个 VPC 创建多达 100 个 VPC 安全组,还能将一个 VPC 安全组与多个群集关联,但您最多只能将 5 个 VPC 安全组与一个给定群集关联。

Amazon Redshift 可将更改即时应用到 VPC 安全组。因此,如果您已将该 VPC 安全组与某个群集关联,则更新后的 VPC 安全组中的入站群集访问规则将立即应用。

您可以在 https://console.amazonaws.cn/vpc/ 中创建和修改 VPC 安全组。您还可以使用 AWS CLI、AWS EC2 CLI 和适用于 Windows PowerShell 的 AWS 工具以编程方式管理 VPC 安全组。有关使用 VPC 安全组的更多信息,请转至 Amazon VPC 用户指南 中的您的 VPC 的安全组