管理集群的 VPC 安全组
在您预置 Amazon Redshift 集群时,它默认处于锁定状态,因此任何人都无法访问。要为其他用户授予针对 Amazon Redshift 集群的入站访问权限,您可以将该集群与安全组关联起来。如果您处于 EC2-VPC 平台上,则可使用现有的 Amazon VPC 安全组或者定义一个新的安全组。然后将它与集群关联,如下所述。如果您处于 EC2-Classic 平台上,您可以定义一个集群安全组,并将其与集群关联。有关在 EC2-Classic 平台上使用集群安全组的更多信息,请参阅Amazon Redshift 集群安全组。
VPC 安全组中包含一组规则,用于控制对 VPC 上实例(如您的集群)的访问。各个规则根据 IP 地址范围或其他 VPC 安全组设置访问权限。当您将 VPC 安全组与集群关联后,在 VPC 安全组中定义的规则即可控制对集群的访问。
您在 EC2-VPC 平台上预置的每个集群均拥有一个或多个与其关联的 Amazon VPC 安全组。Amazon VPC 提供一个名为 default 的 VPC 安全组,该安全组是在您创建 VPC 时自动创建的。如果您在创建集群时未指定其他 VPC 安全组,则您在 VPC 内启动的每个集群都会自动与默认 VPC 安全组关联。您可以在创建集群时将 VPC 安全组与之关联,也可以稍后通过修改该集群再将 VPC 安全组与之关联。
下表介绍了默认 VPC 安全组的默认规则。
![](images/security_groups.png)
您可以视需要针对您的 Amazon Redshift 集群更改默认 VPC 安全组的规则。
如果默认 VPC 安全组足以满足您的需求,则无需创建更多 VPC 安全组。不过,您可以选择创建其他 VPC 安全组,以便更好地管理针对您的集群的入站访问权限。例如,假设您正在 Amazon Redshift 集群上运行一项服务,向客户提供多种不同的服务水平。如果您不希望在所有服务级别提供相同的访问权限,则可能需要创建单独的 VPC 安全组,每种服务级别一个。然后,您可以将这些 VPC 安全组与您的集群关联起来。
您可以为一个 VPC 创建最多 100 个 VPC 安全组,并将一个 VPC 安全组与许多集群关联。不过,您最多只能将五个 VPC 安全组与一个给定集群关联。
Amazon Redshift 可将更改即时应用到 VPC 安全组。因此,如果您已将该 VPC 安全组与某个集群关联,则更新后的 VPC 安全组中的入站集群访问规则将立即应用。
您可以在 https://console.aws.amazon.com/vpc/