正在连接至 Amazon Redshift 使用界面VPC终点 - Amazon Redshift
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

正在连接至 Amazon Redshift 使用界面VPC终点

您可以直接联系 Amazon Redshift 使用接口VPC端点的API服务(AWS PrivateLink),而不是通过互联网连接。有关 Amazon Redshift API操作,请参阅 行动Amazon Redshift API Reference. 更多关于 AWS PrivateLink,见 接口VPC端点(AWSPrivateLink)Amazon VPC 用户指南. 请注意,与群集的JDBC/ODBC连接不是 Amazon Redshift API服务。

当您使用接口VPC终点时,您的VPC和 Amazon Redshift 完全在可提供更高安全性的ASM网络内进行。每个 VPC 终端节点都由您的 VPC 子网中一个或多个使用私有 IP 地址的弹性网络接口代表。有关弹性网络界面的更多信息,请参阅 弹性网络界面Amazon EC2 用户指南(适用于 Linux 实例).

接口VPC终点将您的VPC直接连接至 Amazon Redshift. 它不使用互联网网关、网络地址转换(NAT)设备、虚拟专用网络(VPN)连接,或 AWS Direct Connect 连接。VPC 中的实例不需要公有 IP 地址便可与 Amazon Redshift API 进行通信。

使用 Amazon Redshift 通过您的VPC,您有两种选择。一种是从您的VPC内的实例进行连接。另一个方法是使用 AWS VPN 选项或 AWS Direct Connect. 更多关于 AWS VPN 选项,请参阅 VPN连接Amazon VPC 用户指南. 有关 AWS Direct Connect,见 创建联系AWS Direct Connect 用户指南

您可以创建要连接的接口VPC端点 Amazon Redshift 使用 AWS 管理控制台 或 AWS Command Line Interface (AWS CLI命令。更多信息,请参阅 创建界面端点.

创建接口VPC端点后,您可以为端点启用专用的DNS用户名。当你这样做时,默认的 Amazon Redshift 终点(https://redshift.Region.amazonaws.com)解析到您的VPC终点。

如果您不启用专用的DNS用户名,则azonderVPC将提供DNS端点名称,您可以采用以下格式。

VPC_endpoint_ID.redshift.Region.vpce.amazonaws.com

更多信息,请参阅 接口VPC端点(AWSPrivateLink)阿斯利康VPC用户指南.

Amazon Redshift 支持拨打所有 API操作 VPC内。

您可以将VPC终点策略附加至VPC终点,以控制 AWS Identity and Access Management (IAM)委托人。您还可以将安全组与VPC端点相关联,以根据网络流量的来源和目的地控制入站和出站访问。例如,一系列IP地址。更多信息,请参阅 通过VPC终点控制对服务的访问Amazon VPC 用户指南

您可以为VPC终点创建策略 Amazon Redshift 说明以下内容:

  • 可以或不可以执行操作的主要人员

  • 可执行的操作。

  • 可对其执行操作的资源。

更多信息,请参阅 通过VPC端点控制对服务的访问Amazon VPC 用户指南.

接下来,您可以找到VPC终点策略的示例。

以下VPC端点策略拒绝了ASM帐户 123456789012 使用该终点访问所有资源。

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }

以下VPC终点策略仅允许IAM用户完全访问 红色 到AW帐户 123456789012。所有其他IAM委托人都无法使用终点进行访问。

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/redshiftadmin" ] } }] }

以下VPC端点策略仅允许使用ASM帐户 123456789012 执行指定的 Amazon Redshift 行动。

指定的操作为 Amazon Redshift 提供等效的只读访问权限。针对指定账户拒绝 VPC 上的所有其他操作。此外,所有其他帐户也被拒绝访问。有关 Amazon Redshift 行动,请参阅 行动、资源和条件要素 Amazon RedshiftIAM 用户指南.

{ "Statement": [ { "Action": [ "redshift:DescribeAccountAttributes", "redshift:DescribeClusterParameterGroups", "redshift:DescribeClusterParameters", "redshift:DescribeClusterSecurityGroups", "redshift:DescribeClusterSnapshots", "redshift:DescribeClusterSubnetGroups", "redshift:DescribeClusterVersions", "redshift:DescribeDefaultClusterParameters", "redshift:DescribeEventCategories", "redshift:DescribeEventSubscriptions", "redshift:DescribeHsmClientCertificates", "redshift:DescribeHsmConfigurations", "redshift:DescribeLoggingStatus", "redshift:DescribeOrderableClusterOptions", "redshift:DescribeQuery", "redshift:DescribeReservedNodeOfferings", "redshift:DescribeReservedNodes", "redshift:DescribeResize", "redshift:DescribeSavedQueries", "redshift:DescribeScheduledActions", "redshift:DescribeSnapshotCopyGrants", "redshift:DescribeSnapshotSchedules", "redshift:DescribeStorage", "redshift:DescribeTable", "redshift:DescribeTableRestoreStatus", "redshift:DescribeTags", "redshift:FetchResults", "redshift:GetReservedNodeExchangeOfferings" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }

以下VPC终点政策允许所有客户和委托人完全访问。与此同时,它拒绝任何对AW账户的访问 123456789012 采取的行动, Amazon Redshift 含群集ID的群集 my-redshift-cluster。其他 Amazon Redshift 仍然允许不支持群集的资源级别权限的操作。有关 Amazon Redshift 操作及其相应的资源类型,请参阅 行动、资源和条件要素 Amazon RedshiftIAM 用户指南.

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster", "Principal": { "AWS": [ "123456789012" ] } } ] }