Sperren des öffentlichen Zugriffs auf VPCs Subnetze - Amazon Redshift

Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im Blog-Posting.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sperren des öffentlichen Zugriffs auf VPCs Subnetze

VPC Block Public Access (BPA) ist eine zentralisierte Sicherheitsfunktion, mit der Sie verhindern können, dass Ressourcen in VPCs und Subnetzen, die Ihnen gehören, das Internet erreichen oder dass sie über Internet-Gateways und Internet-Gateways nur für ausgehenden Datenverkehr vom Internet aus erreicht werden. AWS-Region Wenn Sie diese Funktion in einem aktivierenAWS-Konto, wirkt sie sich standardmäßig auf alle VPC oder Subnetze aus, die Amazon Redshift verwendet. Dies bedeutet, dass Amazon Redshift alle Operationen für die Öffentlichkeit blockiert.

Wenn Sie VPC BPA aktiviert haben und Amazon Redshift APIs über das öffentliche Internet verwenden möchten, müssen Sie eine Ausnahme für die Nutzung von Amazon EC2 APIs für Ihre VPC oder Ihr Subnetz hinzufügen. Ausschlüsse können einen der folgenden Modi haben:

  • Bidirektional: Der gesamte Internetverkehr zu und von den ausgeschlossenen Subnetzen und Subnetzen ist zulässig. VPCs

  • Nur ausgehender Internetverkehr: Ausgehender Internetverkehr aus den ausgeschlossenen Subnetzen und Subnetzen ist zulässig. VPCs Eingehender Internetverkehr zu den ausgeschlossenen und den ausgeschlossenen Subnetzen wird blockiert. VPCs Dies gilt nur, wenn BPA auf „Bidirektional“ eingestellt ist.

VPC-BPA-Ausschlüsse kennzeichnen eine gesamte VPC oder ein bestimmtes Subnetz innerhalb einer VPC als öffentlich zugriffsfähig. Netzwerkschnittstellen innerhalb dieser Grenze respektieren die regulären VPC-Netzwerkkontrollen wie Sicherheitsgruppen, Routing-Tabellen und Netzwerk in Bezug darauf ACLs, ob diese Schnittstelle über eine Route und einen Zugang zum öffentlichen Internet verfügt. Weitere Informationen zum Hinzufügen von Ausschlüssen finden Sie unter Erstellen und Löschen von Ausnahmen im Amazon-VPC-Benutzerhandbuch.

Bereitgestellte Cluster

Eine Subnetzgruppe ist eine Kombination aus Subnetzen aus derselben VPC. Wenn sich eine Subnetzgruppe für einen bereitgestellten Cluster in einem Konto befindet, für das VPC BPA aktiviert ist, sind die folgenden Funktionen blockiert:

  • Erstellen eines öffentlichen Clusters

  • Wiederherstellen eines öffentlichen Clusters

  • Ändern eines privaten Clusters zu einem öffentlichen Cluster

  • Hinzufügen eines Subnetzes mit aktivierter VPC BPA zur Subnetzgruppe, wenn sich mindestens ein öffentlicher Cluster in der Gruppe befindet

Serverless-Cluster

Redshift Serverless verwendet keine Subnetzgruppen. Stattdessen hat jeder Cluster seinen eigenen Satz an Subnetzen. Wenn sich eine Arbeitsgruppe in einem Konto befindet, auf dem VPC BPA aktiviert ist, sind die folgenden Funktionen gesperrt:

  • Erstellen einer Arbeitsgruppe mit öffentlichem Zugriff

  • Ändern einer privaten Arbeitsgruppe zu einer öffentlichen

  • Hinzufügen eines Subnetzes mit aktivierter VPC BPA zur Arbeitsgruppe, wenn die Arbeitsgruppe öffentlich ist