Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im [Blog-Posting](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Steuerung des Netzwerkverkehrs mit erweitertem Redshift-VPC-Routing
<a name="enhanced-vpc-routing"></a>

Wenn Sie Enhanced VPC Routing für Amazon Redshift verwenden, erzwingt Amazon Redshift, dass der gesamte [COPY](https://docs.aws.amazon.com/redshift/latest/dg/r_COPY.html)- und [UNLOAD](https://docs.aws.amazon.com/redshift/latest/dg/r_UNLOAD.html)-Datenverkehr zwischen Ihrem Cluster und Ihren Datenrepositorys über Ihre Virtual Private Cloud (VPC) erfolgt, die auf dem Amazon-VPC-Service basiert. *Durch die Verwendung von erweitertem VPC-Routing können Sie Standard-VPC-Funktionen wie [VPC-Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html), [Netzwerkzugriffskontrolllisten (ACLs)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html), [VPC-Endpunkte, [VPC-Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html), [Internet-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) und [DNS-Server (Domain Name System)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) verwenden, wie im Amazon VPC-Benutzerhandbuch beschrieben.* Sie können mit diesen Features den Datenfluss zwischen dem Amazon-Redshift-Cluster und anderen Ressourcen verwalten. Wenn Sie Enhanced VPC Routing zur Weiterleitung des Datenverkehrs durch Ihre VPC verwenden, können Sie auch [VPC-Flussprotokolle](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) verwenden, um den COPY- und UNLOAD-Datenverkehr zu überwachen.

 Amazon-Redshift-Cluster und Arbeitsgruppen von Amazon Redshift Serverless unterstützen erweitertes VPC-Routing. Sie können Enhanced VPC Routing nicht mit Redshift Spectrum verwenden. Weitere Informationen finden Sie unter [Zugreifen auf Amazon-S3-Buckets mit Redshift Spectrum](spectrum-enhanced-vpc.md).

Wenn das erweiterte VPC-Routing nicht aktiviert ist, leitet Amazon Redshift den Datenverkehr über das Internet weiter, einschließlich des Datenverkehrs zu anderen Diensten innerhalb des AWS Netzwerks.

**Wichtig**  
Da Enhanced VPC Routing sich darauf auswirkt, wie Amazon Redshift auf andere Ressourcen zugreift, schlagen COPY- und UNLOAD-Befehle möglicherweise fehl, wenn Ihre VPC nicht ordnungsgemäß konfiguriert wurde. Sie müssen speziell einen Netzwerkpfad zwischen Ihrem VPC-Cluster und Ihren Datenressourcen erstellen, wie nachfolgend beschrieben.

Wenn Sie einen COPY- oder UNLOAD-Befehl auf einem Cluster mit aktiviertem Enhanced VPC Routing ausführen, leitet Ihre VPC den Datenverkehr über den *strengsten* bzw. spezifischsten verfügbaren Netzwerkpfad zu der angegebenen Ressource. 

Sie können beispielsweise die folgenden Wege in Ihrer VPC konfigurieren:
+ **VPC-Endpunkte** — Für Traffic zu einem Amazon S3 S3-Bucket in derselben AWS Region wie Ihr Cluster oder Ihre Arbeitsgruppe können Sie einen VPC-Endpunkt erstellen, um den Verkehr direkt an den Bucket weiterzuleiten. Wenn Sie VPC-Endpunkte verwenden, können Sie eine Endpunktrichtlinie anfügen, um den Zugriff auf Amazon S3 zu verwalten. Weitere Informationen zur Verwendung von Endpunkten mit Redshift finden Sie unter [Steuerung des Datenbankverkehrs mit VPC-Endpunkten](enhanced-vpc-working-with-endpoints.md). Wenn Sie Lake Formation verwenden, finden Sie weitere Informationen zum Herstellen einer privaten Verbindung zwischen Ihrer VPC und AWS Lake Formation at [AWS Lake Formation und zu den VPC-Endpunkten der Schnittstelle](https://docs.aws.amazon.com/lake-formation/latest/dg/privatelink.html) ().AWS PrivateLink
**Anmerkung**  
Wenn Sie Redshift-VPC-Endpunkte mit VPC-Gateway-Endpunkten von Amazon S3 verwenden, müssen Sie das erweiterte VPC-Routing in Redshift aktivieren. Weitere Informationen finden Sie unter [Gateway-Endpunkte für Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html).
+ **NAT-Gateway** — Sie können eine Verbindung zu einem Amazon S3 S3-Bucket in einer anderen AWS Region herstellen, und Sie können eine Verbindung zu einem anderen Service innerhalb des AWS Netzwerks herstellen. Sie können auch auf eine Host-Instance außerhalb des AWS Netzwerks zugreifen. Dazu müssen Sie ein [Network Address Translation (NAT)-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) erstellen, wie im *Amazon-VPC-Benutzerhandbuch* beschrieben.
+ **Internet-Gateway** – Zum Verbinden mit AWS -Services außerhalb Ihrer VPC können Sie ein [Internet-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) an Ihr VPC-Subnetz anfügen, wie im *Amazon-VPC-Benutzerhandbuch* beschrieben. Zur Verwendung eines Internet-Gateways muss Ihr Cluster oder Ihre Arbeitsgruppe eine öffentliche IP haben, damit andere Services mit ihm/ihr kommunizieren können.

Weitere Informationen finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) im Amazon-VPC-Benutzerhandbuch.

Für die Nutzung von Enhanced VPC Routing fallen keine zusätzlichen Gebühren an. Möglicherweise fallen bei bestimmten Operationen Datenübertragungskosten an. Dazu gehören Operationen wie UNLOAD to Amazon S3 in einer anderen AWS Region. COPY aus Amazon EMR oder Secure Shell (SSH) mit öffentlichen IP-Adressen. Weitere Informationen zu Preisen finden Sie unter [Amazon EC2 – Preise](https://aws.amazon.com/ec2/pricing/).

**Topics**
+ [Steuerung des Datenbankverkehrs mit VPC-Endpunkten](enhanced-vpc-working-with-endpoints.md)
+ [Aktivieren von erweitertem VPC-Routing](enhanced-vpc-enabling-cluster.md)
+ [Zugreifen auf Amazon-S3-Buckets mit Redshift Spectrum](spectrum-enhanced-vpc.md)

# Steuerung des Datenbankverkehrs mit VPC-Endpunkten
<a name="enhanced-vpc-working-with-endpoints"></a>

Sie können einen VPC-Endpunkt verwenden, um eine verwaltete Verbindung zwischen Ihrem Amazon-Redshift-Cluster oder Ihrer Serverless-Workgroup in einer VPC und Amazon Simple Storage Service (Amazon S3) herzustellen. Wenn Sie dies tun, bleibt der COPY- und UNLOAD-Datenverkehr zwischen Ihrer Datenbank und Ihren Daten in Amazon S3 in Ihrer Amazon VPC. Sie können eine Endpunktrichtlinie mit Ihrem Endpunkt verbinden, um den Zugriff auf Ihre Daten besser verwalten zu können. Beispielsweise können Sie Ihrem VPC-Endpunkt eine Richtlinie hinzufügen, die das Entladen von Daten nur zu einem bestimmten Amazon-S3-Bucket in Ihrem Konto erlaubt.

Erstellen Sie zur Verwendung von VPC-Endpunkten einen VPC-Endpunkt für die VPC, in der sich Ihr Data Warehouse befindet, und aktivieren Sie dann Enhanced VPC Routing. Sie können Enhanced VPC Routing aktivieren, wenn Sie Ihren Cluster oder Ihre Arbeitsgruppe erstellen, oder Sie können einen Cluster oder eine Arbeitsgruppe in einer VPC so modifizieren, dass er/sie Enhanced VPC Routing verwendet.

Ein VPC-Endpunkt verwendet Routing-Tabellen zum Steuern der Weiterleitung des Datenverkehrs zwischen einem Cluster oder einer Arbeitsgruppe in der VPC und Amazon S3. Alle Cluster und Arbeitsgruppen in mit den angegebenen Routing-Tabellen verbundenen Subnetzen verwenden automatisch diesen Endpunkt zum Zugriff auf den Service.

Ihre VPC verwendet die am meisten spezifische bzw. restriktive Route, die dem Datenverkehr entspricht, um zu bestimmen, wie der Datenverkehr weitergeleitet werden soll. Angenommen, es gibt eine Route in Ihrer Routing-Tabelle für den gesamten Internetdatenverkehr (0.0.0.0/0), die auf ein Internet-Gateway und einen Amazon-S3-Endpunkt verweist. In diesem Fall erhält die Endpunktroute Vorrang für den gesamten für Amazon S3 bestimmten Datenverkehr. Der Grund dafür ist, dass der IP-Adressbereich für den Amazon-S3-Service eine spezifischere Angabe als 0.0.0.0/0 ist. In diesem Beispiel wird der gesamte sonstige Internetdatenverkehr einschließlich des Datenverkehrs zu Amazon-S3-Buckets in anderen AWS-Regionenüber das Internet-Gateway geleitet.

Weitere Informationen zum Erstellen von VPC-Endpunkten finden Sie unter [Erstellen eines VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im *VPC-Benutzerhandbuch*.

Sie verwenden Endpunktrichtlinien zur Steuerung des Zugriffs von Ihrem Cluster oder Ihrer Arbeitsgruppe auf die Amazon-S3-Buckets, die Ihre Datendateien enthalten. Um eine spezifischere Steuerung zu erzielen, können Sie optional eine benutzerdefinierte Endpunktrichtlinie hinzufügen. Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Services mit Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *AWS PrivateLink -Leitfaden*. 

**Anmerkung**  
 AWS Database Migration Service (AWS DMS) ist ein Cloud-Dienst, der die Migration relationaler Datenbanken, Data Warehouses und anderer Arten von Datenspeichern ermöglicht. Es kann mit einigen Konfigurationseinschränkungen eine Verbindung zu jeder AWS Quell- oder Zieldatenbank herstellen, einschließlich einer Amazon Redshift Redshift-Datenbank, die VPC-fähig ist. Die Unterstützung von Amazon VPC-Endpunkten erleichtert die Aufrechterhaltung der end-to-end Netzwerksicherheit für Replikationsaufgaben. AWS DMS *Weitere Informationen zur Verwendung von Redshift mit AWS DMS finden Sie unter [Konfiguration von VPC-Endpunkten als AWS DMS Quell- und Zielendpunkte im Benutzerhandbuch](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_VPC_Endpoints.html).AWS Database Migration Service * 

Für die Nutzung von Endpunkten fallen keine zusätzlichen Gebühren an. Für die Datenübertragung und Ressourcennutzung fallen die Standardgebühren an. Weitere Informationen zu Preisen finden Sie unter [Amazon EC2 – Preise](https://aws.amazon.com/redshift/pricing/#Data_Transfer).

# Aktivieren von erweitertem VPC-Routing
<a name="enhanced-vpc-enabling-cluster"></a>

Sie können Enhanced VPC Routing aktivieren, wenn Sie einen Cluster erstellen oder ändern und wenn Sie eine Amazon-Redshift-Serverless-Arbeitsgruppe erstellen oder ändern.

Zur Arbeit mit erweitertem VPC-Routing muss Ihr Cluster oder Ihre Serverless-Arbeitsgruppe den folgenden Voraussetzungen und Einschränkungen entsprechen:
+ Ihr Cluster muss sich in einer VPC befinden. 

  Wenn Sie einen Amazon S3 S3-VPC-Endpunkt anhängen, wird der VPC-Endpunkt nur für den Zugriff auf Amazon S3 S3-Buckets in derselben Region verwendet. AWS Um auf Buckets in einer anderen AWS Region zuzugreifen (ohne den VPC-Endpunkt zu verwenden) oder auf andere AWS Dienste zuzugreifen, machen Sie Ihren Cluster oder Ihre serverlose Arbeitsgruppe öffentlich zugänglich oder verwenden Sie ein NAT-Gateway [(Network Address Translation)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html). Weitere Informationen finden Sie unter [Erstellen eines von Redshift bereitgestellten Clusters oder einer Arbeitsgruppe von Amazon Redshift Serverless in einer VPC](getting-started-cluster-in-vpc.md).
+ Sie müssen in Ihrer VPC die DSN-Namensauflösung aktivieren. Alternativ müssen Sie, wenn Sie einen eigenen DNS-Server betreiben, sicherstellen, dass DNS-Anforderungen an Amazon S3 korrekt in die von AWS gepflegten IP-Adressen aufgelöst werden. Weitere Informationen finden Sie unter [Verwendung von DNS in Ihrer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) im *Amazon VPC Benutzerhandbuch*.
+ In Ihrer VPC müssen DNS-Hostnamen aktiviert sein. DNS-Hostnamen werden standardmäßig aktiviert.
+ Ihre VPC-Endpunktrichtlinien müssen den Zugriff auf alle mit COPY-, UNLOAD- oder CREATE LIBRARY-Aufrufen in Amazon Redshift verwendeten Amazon-S3-Buckets zulassen, einschließlich Zugriff auf eventuell vorhandene Manifestdateien. Für COPY von Remote-Hosts müssen Ihre Endpunktrichtlinien den Zugriff auf jeden Hostcomputer zulassen. Weitere Informationen finden Sie unter [IAM-Berechtigungen für COPY, UNLOAD und CREATE LIBRARY](https://docs.aws.amazon.com/redshift/latest/dg/copy-usage_notes-access-permissions.html#copy-usage_notes-iam-permissions) im *Datenbankentwicklerhandbuch zu Amazon Redshift*.

**So aktivieren Sie erweitertes VPC-Routing für einen bereitgestellten Cluster**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. Wählen Sie im Navigationsmenü **Provisioned clusters dashboard** (Dashboard für bereitgestellte Cluster) und dann **Create cluster** (Cluster erstellen) aus und geben Sie die Eigenschaften unter **Cluster details** (Cluster-Details) ein. 

1. Um den Abschnitt **Additional configurations (Zusätzliche Konfigurationen)** anzuzeigen, deaktivieren Sie **Use defaults (Standardeinstellungen verwenden)**. 

1. Navigieren Sie zum Abschnitt **Network and security** (Netzwerk und Sicherheit).

1. Um **Enhanced VPC Routing** zu aktivieren, wählen Sie **Turn on** (Aktivieren) aus, um den Cluster-Datenverkehr über die VPC zu erzwingen. 

1. Wählen Sie **Create cluster (Cluster erstellen)** aus, um den Cluster zu erstellen. Es kann einige Minuten dauern, bis der Cluster zur Verwendung bereit ist.

**So aktivieren Sie erweitertes VPC-Routing für Amazon Redshift Serverless**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. Wählen Sie im Navigationsmenü **Serverless Dashboard** und anschließend **Create Workgroup** (Arbeitsgruppe erstellen) aus und geben Sie die Eigenschaften für Ihre Arbeitsgruppe ein. 

1. Navigieren Sie zum Abschnitt **Network and security** (Netzwerk und Sicherheit).

1. Wählen Sie **Turn on Enhanced VPC Routing** (Enhanced VPC Routing aktivieren) aus, um den Netzwerkdatenverkehr über die VPC zu leiten. 

1. Wählen Sie **Next** (Weiter) aus und beenden Sie die Eingabe Ihrer Arbeitsgruppeneigenschaften, bis Sie die Arbeitsgruppe erstellen (**Create**).

# Zugreifen auf Amazon-S3-Buckets mit Redshift Spectrum
<a name="spectrum-enhanced-vpc"></a>

Im Allgemeinen unterstützt Amazon Redshift Spectrum kein erweitertes VPC-Routing mit bereitgestellten Clustern, obwohl ein bereitgestellter Cluster externe Tabellen von Amazon S3 abfragen kann, wenn erweitertes VPC-Routing aktiviert ist.

Das erweiterte VPC-Routing für Amazon Redshift sendet bestimmten Datenverkehr über Ihre VPC. Dies bedeutet, dass der gesamte Datenverkehr zwischen Ihrem Cluster und Ihren Amazon-S3-Buckets erzwungenermaßen über Ihre Amazon VPC erfolgt. Da Redshift Spectrum auf AWS verwalteten Ressourcen läuft, die Amazon Redshift gehören, sich aber außerhalb Ihrer VPC befinden, verwendet Redshift Spectrum kein erweitertes VPC-Routing. 

Der Datenverkehr zwischen Redshift Spectrum und Amazon S3 wird sicher über das AWS private Netzwerk außerhalb Ihrer VPC geleitet. Der Flugverkehr wird mit dem Amazon Signature Version 4-Protokoll (SIGv4) signiert und mit HTTPS verschlüsselt. Dieser Datenverkehr wird auf der Grundlage der IAM-Rolle autorisiert, die Ihrem Amazon-Redshift-Cluster angefügt ist. Um den Redshift-Spectrum-Datenverkehr weiter zu verwalten, können Sie die IAM-Rolle Ihres Clusters und Ihre an den Amazon-S3-Bucket angehängte Richtlinie ändern. Möglicherweise müssen Sie Ihre VPC auch so konfigurieren, dass Ihr Cluster auf Athena zugreifen AWS Glue kann, wie im Folgenden beschrieben. 

 Da Enhanced VPC Routing sich darauf auswirkt, wie Amazon Redshift auf andere Ressourcen zugreift, schlagen Abfragen möglicherweise fehl, wenn Ihre VPC nicht ordnungsgemäß konfiguriert wurde. Weitere Informationen finden Sie unter [Steuerung des Netzwerkverkehrs mit erweitertem Redshift-VPC-Routing](enhanced-vpc-routing.md). Hier wird die Erstellung eines VPC-Endpunkts, eines NAT-Gateways und anderer Netzwerkressourcen zum Umleiten des Datenverkehrs auf Ihre Amazon-S3-Buckets ausführlicher beschrieben. 

**Anmerkung**  
Amazon Redshift Serverless unterstützt Enhanced VPC Routing für Abfragen an externe Tabellen in Amazon S3. Weitere Informationen zur Konfiguration finden Sie unter [Laden von Daten aus Amazon S3](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html#serverless-load-data-from-s3) im Amazon Redshift Serverless Getting Started Guide.

## Konfiguration der Berechtigungsrichtlinien bei der Verwendung von Amazon Redshift Spectrum
<a name="spectrum-enhanced-vpc-considerations"></a>

Berücksichtigen Sie bei der Verwendung von Redshift Spectrum Folgendes: 
+ [Zugriffsrichtlinien für Amazon-S3-Buckets und IAM-Rollen](#spectrum-enhanced-vpc-considerations-policies)
+ [Berechtigungen für die Annahme der IAM-Rolle](#spectrum-enhanced-vpc-considerations-cluster-role)
+ [Protokollieren und Prüfen des Amazon-S3-Zugriffs](#spectrum-enhanced-vpc-considerations-logging-s3)
+ [Zugang zu AWS Glue oder Amazon Athena](#spectrum-enhanced-vpc-considerations-glue-access)

### Zugriffsrichtlinien für Amazon-S3-Buckets und IAM-Rollen
<a name="spectrum-enhanced-vpc-considerations-policies"></a>

Sie können den Zugriff auf Daten in Ihren Amazon-S3-Buckets mit einer Bucket-Richtlinie steuern, die dem Bucket angefügt ist, aber auch über eine IAM-Rolle, die einem bereitgestellten Cluster angefügt ist. 

Redshift Spectrum auf bereitgestellten Clustern kann nicht auf Daten zugreifen, die in Amazon-S3-Buckets gespeichert sind, wenn diese eine Bucket-Richtlinie verwenden, die den Zugriff auf bestimmte VPC-Endpunkte beschränkt. Verwenden Sie stattdessen eine Bucket-Richtlinie, die den Zugriff nur auf bestimmte Prinzipale beschränkt, z. B. auf ein bestimmtes AWS Konto oder bestimmte Benutzer. 

Verwenden Sie für die IAM-Rolle, die Zugriff auf den Bucket erhält, eine Vertrauensstellung, die die Annahme der Rolle nur durch den Amazon-Redshift-Service-Prinzipal erlaubt. Wenn die Rolle Ihrem Cluster angefügt ist, kann sie nur im Kontext von Amazon Redshift verwendet und nicht außerhalb des Clusters freigegeben werden. Weitere Informationen finden Sie unter [Einschränken des Zugriffs auf IAM-Rollen](authorizing-redshift-service-database-users.md). Es kann auch eine Service-Kontrollrichtlinie (SCP) verwendet werden, um die Rolle weiter einzuschränken. Weitere Informationen finden Sie unter [Verhindern, dass IAM-Benutzer und -Rollen bestimmte Änderungen vornehmen, mit Ausnahme für eine angegebene Administratorrolle](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-restricts-with-exception) im *AWS Organizations -Benutzerhandbuch*.

**Anmerkung**  
Um Redshift Spectrum verwenden zu URLs können, dürfen keine IAM-Richtlinien vorhanden sein, die die Verwendung von Amazon S3 vorsigniert blockieren. Die von Amazon Redshift Spectrum URLs vorsignierten Dateien sind 1 Stunde gültig, sodass Amazon Redshift genügend Zeit hat, um alle Dateien aus dem Amazon S3 S3-Bucket zu laden. Für jede von Redshift Spectrum gescannte Datei wird eine eindeutige vorsignierte URL generiert. Sie müssen bei Bucket-Richtlinien, die die Aktion `s3:signatureAge` enthalten, den Wert auf mindestens 3.600.000 Millisekunden festlegen.

Die folgende Beispiel-Bucket-Richtlinie ermöglicht den Zugriff auf den angegebenen Bucket, der dem Konto gehört. AWS `123456789012` 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BucketPolicyForSpectrum",
            "Effect": "Allow",
            "Principal": {
                "AWS": ["arn:aws:iam::123456789012:role/redshift"]
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucketVersions",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

### Berechtigungen für die Annahme der IAM-Rolle
<a name="spectrum-enhanced-vpc-considerations-cluster-role"></a>

Die Ihrem Cluster angefügte Rolle sollte über eine Vertrauensstellung verfügen, die die Annahme der Rolle nur dem Amazon-Redshift-Service erlaubt, wie nachfolgend gezeigt.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Weitere Informationen finden Sie unter [IAM-Richtlinien für Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-spectrum-iam-policies.html) im *Datenbankentwicklerhandbuch zu Amazon Redshift*.

### Protokollieren und Prüfen des Amazon-S3-Zugriffs
<a name="spectrum-enhanced-vpc-considerations-logging-s3"></a>

Ein Vorteil der Verwendung von Enhanced VPC Routing für Amazon Redshift ist, dass der gesamte COPY- und UNLOAD-Datenverkehr in den VPC-Flow-Protokollen protokolliert wird. Von Redshift Spectrum stammender Datenverkehr zu Amazon S3 wird nicht durch Ihre VPC geleitet und wird daher auch nicht in den VPC-Flow-Protokollen aufgezeichnet. Wenn Redshift Spectrum auf Daten in Amazon S3 zugreift, führt es diese Vorgänge im Kontext des AWS Kontos und der jeweiligen Rollenrechte aus. Sie können den Amazon-S3-Zugriff mithilfe von Serverzugriffsprotokollierung in AWS CloudTrail und Amazon S3 protokollieren und prüfen. 

Stellen Sie sicher, dass die S3-IP-Bereiche zu Ihrer Zulassungsliste hinzugefügt werden. Weitere Informationen zu den erforderlichen S3-IP-Bereichen finden Sie unter [Netzwerkisolierung](https://docs.aws.amazon.com//redshift/latest/mgmt/security-network-isolation.html#network-isolation).

**AWS CloudTrail Protokolle** 

Um den gesamten Zugriff auf Objekte in Amazon S3, einschließlich des Redshift Spectrum-Zugriffs, nachzuverfolgen, aktivieren CloudTrail Sie die Protokollierung für Amazon S3 S3-Objekte. 

Sie können CloudTrail damit Kontoaktivitäten in Ihrer gesamten AWS Infrastruktur anzeigen, suchen, herunterladen, archivieren, analysieren und darauf reagieren. Weitere Informationen finden Sie unter [Erste Schritte mit CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-getting-started.html). 

Verfolgt standardmäßig nur CloudTrail Aktionen auf Bucket-Ebene. Um Aktionen auf Objektebene (z. B. `GetObject`) zu verfolgen, aktivieren Sie Daten- und Verwaltungsereignisse für jeden protokollierten Bucket. 

**Amazon-S3-Server-Zugriffsprotokollierung** 

Die Server-Zugriffsprotokollierung bietet detaillierte Aufzeichnungen über die Anforderungen, die an einen Bucket gestellt wurden. Die Zugriffsprotokollinformationen können für Sicherheits- und Zugriffsüberprüfungen nützlich sein. Weitere Informationen finden Sie unter [So aktivieren Sie die Server-Zugriffsprotokollierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html#server-access-logging-overview) im *Benutzerhandbuch zu Amazon Simple Storage Service*.

Weitere Informationen finden Sie im AWS Sicherheits-Blogbeitrag [How to Use Bucket Policies and Apply Defense-in-Depth, um Ihre Amazon S3 S3-Daten zu schützen](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/). 

### Zugang zu AWS Glue oder Amazon Athena
<a name="spectrum-enhanced-vpc-considerations-glue-access"></a>

Redshift Spectrum greift auf Ihren Datenkatalog in AWS Glue oder Athena zu. Eine weitere Option ist die Verwendung eines speziellen Hive-Metastores für Ihren Datenkatalog. 

Um den Zugriff auf AWS Glue oder Athena zu aktivieren, konfigurieren Sie Ihre VPC mit einem Internet-Gateway oder NAT-Gateway. Konfigurieren Sie Ihre VPC-Sicherheitsgruppen so, dass ausgehender Datenverkehr zu den öffentlichen Endpunkten für AWS Glue und Athena zugelassen wird. Alternativ können Sie einen VPC-Schnittstellen-Endpunkt konfigurieren, für den AWS Glue Zugriff auf Ihren AWS Glue Data Catalog. Wenn Sie einen VPC-Schnittstellenendpunkt verwenden, AWS Glue erfolgt die Kommunikation zwischen Ihrer VPC und innerhalb des AWS Netzwerks. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).

Sie können in Ihrer VPC die folgenden Pfade konfigurieren: 
+ **Internet-Gateway** — Um eine Verbindung zu AWS Diensten außerhalb Ihrer VPC herzustellen, können Sie ein [Internet-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) an Ihr VPC-Subnetz anschließen, wie im *Amazon* VPC-Benutzerhandbuch beschrieben. Zur Verwendung eines Internet-Gateways muss Ihr bereitgestellter Cluster eine öffentliche IP-Adresse haben, damit andere Services mit ihm kommunizieren können. 
+ **NAT-Gateway** — Um eine Verbindung zu einem Amazon S3 S3-Bucket in einer anderen AWS Region oder zu einem anderen Service innerhalb des AWS Netzwerks herzustellen, konfigurieren Sie ein [Network Address Translation (NAT) -Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), wie im *Amazon VPC-Benutzerhandbuch* beschrieben. Sie können mit dieser Konfiguration auch auf eine Host-Instance außerhalb des AWS -Netzwerks zugreifen.

Weitere Informationen finden Sie unter [Steuerung des Netzwerkverkehrs mit erweitertem Redshift-VPC-Routing](enhanced-vpc-routing.md).