Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im [Blog-Posting](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Netzwerkaufgaben
<a name="networking-tasks"></a>

Sie können Netzwerkaufgaben wie das Anpassen Ihrer Verbindung zu einer Redshift-Datenbank ausführen. Möglicherweise möchten Sie dies tun, um den Datenverkehr aus Sicherheitsgründen oder aus anderen Gründen zu kontrollieren. Sie können auch DNS-bezogene Aufgaben ausführen, z. B. einen benutzerdefinierten Domainnamen für Ihre Redshift-Ressourcen einrichten. Diese Konfigurationsaufgaben stehen Ihnen zur Verfügung, wenn Sie über einen von Amazon Redshift bereitgestellten Cluster oder eine Arbeitsgruppe von Amazon Redshift Serverless verfügen.

**Topics**
+ [Verwenden benutzerdefinierter Domain-Namen für Client-Verbindungen](connecting-connection-CNAME.md)
+ [Von Redshift verwaltete VPC-Endpunkte](managing-cluster-cross-vpc.md)
+ [Redshift-Ressourcen in einer VPC](managing-clusters-vpc.md)
+ [Steuerung des Netzwerkverkehrs mit erweitertem Redshift-VPC-Routing](enhanced-vpc-routing.md)

# Verwenden benutzerdefinierter Domain-Namen für Client-Verbindungen
<a name="connecting-connection-CNAME"></a>

 Sie können sowohl für Ihren Amazon-Redshift-Cluster als auch für Ihre Amazon-Redshift-Serverless-Arbeitsgruppe einen benutzerdefinierten Domain-Namen, auch als benutzerdefinierte URL bezeichnet, erstellen. Es ist ein easy-to-read DNS-Eintrag, der SQL-Client-Verbindungen an Ihren Endpunkt weiterleitet. Sie können ihn jederzeit für einen vorhandenen Cluster oder eine vorhandene Arbeitsgruppe konfigurieren. Er bietet mehrere Vorteile:
+ Der benutzerdefinierte Domain-Name ist eine einfachere Zeichenfolge als die Standard-URL, die in der Regel den Cluster-Namen oder den Arbeitsgruppennamen und die Region enthält. Er ist einfacher abzurufen und zu verwenden.
+ Im Falle eines Failovers beispielsweise können Sie den Datenverkehr schnell an einen neuen Cluster oder eine neue Arbeitsgruppe weiterleiten. Dadurch müssen Clients keine Konfigurationsänderung vornehmen, wenn sie erneut eine Verbindung herstellen. Verbindungen können zentral und mit minimaler Unterbrechung umgeleitet werden. 
+ Sie müssen keine privaten Informationen wie z. B. Servernamen in einer Verbindungs-URL weitergeben. Sie können diese in einer benutzerdefinierten URL verbergen.

Wenn Sie einen benutzerdefinierten Domain-Namen mithilfe eines CNAME einrichten, fallen bei Amazon Redshift keine zusätzlichen Gebühren an. Möglicherweise wird Ihnen von Ihrem DNS-Anbieter ein Domain-Name in Rechnung gestellt, wenn Sie einen neuen erstellen, aber diese Kosten sind in der Regel gering. 

# Registrieren eines Domain-Namens
<a name="connecting-connection-CNAME-certificates"></a>

 Zum Einrichten des benutzerdefinierten Domain-Namens müssen mehrere Aufgaben ausgeführt werden: unter anderem muss der Domain-Name bei Ihrem DNS-Anbieter registriert werden und es muss ein Zertifikat erstellt werden. Nachdem Sie diese Arbeiten ausgeführt haben, konfigurieren Sie den benutzerdefinierten Domainnamen in der Amazon Redshift-Konsole oder in der Amazon Redshift Serverless-Konsole oder konfigurieren ihn mit Befehlen. AWS CLI 

Sie müssen über einen registrierten Internet-Domain-Namen verfügen, um einen benutzerdefinierten Domain-Namen in Amazon Redshift zu konfigurieren. Sie können eine Internet-Domain mit Route 53 oder über einen externen Domain-Anbieter registrieren. Diese Aufgaben führen Sie außerhalb der Amazon-Redshift-Konsole aus. Eine registrierte Domain ist eine Voraussetzung für die Ausführung der verbleibenden Verfahren zum Erstellen einer benutzerdefinierten Domain.

**Anmerkung**  
Wenn Sie einen bereitgestellten Cluster verwenden, muss die Verschiebung aktiviert werden, bevor Sie die Schritte zur Konfiguration des benutzerdefinierten Domain-Namens ausführen. Weitere Informationen finden Sie unter [Verschieben eines Clusters](managing-cluster-recovery.md). Dieser Schritt ist für Amazon Redshift Serverless nicht erforderlich.

Der benutzerdefinierte Domain-Name umfasst in der Regel die Stamm-Domain und eine Sub-Domain, wie `mycluster.example.com`. Um ihn zu konfigurieren, führen Sie die folgenden Schritte aus:

**Einen DNS-CNAME-Eintrag für Ihren benutzerdefinierten Domain-Namen erstellen**

1. Registrieren Sie eine Stamm-Domain, zum Beispiel `example.com`. Sie können wahlweise auch einen vorhandene Domain verwenden. Ihr benutzerdefinierter Name kann durch ein Verbot bestimmter Zeichen oder andere Namensvalidierungen eingeschränkt sein. Weitere Informationen zum Registrieren eines Domain-Namens finden Sie unter [Registrieren einer neuen Domain](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html).

1. Fügen Sie einen DNS CNAME-Datensatz hinzu, der Ihren benutzerdefinierten Domain-Namen auf den Redshift-Endpunkt für Ihren Cluster oder Ihre Arbeitsgruppe verweist. Sie finden den Endpunkt in den Eigenschaften für den Cluster oder die Arbeitsgruppe, in der Redshift-Konsole oder in der Amazon-Redshift-Serverless-Konsole. Kopieren Sie die **JDBC-URL**, die in den Cluster- oder Arbeitsgruppeneigenschaften enthalten ist, unter **Allgemeine Informationen**. Sie URLs sehen wie folgt aus:
   + Für einen Amazon-Redshift-Cluster: `redshift-cluster-sample.abc123456.us-east-1.redshift.amazonaws.com`
   + Für eine Amazon-Redshift-Serverless-Arbeitsgruppe: `endpoint-name.012345678901.us-east-1-dev.redshift-serverless-dev.amazonaws.com`

   Wenn die URL über ein JDBC-Präfix verfügt, entfernen Sie dieses.
**Anmerkung**  
DNS-Datensätze unterliegen der Verfügbarkeit, da jeder Name eindeutig und zur Verwendung in Ihrer Organisation verfügbar sein muss.

**Einschränkungen**

Beim Erstellen von CNAME-Datensätzen für eine benutzerdefinierte Domain sind einige Einschränkungen zu beachten:
+ Das Erstellen mehrerer benutzerdefinierter Domain-Namen für denselben bereitgestellten Cluster oder dieselbe Amazon-Redshift-Serverless-Arbeitsgruppe wird nicht unterstützt. Sie können nur einen CNAME-Datensatz zuordnen.
+ Die Zuordnung eines CNAME-Datensatzes zu mehreren Clustern oder Arbeitsgruppen wird nicht unterstützt. Der CNAME für jede Redshift-Ressource muss eindeutig sein.

Nachdem Sie Ihre Domain registriert und den CNAME-Datensatz erstellt haben, wählen Sie ein neues oder ein vorhandenes Zertifikat aus. Sie führen diesen Schritt aus mit AWS Certificate Manager:

Wir empfehlen Ihnen, ein [DNS-validiertes Zertifikat](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) zu erstellen, das die Voraussetzungen für eine verwaltete Erneuerung erfüllt, die mit AWS Certificate Manager verfügbar ist. Eine verwaltete Erneuerung bedeutet, dass ACM Ihre Zertifikate entweder automatisch erneuert oder Ihnen E-Mail-Benachrichtigungen zusendet, wenn sich der Ablaufzeitpunkt nähert. Weitere Informationen finden Sie unter [Verwaltete Erneuerung für ACM-Zertifikate](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html).

# Anfordern eines Zertifikats für einen Domain-Namen
<a name="connecting-connection-CNAME-security"></a>

Amazon Redshift oder Amazon Redshift Serverless benötigt ein validiertes SSL-Zertifikat (Secure Sockets Layer) für einen benutzerdefinierten Endpunkt, um die Kommunikation zu sichern und die Inhaberschaft des Domain-Namens zu verifizieren. Sie können Ihr AWS Certificate Manager Konto mit einer AWS KMS key sicheren Zertifikatsverwaltung verwenden. Die Sicherheitsvalidierung beinhaltet die vollständige Überprüfung des Hostnamens (*sslmode=verify-full*).

Zertifikatserneuerungen werden von Amazon Redshift nur dann verwaltet, wenn Sie sich für die DNS-Validierung und nicht für die E-Mail-Validierung entscheiden. Wenn Sie die E-Mail-Validierung nutzen, können Sie das Zertifikat verwenden, müssen die Verlängerung jedoch selbst durchführen, bevor es abläuft. Wir empfehlen, dass Sie die DNS-Validierung für Ihr Zertifikat wählen. Sie können die Ablaufdaten importierter Zertifikate in  AWS Certificate Manager überwachen.

**Ein Zertifikat von ACM für einen Domain-Namen anfordern**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die ACM-Konsole unter [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. Wählen Sie **Ein privates Zertifikat anfordern** aus.

1. Geben Sie in das Feld **Domain name (Domain-Name)** den Namen Ihrer benutzerdefinierten Domain ein.
**Anmerkung**  
Sie können zusätzlich zur Zertifikats-Domain viele Präfixe angeben, um ein einzelnes Zertifikat für mehrere benutzerdefinierte Domain-Datensätze zu verwenden. Zur Veranschaulichung: Sie können zusätzliche Datensätze wie `one.example.com` und `two.example.com` oder einen Wildcard-DNS-Datensatz wie `*.example.com` mit demselben Zertifikat verwenden.

1. Wählen Sie **Review and request**.

1. Wählen Sie **Confirm and request**.

1. Damit eine Anforderung gültig ist, muss der registrierte Besitzer einer Internet-Domain der Anforderung vor der Ausstellung des Zertifikats durch ACM zustimmen. Stellen Sie sicher, dass der Status in der ACM-Konsole als **Issued** angezeigt wird, wenn Sie mit den Schritten fertig sind.

# Konfiguration einer benutzerdefinierten Domain
<a name="connecting-connection-CNAME-create-custom-domain"></a>

Sie können die Amazon-Redshift- oder Amazon-Redshift-Serverless-Konsole verwenden, um Ihre benutzerdefinierte Domain-URL zu erstellen. Wenn Sie sie nicht konfiguriert haben, wird die Eigenschaft **Benutzerdefinierter Domain-Name** als Bindestrich (**–**) unter **Allgemeine Informationen** angezeigt. Nachdem Sie Ihren CNAME-Datensatz und das Zertifikat erstellt haben, weisen Sie den benutzerdefinierten Domain-Namen für den Cluster oder die Arbeitsgruppe zu.

Um eine benutzerdefinierte Domain-Zuordnung zu erstellen, sind die folgenden IAM-Berechtigungen erforderlich:
+ `redshift:CreateCustomDomainAssociation` – Sie können die Berechtigung auf einen bestimmten Cluster einschränken, indem Sie dessen ARN hinzufügen.
+ `redshiftServerless:CreateCustomDomainAssociation` – Sie können die Berechtigung auf eine bestimmte Arbeitsgruppe einschränken, indem Sie deren ARN hinzufügen.
+ `acm:DescribeCertificate`

Als bewährte Methode empfehlen wir, einer IAM-Rolle Berechtigungsrichtlinien anzufügen und sie dann nach Bedarf Benutzern und Gruppen zuzuweisen. Weitere Informationen finden Sie unter [Identity and Access Management in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).

Sie weisen den benutzerdefinierten Domain-Namen zu, indem Sie die folgenden Schritte ausführen.

1. Wählen Sie den Cluster in der Redshift-Konsole oder die Arbeitsgruppe in der Amazon-Redshift-Serverless-Konsole aus und wählen Sie dann im Menü **Aktion** die Option **Benutzerdefinierten Domänennamen erstellen** aus. Es wird ein Dialogfeld angezeigt.

1. Geben Sie den benutzerdefinierten Domain-Namen ein.

1. Wählen Sie den ARN AWS Certificate Manager für das **ACM-Zertifikat** aus. Bestätigen Sie die Änderungen. Gemäß den Anweisungen in den Schritten, die Sie zur Erstellung des Zertifikats unternommen haben, empfehlen wir Ihnen, ein DNS-validiertes Zertifikat zu wählen, das für eine verwaltete Verlängerung in Frage kommt. AWS Certificate Manager

1. Stellen Sie in den Cluster-Eigenschaften sicher, dass das Feld für den **benutzerdefinierten Domain-Namen** und den **ARN des benutzerdefinierten Domain-Zertifikats** mit Ihren Einträgen gefüllt sind. Das **Ablaufdatum des Zertifikats der benutzerdefinierten Domain** ist ebenfalls aufgeführt.

Nachdem die benutzerdefinierte Domain konfiguriert wurde, kann `sslmode=verify-full` nur für die neue, benutzerdefinierte Domain verwendet werden. Für den Standardendpunkt funktioniert dieser Modus nicht. Sie können jedoch weiterhin eine Verbindung zum Standardendpunkt herstellen, indem Sie andere SSL-Modi verwenden wie `sslmode=verify-ca`.

**Anmerkung**  
Zur Erinnerung: [Cluster-Verschiebungen](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-cluster-recovery.html) sind keine Voraussetzung für die Konfiguration zusätzlicher Redshift-Netzwerk-Features. Sie müssen sie nicht aktivieren, um Folgendes zu ermöglichen:  
**Verbindung von einer konto- oder regionsübergreifenden VPC zu Redshift** herstellen — Sie können eine Verbindung von einer AWS Virtual Private Cloud (VPC) zu einer anderen herstellen, die eine Redshift-Datenbank enthält. Dies erleichtert beispielsweise die Verwaltung des Clientzugriffs von unterschiedlichen Konten aus oder ohne lokalen VPC-Zugriff auf Identitäten VPCs, die eine Verbindung zur Datenbank herstellen. Weitere Informationen finden Sie unter [Herstellen einer Verbindung zu Amazon Redshift Serverless von einem Redshift-VPC-Endpunkt in einem anderen Konto oder einer anderen Region aus](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html#serverless-cross-vpc).
**Einrichtung eines benutzerdefinierten Domain-Namens** – Sie können, wie in diesem Thema beschrieben, einen benutzerdefinierten Domain-Namen erstellen, um den Endpunktnamen aussagekräftiger und einfacher zu gestalten.

# Herstellen einer Verbindung zu Ihrem von Amazon Redshift bereitgestellten Cluster oder Ihrer Arbeitsgruppe von Amazon Redshift Serverless.
<a name="connecting-connection-CNAME-client"></a>

Um eine Verbindung mit einem benutzerdefinierten Domain-Namen herzustellen, sind die folgenden IAM-Berechtigungen für einen bereitgestellten Cluster erforderlich: `redshift:DescribeCustomDomainAssociations` Für Amazon Redshift Serverless müssen Sie keine Berechtigungen hinzufügen.

Als bewährte Methode empfehlen wir, einer IAM-Rolle Berechtigungsrichtlinien anzufügen und sie dann nach Bedarf Benutzern und Gruppen zuzuweisen. Weitere Informationen finden Sie unter [Identity and Access Management in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).

Wenn Sie die Schritte zur Erstellung Ihres CNAME abgeschlossen haben und diesen Ihrem Cluster oder Ihrer Arbeitsgruppe in der Konsole zuweisen, können Sie die benutzerdefinierte URL in den Verbindungseigenschaften Ihres SQL-Clients angeben. Beachten Sie, dass es unmittelbar nach der Erstellung eines CNAME-Datensatzes zu Verzögerungen bei der DNS-Propagierung kommen kann.

1. Öffnen Sie einen SQL-Client. Sie können beispielsweise J verwenden. SQL/Workbench Öffnen Sie die Eigenschaften für eine Verbindung und fügen Sie den benutzerdefinierten Domänennamen für die Verbindungszeichenfolge hinzu. Beispiel, `jdbc:redshift://mycluster.example.com:5439/dev?sslmode=verify-full`. In diesem Beispiel gibt `dev` die Standarddatenbank an.

1. Fügen Sie den **Benutzernamen** und das **Passwort** für Ihren Datenbankbenutzer hinzu.

1. Testen Sie die Verbindung. Ihre Fähigkeit, Datenbankressourcen wie bestimmte Tabellen abzufragen, kann je nach den Berechtigungen, die dem Datenbankbenutzer oder den zugewiesenen Amazon-Redshift-Datenbankrollen gewährt wurden, variieren.

   Beachten Sie, dass Sie Ihren Cluster oder Ihre Arbeitsgruppe möglicherweise so einrichten müssen, dass er/sie öffentlich zugänglich ist, um eine Verbindung zu ihm/ihr herzustellen, wenn er/sie sich in einer VPC befindet. Sie können diese Einstellung in den Netzwerkeigenschaften ändern.

**Anmerkung**  
Verbindungen zu einem benutzerdefinierten Domain-Namen werden mit JDBC-, ODBC- und Python-Treibern unterstützt.

# Umbenennen eines Clusters mit zugewiesener benutzerdefinierter Domain
<a name="connecting-connection-CNAME-rename-cluster"></a>

**Anmerkung**  
Diese Schritte gelten nicht für eine Amazon-Redshift-Serverless-Arbeitsgruppe. Sie können den Namen der Arbeitsgruppe nicht ändern.

Um einen Cluster mit einem benutzerdefinierten Domain-Namen umzubenennen, ist die IAM-Berechtigung `acm:DescribeCertificate` erforderlich.

1. Gehen Sie zur Amazon-Redshift-Konsole und wählen Sie den Cluster aus, dessen Namen Sie ändern möchten. Wählen Sie **Edit**, um die Cluster-Eigenschaften zu bearbeiten.

1. Bearbeiten Sie die **Cluster-ID**. Sie können auch andere Eigenschaften für den Cluster ändern. Wählen Sie dann **Save changes (Änderungen speichern)**.

1. Nachdem der Cluster umbenannt wurde, müssen Sie den DNS-Datensatz aktualisieren, d. h. den CNAME-Eintrag für die benutzerdefinierte Domain so ändern, dass sie auf den aktualisierten Amazon-Redshift-Endpunkt verweist.

# Beschreibung benutzerdefinierter Domain-Zuordnungen
<a name="connecting-connection-CNAME-describe-api"></a>

Verwenden Sie die Befehle in diesem Abschnitt, um eine Liste mit benutzerdefinierten Domain-Namen abzurufen, die einem bestimmten bereitgestellten Cluster oder einer Amazon-Redshift-Serverless-Arbeitsgruppe zugeordnet sind.

Sie benötigen die folgenden Berechtigungen:
+ Für einen bereitgestellten Cluster: `redshift:DescribeCustomDomainAssociations`
+ Für eine Amazon-Redshift-Serverless-Arbeitsgruppe: `redshiftServerless:ListCnameAssociations`

Als bewährte Methode empfehlen wir, einer IAM-Rolle Berechtigungsrichtlinien anzufügen und sie dann nach Bedarf Benutzern und Gruppen zuzuweisen. Weitere Informationen finden Sie unter [Identity and Access Management in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).

Im Folgenden ist ein Beispielbefehl zum Auflisten der benutzerdefinierten Domain-Namen für einen bestimmten Amazon-Redshift-Cluster zu sehen:

```
aws redshift describe-custom-domain-associations ––custom-domain-name customdomainname
```

Sie können diesen Befehl ausführen, wenn Sie einen benutzerdefinierten Domain-Namen aktiviert haben, um die dem Cluster zugeordneten benutzerdefinierten Domain-Namen zu ermitteln. Weitere Informationen zum CLI-Befehl zur Beschreibung benutzerdefinierter Domänenzuordnungen finden Sie unter [describe-custom-domain-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/redshift/describe-custom-domain-associations.html).

Im Folgenden ist ein Beispielbefehl zum Auflisten der benutzerdefinierten Domain-Namen für eine bestimmte Amazon-Redshift-Serverless-Arbeitsgruppe zu sehen: Hierbei gibt es verschiedene Möglichkeiten. Sie können nur den benutzerdefinierten Domain-Namen angeben:

```
aws redshift-serverless list-custom-domain-associations ––custom-domain-name customdomainname
```

Sie können auch die Zuordnungen abrufen, indem Sie nur den Zertifikat-ARN angeben:

```
aws redshift-serverless list-custom-domain-associations ––custom-domain-certificate-arn certificatearn
```

Sie können diese Befehle ausführen, wenn Sie einen benutzerdefinierten Domain-Namen aktiviert haben, um die der Arbeitsgruppe zugeordneten benutzerdefinierten Domain-Namen zu ermitteln. Sie können auch einen Befehl ausführen, um die Eigenschaften einer benutzerdefinierten Domain-Zuordnung abzurufen. Hierfür müssen Sie den benutzerdefinierten Domain-Namen und den Arbeitsgruppennamen als Parameter angeben. Der Befehl gibt den Zertifikat-ARN, den Arbeitsgruppennamen und den Ablaufzeitpunkt des Zertifikats der benutzerdefinierten Domain zurück:

```
aws redshift-serverless get-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname
```

Weitere Informationen zu verfügbaren CLI-Referenzbefehlen für Amazon Redshift Serverless finden Sie unter [redshift-serverless](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/).

# Zuordnen der benutzerdefinierten Domain mit einem anderen Zertifikat
<a name="connecting-connection-CNAME-change-api"></a>

Um die Zertifikatszuordnung für einen benutzerdefinierten Domain-Namen zu ändern, sind die folgenden IAM-Berechtigungen erforderlich:
+ `redshift:ModifyCustomDomainAssociation`
+ `acm:DescribeCertificate`

Als bewährte Methode empfehlen wir, einer IAM-Rolle Berechtigungsrichtlinien anzufügen und sie dann nach Bedarf Benutzern und Gruppen zuzuweisen. Weitere Informationen finden Sie unter [Identity and Access Management in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).

Verwenden Sie den folgenden Befehl, um die benutzerdefinierte Domain einem anderen Zertifikat zuzuordnen. Die Argumente `––custom-domain-name` und `custom-domain-certificate-arn` sind obligatorisch. Der ARN für das neue Zertifikat muss sich vom vorhandenen ARN unterscheiden.

```
aws redshift modify-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn
```

Das folgende Beispiel zeigt, wie die benutzerdefinierte Domain einem anderen Zertifikat für eine Amazon-Redshift-Serverless-Arbeitsgruppe zugeordnet wird.

```
aws redshift-serverless modify-custom-domain-association ––workgroup-name redshiftworkgroup ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn
```

Es dauert maximal 30 Sekunden, bis Sie eine Verbindung zum Cluster herstellen können. Ein Teil der Verzögerung tritt auf, wenn der Amazon-Redshift-Cluster seine Eigenschaften aktualisiert, und es gibt eine zusätzliche Verzögerung, wenn DNS aktualisiert wird. Weitere Informationen zur API und zu den einzelnen Eigenschaftseinstellungen finden Sie unter [ModifyCustomDomainAssociation](https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyCustomDomainAssociation.html).

# Löschen einer benutzerdefinierten Domain
<a name="connecting-connection-CNAME-delete-api"></a>

Um den benutzerdefinierten Domain-Namen zu löschen, muss der Benutzer über Berechtigungen für die folgenden Aktionen verfügen:
+ Für einen bereitgestellten Cluster: `redshift:DeleteCustomDomainAssociation`
+ Für eine Amazon-Redshift-Serverless-Arbeitsgruppe: `redshiftServerless:DeleteCustomDomainAssociation`

**In der Konsole**

Sie können den benutzerdefinierten Domain-Namen löschen, indem Sie die Schaltfläche **Aktionen** und anschließend **Benutzerdefinierten Domänennamen löschen** auswählen. Danach können Sie immer noch eine Verbindung zum Server herstellen, indem Sie Ihre Tools so aktualisieren, dass sie die in der Konsole aufgeführten Endpunkte verwenden.

**Mithilfe eines CLI-Befehls**

Das folgende Beispiel zeigt, wie der benutzerdefinierte Domain-Name gelöscht wird. Für den Löschvorgang müssen Sie den vorhandenen benutzerdefinierten Domain-Namen für den Cluster angeben.

```
aws redshift delete-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname
```

Das folgende Beispiel zeigt, wie der benutzerdefinierte Domain-Name für eine Amazon-Redshift-Serverless-Arbeitsgruppe gelöscht wird. Der benutzerdefinierte Domain-Name ist ein erforderlicher Parameter.

```
aws redshift-serverless delete-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname
```

Weitere Informationen finden Sie unter [DeleteCustomDomainAssociation](https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteCustomDomainAssociation.html).

# Von Redshift verwaltete VPC-Endpunkte
<a name="managing-cluster-cross-vpc"></a>

Standardmäßig wird ein Amazon-Redshift-Cluster oder eine Arbeitsgruppe von Amazon Redshift Serverless in einer Virtual Private Cloud (VPC) bereitgestellt. Er/sie kann von einer anderen VPC oder einem Subnetz aus aufgerufen werden, wenn Sie entweder den öffentlichen Zugriff zulassen oder ein Internet-Gateway, ein NAT-Gerät oder eine AWS Direct Connect -Verbindung zum Weiterleiten des Datenverkehrs dazu einrichten. Sie können auch auf einen Cluster oder eine Arbeitsgruppe zugreifen, indem Sie einen von Redshift verwalteten VPC-Endpunkt (powered by) einrichten. AWS PrivateLink

Sie richten einen von Redshift verwalteten VPC-Endpunkt als private Verbindung zwischen einer VPC ein, die einen Cluster enthält, und einer VPC, auf der ein Client-Tool ausgeführt wird. Wenn sich der Cluster oder die Arbeitsgruppe in einem anderen Konto befindet, muss der Kontoeigentümer (Grantor) Zugriff auf das Konto (Grantee) gewähren, das eine Verbindung herstellen möchte. Damit können Sie auf das Data Warehouse zugreifen, ohne öffentliche IP-Adressen zu verwenden oder Datenverkehr über das Internet zu leiten.

Dies sind häufige Gründe für den Zugriff mit einem von Redshift verwalteten VPC-Endpunkt:
+ AWS Konto A möchte einer VPC in AWS Konto B Zugriff auf einen Cluster oder eine Arbeitsgruppe gewähren.
+ AWS Konto A möchte einer VPC, die sich auch in AWS Konto A befindet, Zugriff auf einen Cluster oder eine Arbeitsgruppe gewähren.
+ AWS Konto A möchte einem anderen Subnetz in der VPC innerhalb von AWS Konto A Zugriff auf einen Cluster oder eine Arbeitsgruppe gewähren.

Der allgemeine Workflow zum Einrichten eines von Redshift verwalteten VPC-Endpunkts für den Zugriff auf einen Cluster oder eine Arbeitsgruppe in einem anderen Konto ist wie folgt: 

1. Das Besitzerkonto gewährt einem anderen Konto die Zugriffsberechtigung und gibt die AWS Konto-ID und die VPC-ID (oder alle VPCs) des Empfängers an. 

1. Das Konto des Berechtigungsempfängers wird benachrichtigt, dass er die Berechtigung zum Erstellen eines von RedShift verwalteten VPC-Endpunkts besitzt.

1. Das Konto des Berechtigungsempfängers erstellt einen von RedShift verwalteten VPC-Endpunkt.

1. Das Konto des Berechtigungsempfängers greift über den von Redshift verwalteten VPC-Endpunkt auf den Cluster oder die Arbeitsgruppe des Eigentümerkontos zu.

Sie können dies mit der Amazon Redshift Redshift-Konsole AWS CLI, der oder der Amazon Redshift Redshift-API tun. 

## Überlegungen bei der Verwendung von RedShift-verwalteten VPC-Endpunkten
<a name="managing-cluster-cross-vpc-considerations"></a>

**Anmerkung**  
Um von Redshift verwaltete VPC-Endpoints zu erstellen oder zu ändern, benötigen Sie zusätzlich zu anderen `ec2:ModifyVpcEndpoint` in der verwalteten Richtlinie angegebenen Berechtigungen die entsprechende Genehmigung `ec2:CreateVpcEndpoint` oder in Ihrer IAM-Richtlinie. AWS `AmazonRedshiftFullAccess`

Berücksichtigen Sie bei der Verwendung von RedShift-verwalteten VPC-Endpunkten Folgendes: 
+ Wenn Sie einen bereitgestellten Cluster verwenden, muss dieser den Knotentyp haben. RA3 Eine Arbeitsgruppe von Amazon Redshift Serverless eignet sich für die Einrichtung eines VPC-Endpunkts. 
+ Stellen Sie bei bereitgestellten Clustern sicher, dass der Cluster entweder für Cluster-Verschiebung oder Multi-AZ aktiviert ist. Informationen zu den Anforderungen zum Aktivieren der Clusterverschiebung finden Sie unter [Verschieben eines Clusters](managing-cluster-recovery.md). Informationen zur Aktivierung von Multi-AZ finden Sie unter [Einrichten von Multi-AZ beim Erstellen eines neuen Clusters](create-cluster-multi-az.md). 
+ Stellen Sie sicher, dass der Cluster oder die Arbeitsgruppe, auf den/die über die entsprechende Sicherheitsgruppe zugegriffen werden soll, innerhalb der gültigen Portbereiche 5431-5455 und 8191-8215 verfügbar ist. Der Standardwert ist 5439.
+ Sie können die VPC-Sicherheitsgruppen ändern, die einem vorhandenen RedShift-verwalteten VPC-Endpunkt zugeordnet sind. Um andere Einstellungen zu ändern, löschen Sie den aktuellen RedShift-verwalteten VPC-Endpunkt und erstellen Sie einen neuen.
+ Die Anzahl der von RedShift verwalteten VPC-Endpunkte, die Sie erstellen können, ist durch Ihr VPC-Endpunktkontingent beschränkt.
+ Auf die RedShift-verwalteten VPC-Endpunkte kann nicht über das Internet zugegriffen werden. Auf einen von Redshift verwalteten VPC-Endpunkt kann nur innerhalb der VPC zugegriffen werden, in der der Endpunkt bereitgestellt wird, oder von jedem VPCs Peering mit der VPC aus, in dem der Endpunkt bereitgestellt wird, wie es die Routing-Tabellen und Sicherheitsgruppen zulassen.
+ Sie können die Amazon-VPC-Konsole nicht zum Verwalten der von Redshift verwalteten VPC-Endpunkte verwenden.
+ Wenn Sie einen von Redshift verwalteten VPC-Endpunkt für einen bereitgestellten Cluster erstellen, muss die von Ihnen gewählte VPC über eine Subnetzgruppe verfügen. Zum Erstellen einer Subnetzgruppe siehe [Erstellen einer Cluster-Subnetzgruppe](create-cluster-subnet-group.md).
+ Wenn eine Availability Zone ausgefallen ist, erstellt Amazon Redshift keine neue Elastic-Network-Schnittstelle in einer anderen Availability Zone. In diesem Fall müssen Sie möglicherweise einen neuen Endpunkt erstellen.

Hinweise zu Kontingenten und Benennungseinschränkungen finden Sie unter [Kontingente und Limits in Amazon Redshift](amazon-redshift-limits.md). 

Informationen zu Preisen finden Sie unter [AWS PrivateLink -Preise](https://aws.amazon.com/privatelink/pricing/).

# Gewähren des Zugriffs auf eine VPC
<a name="managing-cluster-cross-vpc-console-grantor"></a>

Wenn sich die VPC, über die Sie auf Ihren Cluster oder Ihre Arbeitsgruppe zugreifen möchten, in einem anderen AWS -Konto befindet, stellen Sie sicher, dass Sie dieses über das Konto des Besitzers (Grantors) autorisieren.

**Um einer VPC in einem anderen AWS Konto den Zugriff auf Ihren Cluster oder Ihre Arbeitsgruppe zu ermöglichen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. Wählen Sie im Navigationsmenü **Clusters** (Cluster) aus. Wählen Sie für Amazon Redshift Serverless das **Serverless-Dashboard**.

1. Zeigen Sie für den Cluster, auf den Sie Zugriff gewähren möchten, die Details an, indem Sie den Cluster-Namen auswählen. Wählen Sie die Registerkarte **Properties (Eigenschaften)** für den Cluster aus. 

   Im Abschnitt **Gewählte Konten** werden die Konten und die entsprechenden Konten angezeigt VPCs , die Zugriff auf Ihren Cluster haben. Wählen Sie für eine Arbeitsgruppe von Amazon Redshift Serverless die Arbeitsgruppe aus. **Berechtigte Konten** sind auf der Registerkarte **Datenzugriff** verfügbar.

1. Klicken Sie auf **Grant access (Zugriff gewähren)**, um ein Formular zum Eingeben der **Grantee information (Berechtigungsinformationen)** anzuzeigen. 

1. Geben Sie als **AWS -Konto-ID** die ID des Kontos ein, dem Sie den Zugriff gewähren möchten. Sie können Zugriff auf bestimmte VPCs oder alle Konten VPCs im angegebenen Konto gewähren. 

1. Klicken Sie auf **Grant access (Zugriff gewähren)**, um die Zugriffsberechtigung zu erteilen.

# Erstellen eines mit RedShift verwalteten VPC-Endpunkts
<a name="managing-cluster-cross-vpc-console-grantee"></a>

Wenn Sie Eigentümer eines Clusters oder einer Arbeitsgruppe sind oder Ihnen Zugriff darauf gewährt wurde, können Sie einen von Redshift verwalteten VPC-Endpunkt dafür erstellen. 

**So erstellen Sie einen mit RedShift verwalteten VPC-Endpunkt**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. Wählen Sie im Navigationsmenü **Configurations** (Konfigurationen) aus. 

   Die Seite **Configurations (Konfigurationen)** zeigt die von RedShift verwalteten VPC-Endpunkte an, die erstellt wurden. Um Details für einen Endpunkt anzuzeigen, wählen Sie den Namen des Endpunkts. Für Amazon Redshift Serverless befinden sich die VPC-Endpunkte auf der Registerkarte **Datenzugriff**, wenn Sie die Arbeitsgruppe auswählen.

1. Klicken Sie auf **Create endpoint (Endpunkt erstellen)**, um ein Formular zum Eingeben von Informationen über den hinzuzufügenden Endpunkt anzuzeigen.

1. Geben Sie Werte für den **Endpunktnamen**, die 12-stellige **AWS -Konto-ID**, die **Virtual Private Cloud (VPC)**, in der sich der Endpunkt befindet, das **Subnetz** und die **VPC-Sicherheitsgruppe** ein.

   Die Subnetzgruppe in **Subnetzgruppe** definiert die Subnetze und IP-Adressen, auf denen Amazon Redshift den Endpunkt bereitstellt. Amazon Redshift wählt ein Subnetz mit IP-Adressen für die dem Endpunkt zugeordnete Netzwerkschnittstelle. 

   Die Sicherheitsgruppenregeln in **VPC-Sicherheitsgruppe** definieren die Ports, Protokolle und Quellen für eingehenden Datenverkehr, die Sie für Ihren Endpunkt autorisieren. Sie gewähren den Zugriff auf den ausgewählten Port für die Sicherheitsgruppe oder den CIDR-Bereich, in dem Ihre Workloads ausgeführt werden.

1. Klicken Sie auf **Create endpoint (Endpunkt erstellen)**, um den Endpunkt zu erstellen. 

Nachdem der Endpunkt erstellt wurde, können Sie über die URL auf den Cluster oder die Arbeitsgruppe zugreifen, die in **Endpunkt**-URL in den Konfigurationseinstellungen für Ihren von Redshift-verwalteten VPC-Endpunkt angezeigt wird.

# Redshift-Ressourcen in einer VPC
<a name="managing-clusters-vpc"></a>

Sie können einen Amazon-Redshift-Cluster oder eine Arbeitsgruppe von Amazon Redshift Serverless in einer VPC auf der EC2-VPC-Plattform, basierend auf dem Amazon-VPC-Service, starten. Weitere Informationen finden Sie unter [Verwenden von EC2 zum Erstellen Ihres Clusters](working-with-clusters.md#cluster-platforms).

**Anmerkung**  
Das Starten von Clustern und serverlosen Arbeitsgruppen in einer dedizierten Tenancy wird VPCs nicht unterstützt. Weitere Informationen finden Sie unter [Dedicated Instances](https://docs.aws.amazon.com/vpc/latest/userguide/dedicated-instance.html) im *Amazon-VPC-Benutzerhandbuch*.

Bei der Bereitstellung von Ressourcen in einer VPC müssen Sie wie folgt vorgehen:
+ **Stellen Sie VPC-Informationen bereit.**

  Wenn Sie in Ihrer VPC einen bereitgestellten Cluster erstellen, müssen Sie Ihre VPC-Informationen durch die Erstellung einer Cluster-Subnetzgruppe bereitstellen. Diese Informationen beinhalten die VPC-ID und eine Liste der Subnetze in Ihrer VPC. Wenn Sie einen Cluster starten, geben Sie die Subnetzgruppe an, damit Redshift Ihren Cluster in einem der Subnetze in der VPC bereitstellen kann. Bei Amazon Redshift Serverless ist der Prozess ähnlich. Sie weisen Ihrer Serverless-Arbeitsgruppe Subnetze direkt zu. Im Fall von Serverless erstellen Sie jedoch keine Subnetzgruppe. Weitere Informationen zum Erstellen von Subnetzgruppen in Amazon Redshift finden Sie unter [Subnetze für Redshift-Ressourcen](working-with-cluster-subnet-groups.md). Weitere Informationen zum Einrichten einer VPC finden Sie unter [Erste Schritte mit Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/GetStarted.html) im Handbuch *Erste Schritte mit Amazon VPC*.
+  **Konfigurieren Sie optional die Barrierefreiheitsoptionen.** 

  Bereitgestellte Cluster und Serverless-Arbeitsgruppen in Amazon Redshift sind standardmäßig privat. Wenn Sie Ihren Cluster oder Ihre Serverless-Arbeitsgruppe so konfigurieren, dass er/sie öffentlich zugänglich ist, verwendet Amazon Redshift eine Elastic-IP-Adresse für die externe IP-Adresse. Eine Elastic-IP-Adresse ist eine statische IP-Adresse. Damit haben Sie die die Möglichkeit, Ihre zugrunde liegende Konfiguration ohne Auswirkungen auf die IP-Adresse zu ändern, die Clients für Verbindungen verwenden. Diese Vorgehensweise kann in Situationen wie der Wiederherstellung nach einem Ausfall sehr nützlich sein. Ob Sie eine Elastic-IP-Adresse erstellen, hängt von Ihrer Einstellung für die Availability-Zone-Verschiebung ab. Es gibt zwei Optionen:

  1. Wenn Sie die Availability-Zone-Verschiebung aktiviert haben und den öffentlichen Zugriff aktivieren möchten, geben Sie keine Elastic-IP-Adresse an. Eine Elastic-IP-Adresse, die von Amazon Redshift verwaltet wird, wird zugewiesen. Sie ist mit Ihrem AWS -Konto verknüpft.

  1. Wenn Sie die Availability-Zone-Verlagerung deaktiviert haben und den öffentlichen Zugriff aktivieren möchten, können Sie eine Elastic-IP-Adresse für die VPC in Amazon EC2 erstellen, bevor Sie Ihren Amazon-Redshift-Cluster oder Ihre Arbeitsgruppe starten. Wenn Sie keine IP-Adresse erstellen, stellt Amazon Redshift eine konfigurierte Elastic-IP-Adresse bereit, die für die VPC verwendet werden soll. Diese elastische IP-Adresse wird von Amazon Redshift verwaltet und ist nicht mit Ihrem AWS Konto verknüpft.

  Weitere Informationen finden Sie unter [Elastische IP-Adressen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) im *Benutzerhandbuch für Amazon EC2*.

  In manchen Fällen kann es vorkommen, dass Sie einen öffentlich zugänglichen Cluster in einer VPC haben, die Sie mit ihm verbinden möchten, indem Sie die private IP-Adresse innerhalb der VPC verwenden. Wenn ja, legen Sie die folgenden VPC-Parameter auf fest `true`: 
  +  `DNS resolution` 
  +  `DNS hostnames` 

  Beachten Sie, dass Sie mit Amazon Redshift Serverless auf diese Weise keine Verbindung herstellen können.

  Angenommen, Sie haben einen öffentlich zugänglichen bereitgestellten Cluster in einer VPC, setzen diese Parameter aber in der VPC nicht auf `true`. In diesen Fällen werden Verbindungen aus der VPC heraus zur Elastic-IP-Adresse der Ressource anstelle der privaten IP-Adresse aufgelöst. Wir empfehlen, diese Parameter auf `true` zu setzen und die private IP-Adresse für einen öffentlich zugänglichen Cluster bei Verbindungsherstellung aus der VPC heraus zu verwenden. Weitere Informationen finden Sie unter [Verwendung von DNS in Ihrer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) im *Amazon VPC Benutzerhandbuch*. 
**Anmerkung**  
Wenn Sie einen bestehenden öffentlich zugänglichen Cluster in einer VPC haben, verwenden Verbindungen innerhalb der VPC weiterhin die Elastic-IP-Adresse, um sich mit dem Cluster zu verbinden, bis Sie die Größe des Clusters ändern, sofern es sich um einen bereitgestellten Cluster handelt. Dies geschieht auch bei den vorhergehenden Parametersätzen. Alle neu erstellten Cluster folgen dem neuen Verhalten. Sie verwenden die private IP-Adresse bei der Verbindung mit einem öffentlich zugänglichen Cluster innerhalb derselben VPC.

   Die Elastic-IP-Adresse ist eine externe IP-Adresse für den Zugriff auf eine Ressource außerhalb einer VPC. Ein bereitgestellter Cluster steht in keiner Verbindung zu den **öffentlichen** und **privaten IP-Adressen** des Cluster-Knotens, die in der Amazon-Redshift-Konsole unter **Knoten-IP-Adressen** angezeigt werden. Die öffentlichen und privaten IP-Adressen von Cluster-Knoten werden unabhängig davon angezeigt, ob ein Cluster öffentlich zugänglich ist oder nicht. Sie werden nur unter bestimmten Umständen verwendet, um Eingangsregeln auf dem Remote-Host zu konfigurieren. Diese Umstände treten auf, wenn Sie Daten von einer Amazon-EC2-Instance oder einem anderen Remote-Host über eine SSH-Verbindung laden. Weitere Informationen finden Sie unter [Schritt 1: Abrufen des öffentlichen Schlüssels des Clusters und der IP-Adressen des Cluster-Knotens](https://docs.aws.amazon.com/redshift/latest/dg/loading-data-from-remote-hosts.html#load-from-host-steps-retrieve-key-and-ips) im *Datenbankentwicklerhandbuch zu Amazon Redshift*. 
**Anmerkung**  
Knoten-IP-Adressen gelten nicht für eine Redshift-Serverless-Arbeitsgruppe.

   Die Option, einen bereitgestellten Cluster mit einer Elastic-IP-Adresse zu verknüpfen, ist verfügbar, wenn Sie den Cluster erstellen oder den Cluster aus einem Snapshot wiederherstellen. In einigen Fällen können Sie den Cluster mit einer Elastic IP-Adresse verknüpfen oder eine Elastic IP-Adresse ändern, die dem Cluster zugeordnet ist. Um eine elastische IP-Adresse anzufügen, nachdem der Cluster erstellt wurde, aktualisieren Sie zuerst den Cluster so, dass er nicht öffentlich zugänglich ist. Machen Sie ihn dann öffentlich zugänglich und fügen Sie im gleichen Vorgang eine elastische IP-Adresse hinzu.

  Weitere Informationen dazu, wie Sie einen bereitgestellten Cluster oder eine Arbeitsgruppe von Amazon Redshift Serverless öffentlich zugänglich machen und eine Elastic-IP-Adresse zuweisen können, finden Sie unter [Öffentlicher Zugriff mit standardmäßiger oder benutzerdefinierter Sicherheitsgruppenkonfiguration](https://docs.aws.amazon.com/redshift/latest/mgmt/rs-security-group-public-private.html#rs-security-group-public-default).
+ **Weisen Sie eine VPC-Sicherheitsgruppe zu.**

  Sie gewähren den eingehenden Zugriff mithilfe einer VPC-Sicherheitsgruppe. Weitere Informationen finden Sie unter [Konfiguration der Kommunikationseinstellungen für Sicherheitsgruppen für Amazon-Redshift-Cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/rs-security-group-public-private.html). Dort finden Sie Anleitungen zur Konfiguration eingehender und ausgehender Regeln zwischen einem Client und einem bereitgestellten Cluster oder einer Amazon-Redshift-Serverless-Arbeitsgruppe. Eine weitere Ressource, die Ihnen dabei hilft, Sicherheitsgruppen zu verstehen, ist [Sicherheit in Ihrer VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html) im *Amazon-VPC-Benutzerhandbuch*.

**Wiederherstellen eines Clusters oder einer Serverless-Arbeitsgruppe in einer VPC**  
Ein Snapshot eines Clusters oder einer Serverless-Arbeitsgruppe in einer VPC kann nur in einer VPC, nicht außerhalb davon, wiederhergestellt werden. Sie können ihn in der selben VPC oder in einer anderen VPC in Ihrem Konto wiederherstellen. Weitere Informationen zu -Snapshots finden Sie unter [Amazon-Redshift-Snapshots und -Sicherungen](working-with-snapshots.md).

# Erstellen eines von Redshift bereitgestellten Clusters oder einer Arbeitsgruppe von Amazon Redshift Serverless in einer VPC
<a name="getting-started-cluster-in-vpc"></a>

Nachfolgend finden Sie die allgemeinen Schritte für die Bereitstellung eines Clusters oder einer Arbeitsgruppe in Ihrer Virtual Private Cloud (VPC). 

**So erstellen Sie einen Cluster oder eine Serverless-Arbeitsgruppe in einer VPC**

1. Konfigurieren einer VPC – Sie können Ihre Redshift-Ressourcen entweder in der Standard-VPC für Ihr Konto oder, falls vorhanden, in einer von Ihnen erstellten VPC erstellen. Weitere Informationen finden Sie unter [Verwenden von EC2 zum Erstellen Ihres Clusters](working-with-clusters.md#cluster-platforms). Weitere Informationen finden Sie unter [Subnetze für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) im *Amazon-VPC-Benutzerhandbuch*. Notieren Sie sich die VPC-ID, das Subnetz und die Availability Zone des Subnetzes. Sie benötigen diese Informationen beim Start Ihres Clusters oder Ihrer Arbeitsgruppe.
**Anmerkung**  
Sie müssen mindestens ein Subnetz in Ihrer VPC definiert haben, damit Sie dieses im nächsten Schritt der Subnetzgruppe hinzufügen können. Weitere Informationen zum Hinzufügen eines Subnetzes zu Ihrer VPC finden Sie unter [Hinzufügen eines Subnetzes zu Ihrer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html) im *Amazon-VPC-Benutzerhandbuch*.

1. Erstellen Sie eine Amazon-Redshift-Cluster-Subnetzgruppe, um festzulegen, welches Subnetz Ihr Amazon-Redshift-Cluster in der VPC verwenden kann. Für Redshift Serverless erstellen Sie keine Subnetzgruppe, sondern weisen Ihrer Arbeitsgruppe bei der Erstellung eine Sammlung von Subnetzen zu. Sie können dies im **Serverless-Dashboard** tun, wenn Sie eine Arbeitsgruppe erstellen.

   Sie können eine Subnetzgruppe entweder über die Amazon-Redshift-Konsole oder programmgesteuert erstellen. Weitere Informationen finden Sie unter [Subnetze für Redshift-Ressourcen](working-with-cluster-subnet-groups.md).

1. Autorisieren Sie den Zugriff für eingehende Verbindungen in einer VPC-Sicherheitsgruppe, die Sie dem Cluster oder der Arbeitsgruppe zuordnen. Sie können einem Client außerhalb der VPC (im öffentlichen Internet) die Verbindung zum Cluster ermöglichen. Dazu ordnen Sie den Cluster einer VPC-Sicherheitsgruppe zu, die eingehenden Zugriff gewährt. Weitere Informationen finden Sie unter [Konfigurieren der Kommunikationseinstellungen von Sicherheitsgruppen für einen Amazon-Redshift-Cluster oder eine Amazon-Redshift-Serverless-Arbeitsgruppe](rs-security-group-public-private.md). 

1. Folgen Sie den Schritten, um einen Cluster in der von Redshift bereitgestellten Konsole oder einer Arbeitsgruppe oder in der Konsole von Amazon Redshift Serverless zu erstellen. Geben Sie im Bereich **Netzwerk und Sicherheit** die **Virtual Private Cloud (VPC)**, die **Cluster-Subnetzgruppe** und die **VPC-Sicherheitsgruppe** an, die Sie eingerichtet haben. 

   

   Eine exemplarische Vorgehensweise mit detaillierteren Schritten zur Erstellung eines bereitgestellten Data-Warehouse-Clusters finden Sie unter [Erste Schritte mit von Amazon Redshift bereitgestellten Data Warehouses](https://docs.aws.amazon.com/redshift/latest/gsg/new-user.html) im Handbuch *Erste Schritte mit Amazon Redshift*. Weitere Informationen zum Erstellen einer Arbeitsgruppe in Amazon Redshift Serverless finden Sie unter [Erste Schritte mit Data Warehouses von Amazon Redshift Serverless](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html) im Handbuch *Erste Schritte mit Amazon Redshift*.

Sie können den Cluster oder die Arbeitsgruppe anhand der „Erste Schritte“-Anweisungen testen, indem Sie Beispieldaten hochladen und Beispielabfragen versuchen. Weitere Informationen finden Sie unter [Erste Schritte mit Data Warehouses von Amazon Redshift Serverless](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-launch-sample-cluster.html) im Handbuch *Erste Schritte mit Amazon Redshift*.

# VPC-Sicherheitsgruppen
<a name="managing-vpc-security-groups"></a>

Wenn Sie einen Amazon-Redshift-Cluster oder eine Arbeitsgruppe von Amazon Redshift Serverless bereitstellen, ist der Zugriff standardmäßig beschränkt, so dass niemand darauf zugreifen kann. Um anderen Benutzern den eingehenden Zugriff zu gewähren, verbinden Sie den Cluster oder die Arbeitsgruppe mit einer Sicherheitsgruppe. Wenn Sie die EC2-VPC-Plattform nutzen, können Sie entweder eine bestehende Amazon-VPC-Sicherheitsgruppe verwenden oder eine neue definieren. Sie ordnen sie dann einem Cluster oder einer Arbeitsgruppe zu, wie im Folgenden beschrieben. Wenn Sie auf der EC2 Classic-Plattform arbeiten, definieren Sie eine Sicherheitsgruppe und verbinden sie mit einem Cluster oder einer Arbeitsgruppe. Weitere Informationen zur Verwendung von Sicherheitsgruppen auf der EC2 Classic-Plattform finden Sie unter [Amazon-Redshift-Sicherheitsgruppen](security-network-isolation.md#working-with-security-groups).

Eine VPC-Sicherheitsgruppe besteht aus einem Satz von Regeln, die den Zugriff auf eine Instance in der VPC, etwa Ihren Cluster, steuern. Einzelne Regeln steuern den Zugriff auf der Grundlage von Bereichen von IP-Adressen oder auf der Grundlage anderer VPC-Sicherheitsregeln. Wenn Sie eine VPC-Sicherheitsgruppe mit einem Cluster oder einer Arbeitsgruppe verbinden, steuern die in der VPC-Sicherheitsgruppe definierten Regeln den Zugriff. 

Jedem Cluster, den Sie auf der EC2-VPC-Plattform bereitstellen, sind eine oder mehrere Amazon-VPC-Sicherheitsgruppen zugeordnet. Amazon VPC stellt eine VPC-Sicherheitsgruppe namens „default“ (Standard) bereit, die beim Erstellen der VPC automatisch erstellt wird. Jedem Cluster, den Sie in der VPC starten, wird automatisch die VPC-Standardsicherheitsgruppe zugewiesen, wenn Sie beim Einrichten Ihrer Redshift-Ressourcen nicht eine andere VPC-Sicherheitsgruppe festlegen. Sie können eine VPC-Sicherheitsgruppe einem Cluster zuweisen, wenn Sie den Cluster erstellen, oder Sie können dies später tun, indem Sie den Cluster modifizieren.

Der folgende Screenshot beschreibt die Standardregeln für die VPC-Standardsicherheitsgruppe.

![\[Die Tabelle zeigt eingehende und ausgehende Regeln für Sicherheitsgruppen: Jede Regel hat eine Quelle oder ein Ziel, ein Protokoll, einen Portbereich und Kommentare.\]](http://docs.aws.amazon.com/de_de/redshift/latest/mgmt/images/security_groups.png)


Sie können die Regeln für die VPC-Standardsicherheitsgruppe nach Bedarf ändern.

Wenn die VPC-Standardsicherheitsgruppe für Ihre Zwecke ausreicht, müssen Sie keine weitere erstellen. Sie können jedoch optional weitere VPC-Sicherheitsgruppen erstellen, um den eingehenden Zugriff besser verwalten zu können. Nehmen wir beispielsweise an, Sie führen einen Service auf einem Amazon-Redshift-Cluster oder einer Serverless-Arbeitsgruppe aus und bieten Ihren Kunden mehrere verschiedene Service-Levels an. Wenn Sie nicht für alle Service Levels den gleichen Zugriff gewähren möchten, können Sie separate VPC-Sicherheitsgruppen erstellen, jeweils eine für jeden Service Level. Anschließend können Sie diese VPC-Sicherheitsgruppen mit Ihrem Cluster oder Ihrer Arbeitsgruppe verbinden.

Sie können bis zu 100 VPC-Sicherheitsgruppen für eine VPC erstellen und eine VPC-Sicherheitsgruppe vielen Clustern und Arbeitsgruppen zuordnen. Beachten Sie jedoch, dass die Anzahl der VPC-Sicherheitsgruppen, die Sie einem Cluster oder einer Arbeitsgruppe zuordnen können, begrenzt ist.

Amazon Redshift wendet Änderungen auf eine VPC-Sicherheitsgruppe sofort an. Wenn Sie die VPC-Sicherheitsgruppe mit einem Cluster verbunden haben, werden daher eingehende Cluster-Zugriffsregeln in der aktualisierten VPC-Sicherheitsgruppe sofort angewendet.

Sie können VPC-Sicherheitsgruppen unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)erstellen und ändern. Sie können VPC-Sicherheitsgruppen auch programmgesteuert verwalten, indem Sie die AWS CLI, die Amazon EC2 EC2-CLI und die verwenden. AWS Tools for Windows PowerShell Weitere Informationen zur Arbeit mit VPC-Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im *Amazon-VPC-Benutzerhandbuch*.

# Konfigurieren der Kommunikationseinstellungen von Sicherheitsgruppen für einen Amazon-Redshift-Cluster oder eine Amazon-Redshift-Serverless-Arbeitsgruppe
<a name="rs-security-group-public-private"></a>

Dieses Thema hilft Ihnen dabei, Ihre Sicherheitsgruppen so zu konfigurieren, dass Netzwerkverkehr ordnungsgemäß weitergeleitet und empfangen wird. Im Folgenden sind Beispiele für häufige Anwendungsfälle aufgeführt:
+ Sie aktivieren den öffentlichen Zugriff für einen Amazon-Redshift-Cluster oder eine Amazon-Redshift-Serverless-Arbeitsgruppe, aber diese(r) empfängt keinen Datenverkehr. Sie müssen dafür eine Regel für eingehenden Datenverkehr konfigurieren, damit der Cluster/die Arbeitsgruppe Datenverkehr aus dem Internet erhält.
+ Der Cluster ist nicht öffentlich zugänglich und Sie benutzen die vorkonfigurierte Standard-VPC-Sicherheitsgruppe, um eingehenden Datenverkehr zuzulassen. Sie müssen jedoch eine andere Sicherheitsgruppe als die Standardsicherheitsgruppe verwenden und diese benutzerdefinierte Sicherheitsgruppe lässt keinen eingehenden Datenverkehr zu. Sie müssen sie so konfigurieren, dass die Kommunikation zugelassen wird.

 Die folgenden Abschnitte helfen Ihnen dabei, die richtige Antwort für jeden Anwendungsfall auszuwählen und zeigen Ihnen, wie der Netzwerkverkehr gemäß Ihren Anforderungen konfiguriert wird. Sie können die Schritte optional verwenden, um die Kommunikation mit anderen privaten Sicherheitsgruppen einzurichten.



**Anmerkung**  
Die Einstellungen für den Netzwerkverkehr werden in Amazon Redshift in den meisten Fällen nicht automatisch konfiguriert. Dies liegt daran, dass sie auf granularer Ebene unterschiedlich sein können, je nachdem, ob die Quelle des Datenverkehrs das Internet oder eine private Sicherheitsgruppe ist, und weil die Sicherheitsanforderungen variieren.

## Öffentlicher Zugriff mit Konfiguration der standardmäßigen oder einer benutzerdefinierten Sicherheitsgruppe
<a name="rs-security-group-public-default"></a>

Wenn Sie einen Cluster erstellen oder bereits erstellt haben, führen Sie die folgenden Konfigurationsschritte durch, um den Cluster öffentlich zugänglich zu machen. Dies gilt sowohl für die Auswahl der Standardsicherheitsgruppe als auch für eine benutzerdefinierte Sicherheitsgruppe:

1. Suchen Sie nach den Netzwerkeinstellungen:
   + Wählen Sie für einen bereitgestellten Amazon-Redshift-Cluster die Registerkarte **Eigenschaften** und dann unter **Netzwerk- und Sicherheitseinstellungen** die VPC für Ihren Cluster aus.
   + Wählen Sie für eine Amazon-Redshift-Serverless-Arbeitsgruppe die Option **Arbeitsgruppenkonfiguration** aus. Wählen Sie die Arbeitsgruppe aus der Liste aus. Wählen Sie dann unter **Datenzugriff** im Fenster **Netzwerk und Sicherheit** die Option **Bearbeiten** aus.

1. Konfigurieren Sie das Internet-Gateway und die Routing-Tabelle für Ihre VPC. Sie starten die Konfiguration, indem Sie die VPC nach Namen auswählen. Das VPC-Dashboard wird geöffnet. Wenn über das Internet eine Verbindung mit einem öffentlich zugänglichen Cluster hergestellt werden soll, muss der Routing-Tabelle ein Internet-Gateway hinzugefügt werden. Sie können dies konfigurieren, indem Sie im VPC-Dashboard **Routing-Tabellen** auswählen. Bestätigen Sie, dass für das Ziel des Internet-Gateways die Quelle 0.0.0.0/0 oder eine öffentliche IP-CIDR-Adresse festgelegt ist. Die Routing-Tabelle muss der VPC zugeordnet sein, in der sich Ihr Cluster befindet. Weitere Informationen zur Einrichtung des Internetzugangs für eine VPC, wie hier beschrieben, finden Sie unter [Aktivieren des Internetzugangs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#vpc-igw-internet-access) in der Amazon-VPC-Dokumentation. Weitere Informationen zum Konfigurieren einer Routing-Tabelle finden Sie unter [Konfigurieren von Routing-Tabellen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html).

1. Nachdem Sie das Internet-Gateway und die Routing-Tabelle konfiguriert haben, kehren Sie zu den Netzwerkeinstellungen für Redshift zurück. Öffnen Sie den eingehenden Zugriff, indem Sie die Sicherheitsgruppe und dann die **Regeln für eingehenden Datenverkehr** auswählen. Wählen Sie **Edit inbound rules** (Regeln für eingehenden Datenverkehr bearbeiten) aus.

1. Wählen Sie das **Protokoll** und den **Port** für die Regel für eingehenden Datenverkehr gemäß Ihren Anforderungen, um Datenverkehr von Clients zuzulassen. Wählen Sie für einen RA3 Cluster einen Port in den Bereichen 5431-5455 oder 8191-8215 aus. Wenn Sie damit fertig sind, speichern Sie die einzelnen Regeln.

1. Bearbeiten Sie die Einstellung **Öffentlich zugänglich**, um sie zu aktivieren. Sie können dies im Menü **Aktionen** Ihres Clusters oder Ihrer Arbeitsgruppe tun.

Wenn Sie die Einstellung für den öffentlichen Zugriff aktivieren, erstellt Redshift eine Elastic-IP-Adresse. Es ist eine statische IP-Adresse, die mit Ihrem Konto verknüpft ist. AWS Clients außerhalb der VPC können damit eine Verbindung herstellen.

Weitere Informationen zum Konfigurieren Ihrer Sicherheitsgruppe finden Sie unter [Amazon-Redshift-Sicherheitsgruppen](security-network-isolation.md#working-with-security-groups).

Sie können Ihre Regeln testen, indem Sie sich mit einem Client verbinden. Gehen Sie wie folgt vor, wenn Sie eine Verbindung zu Amazon Redshift Serverless herstellen. Nachdem Sie die Netzwerkkonfiguration abgeschlossen haben, stellen Sie eine Verbindung mit Ihrem Client-Tool wie etwa [Amazon Redshift RSQL](https://docs.aws.amazon.com/redshift/latest/mgmt/rsql-query-tool.html) her. Geben Sie unter Verwendung Ihrer Serverless-Domäne von Amazon Redshift als Host Folgendes ein:



```
rsql -h workgroup-name.account-id.region.amazonaws.com -U admin -d dev -p 5439
```

## Privater Zugriff mit Konfiguration der standardmäßigen oder einer benutzerdefinierten Sicherheitsgruppe
<a name="rs-security-group-private"></a>

 Wenn Sie nicht über das Internet mit Ihrem Cluster oder Ihrer Arbeitsgruppe kommunizieren, wird diese(r) als *privat* zugänglich bezeichnet. Wenn Sie bei der Erstellung die Standardsicherheitsgruppe ausgewählt haben, beinhaltetdie Sicherheitsgruppe die folgenden Standardkommunikationsregeln:
+ Eine Regel, die eingehenden Datenverkehr von allen Ressourcen zulässt, die der Sicherheitsgruppe zugewiesen sind.
+ Eine Regel, die den gesamten ausgehenden Datenverkehr zulässt. Das Ziel für diese Regel ist 0.0.0.0/0. In der CIDR-Notation (Classless Inter-Domain Routing) steht dies für alle möglichen IP-Adressen.

Sie können die Regeln in der Konsole anzeigen, indem Sie die Sicherheitsgruppe für Ihren Cluster oder Ihre Arbeitsgruppe auswählen.

Wenn Ihr Cluster oder Ihre Arbeitsgruppe und Ihr Client beide die Standardsicherheitsgruppe benutzen, ist keine zusätzliche Konfiguration erforderlich, um Netzwerkverkehr zuzulassen. Wenn Sie jedoch Regeln in der Standardsicherheitsgruppe für Redshift oder den Client löschen oder ändern, gilt dies nicht mehr. In diesem Fall müssen Sie Regeln konfigurieren, um eingehende und ausgehende Kommunikation zuzulassen. Eine gängige Konfiguration für Sicherheitsgruppen ist die folgende:
+ Für eine Amazon-EC2-Client-Instance:
  + Eine Regel für eingehenden Datenverkehr, die die IP-Adresse des Clients zulässt.
  + Eine Regel für ausgehenden Datenverkehr, die den IP-Adressbereich (CIDR-Block) aller Subnetze zulässt, die für die Redshift-Nutzung bereitgestellt werden. Oder Sie können 0.0.0.0/0 angeben, was alle IP-Adressbereiche umfasst.
+ Für Ihren Redshift-Cluster oder Ihre Arbeitsgruppe:
  + Eine Regel, die eingehenden Datenverkehr von der Client-Sicherheitsgruppe zulässt.
  + Eine Regel, die ausgehenden Datenverkehr zu 0.0.0.0/0 zulässt. Typischerweise lässt die Regel allen ausgehenden Datenverkehr zu. Optional können Sie eine Regel für ausgehenden Datenverkehr hinzufügen, um den Datenverkehr zur Client-Sicherheitsgruppe zuzulassen. In diesem optionalen Fall ist eine Regel für ausgehenden Datenverkehr nicht immer erforderlich, da der Antwortdatenverkehr für jede Anfrage die Instance erreichen darf. Weitere Informationen zum Anfrage- und Antwortverhalten finden Sie unter [Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html) im *Amazon VPC-Benutzerhandbuch*.

Wenn Sie die Konfiguration für Subnetze oder Sicherheitsgruppen ändern, die für die Verwendung von Redshift angegeben sind, müssen Sie möglicherweise die Datenverkehrsregeln entsprechend ändern, um die Kommunikation aufrechtzuerhalten. Weitere Informationen zum Erstellen von Regeln für eingehenden und ausgehenden Datenverkehr finden Sie unter [VPC-CIDR-Blöcke](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) im *Amazon-VPC-Benutzerhandbuch*. Weitere Informationen zum Verbinden mit Amazon Redshift von einem Client aus finden Sie unter [Konfigurieren von Verbindungen in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/configuring-connections.html).

# Subnetze für Redshift-Ressourcen
<a name="working-with-cluster-subnet-groups"></a>

Sie erstellen eine Subnetzgruppe, wenn Sie einen bereitgestellten Cluster in einer Virtual Private Cloud (VPC) bereitstellen. Ihre VPC kann ein oder mehrere Subnetze enthalten, d. h. eine Teilmenge der IP-Adressen in der VPC, mit deren Hilfe Sie Ihre Ressourcen auf der Grundlage Ihrer Sicherheits- und Betriebsanforderungen gruppieren können. Sie erstellen eine Subnetzgruppe, um eine Reihe von Subnetzen in Ihrer VPC anzugeben, wenn Sie einen bereitgestellten Cluster erstellen. Im **Dashboard für bereitgestellte Cluster** können Sie Cluster-Subnetzgruppen unter **Konfigurationen** suchen und bearbeiten. Während der Erstkonfiguration für einen bereitgestellten Cluster geben Sie die Subnetzgruppe an und Amazon Redshift erstellt den Cluster in einem seiner Subnetze. Weitere Informationen zum VPC-Service finden Sie auf der Produktdetailseite für [Amazon VPC](https://aws.amazon.com/vpc/).

Die Subnetzkonfiguration für eine Arbeitsgruppe von Amazon Redshift Serverless ähnelt der eines bereitgestellten Clusters, die Schritte unterscheiden sich jedoch geringfügig. Wenn Sie eine Serverless-Arbeitsgruppe erstellen und einrichten, geben Sie Subnetze für die Arbeitsgruppe an und diese werden einer Liste hinzugefügt. Sie können die Subnetze für eine bestehende Arbeitsgruppe anzeigen, indem Sie im **Serverless-Dashboard** die Arbeitsgruppeneigenschaften auswählen. Sie sind in den **Netzwerk- und Sicherheitseigenschaften** verfügbar. Weitere Informationen finden Sie unter [Erstellen einer Arbeitsgruppe mit einem Namespace](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups-create-workgroup-wizard.html).

Weitere Informationen zum Erstellen einer VPC finden Sie im [Amazon-VPC-Benutzerhandbuch](https://docs.aws.amazon.com/vpc/latest/userguide/).

Nachdem Sie eine Subnetzgruppe für einen bereitgestellten Cluster erstellt oder Subnetze für eine Serverless-Arbeitsgruppe ausgewählt haben, können Sie zuvor hinzugefügte Subnetze entfernen oder weitere hinzufügen. Sie können diese Änderungen mit der Konsole oder mit API-Operationen vornehmen. Weitere Informationen zu API-Vorgängen für einen bereitgestellten Cluster finden Sie unter [ModifyClusterSubnetGroup](https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyClusterSubnetGroup.html). Informationen zu API-Vorgängen für eine serverlose Arbeitsgruppe finden Sie unter. [UpdateWorkgroup](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateWorkgroup.html)



Sie können einen Cluster in einem der Subnetze in der Subnetzgruppe bereitstellen. Eine Cluster-Subnetzgruppe ermöglicht Ihnen die Angabe einer Reihe von Subnetzen in Ihrer Virtual Private Cloud (VPC).

**Warnung**  
Bei Cluster-Wartungsvorgängen wie klassischer Größenänderung, Pause und Wiederaufnahme, Multi-AZ-Failovers oder anderen Ereignissen werden Ihre bereitgestellten Rechenknoten möglicherweise in ein anderes Subnetz innerhalb der Subnetzgruppe Ihres Amazon-Redshift-Clusters verschoben. Beachten Sie, dass für alle Subnetze in einer Subnetzgruppe dieselben Netzwerk-ACL-Regeln für eingehenden und ausgehenden Datenverkehr und dieselben Routentabellen-Routen gelten müssen. Dadurch wird die Konnektivität zu und von den Amazon-Redshift-Datenverarbeitungsressourcen gewährleistet, sodass sie nach solchen Wartungsereignissen kommunizieren und optimal funktionieren können. Vermeiden Sie das Hinzufügen von Subnetzen mit unterschiedlichen Netzwerk-ACL- oder Routing-Tabellenkonfigurationen zu derselben Subnetzgruppe eines Amazon-Redshift-Clusters.  
Weitere Informationen zur Konfiguration von Subnetzen finden Sie unter [Subnetze für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) im Benutzerhandbuch zu Amazon VPC. Weitere Informationen zu Multi-AZ-Bereitstellungen von Redshift finden Sie unter [Multi-AZ-Bereitstellung](managing-cluster-multi-az.md) im Redshift-Managementleitfaden. [Größenanpassung eines Clusters](resizing-cluster.md) wird ebenfalls im Redshift-Managementleitfaden behandelt.

# Erstellen einer Cluster-Subnetzgruppe
<a name="create-cluster-subnet-group"></a>

Im folgenden Verfahren wird beschrieben, wie Sie eine Subnetzgruppe für einen bereitgestellten Cluster erstellen. Sie müssen mindestens eine Cluster-Subnetzgruppe definieren, um in einer VPC ein Cluster bereitstellen zu können.

**So erstellen Sie eine Cluster-Subnetzgruppe für einen bereitgestellten Cluster**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. Wählen Sie im Navigationsmenü **Configurations** (Konfigurationen) und dann **Subnet groups** (Subnetzgruppen) aus. Die Liste der Subnetzgruppen wird angezeigt. 

1. Wählen Sie **Create cluster subnet group (Cluster-Subnetzgruppe erstellen)** aus, um die Erstellungsseite anzuzeigen. 

1. Geben Sie Informationen für die Subnetzgruppe ein, einschließlich der Subnetze, die hinzugefügt werden sollen. 

1. Wählen Sie **Create cluster subnet group (Cluster-Subnetzgruppe erstellen)** aus, um die Gruppe mit den von Ihnen gewählten Subnetzen zu erstellen. 

**Anmerkung**  
Informationen zum Erstellen einer Arbeitsgruppe von Amazon Redshift Serverless mit einer Sammlung von Subnetzen finden Sie unter [Erstellen einer Arbeitsgruppe mit einem Namespace](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups-create-workgroup-wizard.html) oder [Erstellen eines Subnetzes](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) im Amazon VPC-Benutzerhandbuch.

# Ändern einer Cluster-Subnetzgruppe
<a name="modify-cluster-subnet-group"></a>

Nachdem Sie eine Subnetzgruppe erstellt haben, können Sie ihre Informationen in der Amazon-Redshift-Konsole ändern. Das folgende Verfahren führt Sie durch die Änderung einer Subnetzgruppe für einen bereitgestellten Cluster. 

**So ändern Sie eine Cluster-Subnetzgruppe für einen bereitgestellten Cluster**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. Wählen Sie im Navigationsmenü **Configurations** (Konfigurationen) und dann **Subnet groups** (Subnetzgruppen) aus. Die Liste der Subnetzgruppen wird angezeigt. 

1. Wählen Sie die zu ändernde Subnetzgruppe aus. 

1. Wählen Sie für **Actions (Aktionen)** **Modify (Ändern)** aus, um die Details der Subnetzgruppe anzuzeigen. 

1. Aktualisieren Sie Informationen für die Subnetzgruppe. 

1. Wählen Sie **Save (Speichern)** aus, um die Gruppe zu ändern. 

Wenn Sie Subnetze ändern oder entfernen möchten, sind in einigen Fällen zusätzliche Schritte erforderlich. Der AWS -Wissenscenter-Artikel [Wie verschiebe ich meinen bereitgestellten Amazon-Redshift-Cluster in ein anderes Subnetz?](https://repost.aws//knowledge-center/redshift-move-subnet) beschreibt beispielsweise einen Anwendungsfall, der das Verschieben eines Clusters behandelt.

# Löschen einer Cluster-Subnetzgruppe für einen bereitgestellten Cluster
<a name="delete-cluster-subnet-group"></a>

Wenn Sie mit der Verwendung einer Cluster-Subnetzgruppe fertig sind, sollten Sie die Gruppe bereinigen, indem Sie sie löschen. Das folgende Verfahren führt Sie durch die Schritte zum Löschen einer Subnetzgruppe für einen bereitgestellten Cluster.

**So löschen Sie eine Cluster-Subnetzgruppe**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. Wählen Sie im Navigationsmenü **Configurations** (Konfigurationen) und dann **Subnet groups** (Subnetzgruppen) aus. Die Liste der Subnetzgruppen wird angezeigt. 

1. Wählen Sie die zu löschende Subnetzgruppe und dann **Delete (Löschen)** aus. 

**Anmerkung**  
Sie können eine Cluster-Subnetzgruppe, die von einem Cluster verwendet wird, nicht löschen.

# Sperren des öffentlichen Zugriffs auf VPCs Subnetze
<a name="block-public-access"></a>

VPC Block Public Access (BPA) ist eine zentralisierte Sicherheitsfunktion, mit der Sie verhindern können, dass Ressourcen in VPCs und Subnetzen, die Ihnen gehören, das Internet erreichen oder dass sie über Internet-Gateways und Internet-Gateways nur für ausgehenden Datenverkehr vom Internet aus erreicht werden. AWS-Region Wenn Sie diese Funktion in einem aktivieren AWS-Konto, wirkt sie sich standardmäßig auf alle VPC oder Subnetze aus, die Amazon Redshift verwendet. Dies bedeutet, dass Amazon Redshift alle Operationen für die Öffentlichkeit blockiert. 

Wenn Sie VPC BPA aktiviert haben und Amazon Redshift Redshift-APIs über das öffentliche Internet verwenden möchten, müssen Sie eine Ausnahme für die Verwendung von Amazon EC2 APIs für Ihre VPC oder Ihr Subnetz hinzufügen. Ausschlüsse können einen der folgenden Modi haben: 
+ **Bidirektional**: Der gesamte Internetverkehr zu und von den ausgeschlossenen Subnetzen ist zulässig. VPCs 
+ **Nur ausgehender** Internetverkehr: Ausgehender Internetverkehr aus den ausgeschlossenen Subnetzen und Subnetzen ist zulässig. VPCs Eingehender Internetverkehr zu den ausgeschlossenen und den ausgeschlossenen Subnetzen wird blockiert. VPCs Dies gilt nur, wenn BPA auf „Bidirektional“ eingestellt ist.

VPC-BPA-Ausschlüsse kennzeichnen eine gesamte VPC oder ein bestimmtes Subnetz innerhalb einer VPC als öffentlich zugriffsfähig. Netzwerkschnittstellen innerhalb dieser Grenze respektieren die regulären VPC-Netzwerkkontrollen wie Sicherheitsgruppen, Routing-Tabellen und Netzwerk in Bezug darauf ACLs, ob diese Schnittstelle über eine Route und einen Zugang zum öffentlichen Internet verfügt. Weitere Informationen zum Hinzufügen von Ausschlüssen finden Sie unter [Erstellen und Löschen von Ausnahmen](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) im *Amazon-VPC-Benutzerhandbuch*.

**Bereitgestellte Cluster**

Eine Subnetzgruppe ist eine Kombination aus Subnetzen aus derselben VPC. Wenn sich eine Subnetzgruppe für einen bereitgestellten Cluster in einem Konto befindet, für das VPC BPA aktiviert ist, sind die folgenden Funktionen blockiert:
+ Erstellen eines öffentlichen Clusters
+ Wiederherstellen eines öffentlichen Clusters
+ Ändern eines privaten Clusters zu einem öffentlichen Cluster
+ Hinzufügen eines Subnetzes mit aktivierter VPC BPA zur Subnetzgruppe, wenn sich mindestens ein öffentlicher Cluster in der Gruppe befindet

 **Serverless-Cluster**

Redshift Serverless verwendet keine Subnetzgruppen. Stattdessen hat jeder Cluster seinen eigenen Satz an Subnetzen. Wenn sich eine Arbeitsgruppe in einem Konto befindet, auf dem VPC BPA aktiviert ist, sind die folgenden Funktionen gesperrt: 
+ Erstellen einer Arbeitsgruppe mit öffentlichem Zugriff
+ Ändern einer privaten Arbeitsgruppe zu einer öffentlichen
+ Hinzufügen eines Subnetzes mit aktivierter VPC BPA zur Arbeitsgruppe, wenn die Arbeitsgruppe öffentlich ist

# Steuerung des Netzwerkverkehrs mit erweitertem Redshift-VPC-Routing
<a name="enhanced-vpc-routing"></a>

Wenn Sie Enhanced VPC Routing für Amazon Redshift verwenden, erzwingt Amazon Redshift, dass der gesamte [COPY](https://docs.aws.amazon.com/redshift/latest/dg/r_COPY.html)- und [UNLOAD](https://docs.aws.amazon.com/redshift/latest/dg/r_UNLOAD.html)-Datenverkehr zwischen Ihrem Cluster und Ihren Datenrepositorys über Ihre Virtual Private Cloud (VPC) erfolgt, die auf dem Amazon-VPC-Service basiert. *Durch die Verwendung von erweitertem VPC-Routing können Sie Standard-VPC-Funktionen wie [VPC-Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html), [Netzwerkzugriffskontrolllisten (ACLs)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html), [VPC-Endpunkte, [VPC-Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html), [Internet-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) und [DNS-Server (Domain Name System)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) verwenden, wie im Amazon VPC-Benutzerhandbuch beschrieben.* Sie können mit diesen Features den Datenfluss zwischen dem Amazon-Redshift-Cluster und anderen Ressourcen verwalten. Wenn Sie Enhanced VPC Routing zur Weiterleitung des Datenverkehrs durch Ihre VPC verwenden, können Sie auch [VPC-Flussprotokolle](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) verwenden, um den COPY- und UNLOAD-Datenverkehr zu überwachen.

 Amazon-Redshift-Cluster und Arbeitsgruppen von Amazon Redshift Serverless unterstützen erweitertes VPC-Routing. Sie können Enhanced VPC Routing nicht mit Redshift Spectrum verwenden. Weitere Informationen finden Sie unter [Zugreifen auf Amazon-S3-Buckets mit Redshift Spectrum](spectrum-enhanced-vpc.md).

Wenn das erweiterte VPC-Routing nicht aktiviert ist, leitet Amazon Redshift den Datenverkehr über das Internet weiter, einschließlich des Datenverkehrs zu anderen Diensten innerhalb des AWS Netzwerks.

**Wichtig**  
Da Enhanced VPC Routing sich darauf auswirkt, wie Amazon Redshift auf andere Ressourcen zugreift, schlagen COPY- und UNLOAD-Befehle möglicherweise fehl, wenn Ihre VPC nicht ordnungsgemäß konfiguriert wurde. Sie müssen speziell einen Netzwerkpfad zwischen Ihrem VPC-Cluster und Ihren Datenressourcen erstellen, wie nachfolgend beschrieben.

Wenn Sie einen COPY- oder UNLOAD-Befehl auf einem Cluster mit aktiviertem Enhanced VPC Routing ausführen, leitet Ihre VPC den Datenverkehr über den *strengsten* bzw. spezifischsten verfügbaren Netzwerkpfad zu der angegebenen Ressource. 

Sie können beispielsweise die folgenden Wege in Ihrer VPC konfigurieren:
+ **VPC-Endpunkte** — Für Traffic zu einem Amazon S3 S3-Bucket in derselben AWS Region wie Ihr Cluster oder Ihre Arbeitsgruppe können Sie einen VPC-Endpunkt erstellen, um den Verkehr direkt an den Bucket weiterzuleiten. Wenn Sie VPC-Endpunkte verwenden, können Sie eine Endpunktrichtlinie anfügen, um den Zugriff auf Amazon S3 zu verwalten. Weitere Informationen zur Verwendung von Endpunkten mit Redshift finden Sie unter [Steuerung des Datenbankverkehrs mit VPC-Endpunkten](enhanced-vpc-working-with-endpoints.md). Wenn Sie Lake Formation verwenden, finden Sie weitere Informationen zum Herstellen einer privaten Verbindung zwischen Ihrer VPC und AWS Lake Formation at [AWS Lake Formation und zu den VPC-Endpunkten der Schnittstelle](https://docs.aws.amazon.com/lake-formation/latest/dg/privatelink.html) ().AWS PrivateLink
**Anmerkung**  
Wenn Sie Redshift-VPC-Endpunkte mit VPC-Gateway-Endpunkten von Amazon S3 verwenden, müssen Sie das erweiterte VPC-Routing in Redshift aktivieren. Weitere Informationen finden Sie unter [Gateway-Endpunkte für Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html).
+ **NAT-Gateway** — Sie können eine Verbindung zu einem Amazon S3 S3-Bucket in einer anderen AWS Region herstellen, und Sie können eine Verbindung zu einem anderen Service innerhalb des AWS Netzwerks herstellen. Sie können auch auf eine Host-Instance außerhalb des AWS Netzwerks zugreifen. Dazu müssen Sie ein [Network Address Translation (NAT)-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) erstellen, wie im *Amazon-VPC-Benutzerhandbuch* beschrieben.
+ **Internet-Gateway** – Zum Verbinden mit AWS -Services außerhalb Ihrer VPC können Sie ein [Internet-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) an Ihr VPC-Subnetz anfügen, wie im *Amazon-VPC-Benutzerhandbuch* beschrieben. Zur Verwendung eines Internet-Gateways muss Ihr Cluster oder Ihre Arbeitsgruppe eine öffentliche IP haben, damit andere Services mit ihm/ihr kommunizieren können.

Weitere Informationen finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) im Amazon-VPC-Benutzerhandbuch.

Für die Nutzung von Enhanced VPC Routing fallen keine zusätzlichen Gebühren an. Möglicherweise fallen bei bestimmten Operationen Datenübertragungskosten an. Dazu gehören Operationen wie UNLOAD to Amazon S3 in einer anderen AWS Region. COPY aus Amazon EMR oder Secure Shell (SSH) mit öffentlichen IP-Adressen. Weitere Informationen zu Preisen finden Sie unter [Amazon EC2 – Preise](https://aws.amazon.com/ec2/pricing/).

**Topics**
+ [Steuerung des Datenbankverkehrs mit VPC-Endpunkten](enhanced-vpc-working-with-endpoints.md)
+ [Aktivieren von erweitertem VPC-Routing](enhanced-vpc-enabling-cluster.md)
+ [Zugreifen auf Amazon-S3-Buckets mit Redshift Spectrum](spectrum-enhanced-vpc.md)

# Steuerung des Datenbankverkehrs mit VPC-Endpunkten
<a name="enhanced-vpc-working-with-endpoints"></a>

Sie können einen VPC-Endpunkt verwenden, um eine verwaltete Verbindung zwischen Ihrem Amazon-Redshift-Cluster oder Ihrer Serverless-Workgroup in einer VPC und Amazon Simple Storage Service (Amazon S3) herzustellen. Wenn Sie dies tun, bleibt der COPY- und UNLOAD-Datenverkehr zwischen Ihrer Datenbank und Ihren Daten in Amazon S3 in Ihrer Amazon VPC. Sie können eine Endpunktrichtlinie mit Ihrem Endpunkt verbinden, um den Zugriff auf Ihre Daten besser verwalten zu können. Beispielsweise können Sie Ihrem VPC-Endpunkt eine Richtlinie hinzufügen, die das Entladen von Daten nur zu einem bestimmten Amazon-S3-Bucket in Ihrem Konto erlaubt.

Erstellen Sie zur Verwendung von VPC-Endpunkten einen VPC-Endpunkt für die VPC, in der sich Ihr Data Warehouse befindet, und aktivieren Sie dann Enhanced VPC Routing. Sie können Enhanced VPC Routing aktivieren, wenn Sie Ihren Cluster oder Ihre Arbeitsgruppe erstellen, oder Sie können einen Cluster oder eine Arbeitsgruppe in einer VPC so modifizieren, dass er/sie Enhanced VPC Routing verwendet.

Ein VPC-Endpunkt verwendet Routing-Tabellen zum Steuern der Weiterleitung des Datenverkehrs zwischen einem Cluster oder einer Arbeitsgruppe in der VPC und Amazon S3. Alle Cluster und Arbeitsgruppen in mit den angegebenen Routing-Tabellen verbundenen Subnetzen verwenden automatisch diesen Endpunkt zum Zugriff auf den Service.

Ihre VPC verwendet die am meisten spezifische bzw. restriktive Route, die dem Datenverkehr entspricht, um zu bestimmen, wie der Datenverkehr weitergeleitet werden soll. Angenommen, es gibt eine Route in Ihrer Routing-Tabelle für den gesamten Internetdatenverkehr (0.0.0.0/0), die auf ein Internet-Gateway und einen Amazon-S3-Endpunkt verweist. In diesem Fall erhält die Endpunktroute Vorrang für den gesamten für Amazon S3 bestimmten Datenverkehr. Der Grund dafür ist, dass der IP-Adressbereich für den Amazon-S3-Service eine spezifischere Angabe als 0.0.0.0/0 ist. In diesem Beispiel wird der gesamte sonstige Internetdatenverkehr einschließlich des Datenverkehrs zu Amazon-S3-Buckets in anderen AWS-Regionenüber das Internet-Gateway geleitet.

Weitere Informationen zum Erstellen von VPC-Endpunkten finden Sie unter [Erstellen eines VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im *VPC-Benutzerhandbuch*.

Sie verwenden Endpunktrichtlinien zur Steuerung des Zugriffs von Ihrem Cluster oder Ihrer Arbeitsgruppe auf die Amazon-S3-Buckets, die Ihre Datendateien enthalten. Um eine spezifischere Steuerung zu erzielen, können Sie optional eine benutzerdefinierte Endpunktrichtlinie hinzufügen. Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Services mit Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *AWS PrivateLink -Leitfaden*. 

**Anmerkung**  
 AWS Database Migration Service (AWS DMS) ist ein Cloud-Dienst, der die Migration relationaler Datenbanken, Data Warehouses und anderer Arten von Datenspeichern ermöglicht. Es kann mit einigen Konfigurationseinschränkungen eine Verbindung zu jeder AWS Quell- oder Zieldatenbank herstellen, einschließlich einer Amazon Redshift Redshift-Datenbank, die VPC-fähig ist. Die Unterstützung von Amazon VPC-Endpunkten erleichtert die Aufrechterhaltung der end-to-end Netzwerksicherheit für Replikationsaufgaben. AWS DMS *Weitere Informationen zur Verwendung von Redshift mit AWS DMS finden Sie unter [Konfiguration von VPC-Endpunkten als AWS DMS Quell- und Zielendpunkte im Benutzerhandbuch](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_VPC_Endpoints.html).AWS Database Migration Service * 

Für die Nutzung von Endpunkten fallen keine zusätzlichen Gebühren an. Für die Datenübertragung und Ressourcennutzung fallen die Standardgebühren an. Weitere Informationen zu Preisen finden Sie unter [Amazon EC2 – Preise](https://aws.amazon.com/redshift/pricing/#Data_Transfer).

# Aktivieren von erweitertem VPC-Routing
<a name="enhanced-vpc-enabling-cluster"></a>

Sie können Enhanced VPC Routing aktivieren, wenn Sie einen Cluster erstellen oder ändern und wenn Sie eine Amazon-Redshift-Serverless-Arbeitsgruppe erstellen oder ändern.

Zur Arbeit mit erweitertem VPC-Routing muss Ihr Cluster oder Ihre Serverless-Arbeitsgruppe den folgenden Voraussetzungen und Einschränkungen entsprechen:
+ Ihr Cluster muss sich in einer VPC befinden. 

  Wenn Sie einen Amazon S3 S3-VPC-Endpunkt anhängen, wird der VPC-Endpunkt nur für den Zugriff auf Amazon S3 S3-Buckets in derselben Region verwendet. AWS Um auf Buckets in einer anderen AWS Region zuzugreifen (ohne den VPC-Endpunkt zu verwenden) oder auf andere AWS Dienste zuzugreifen, machen Sie Ihren Cluster oder Ihre serverlose Arbeitsgruppe öffentlich zugänglich oder verwenden Sie ein NAT-Gateway [(Network Address Translation)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html). Weitere Informationen finden Sie unter [Erstellen eines von Redshift bereitgestellten Clusters oder einer Arbeitsgruppe von Amazon Redshift Serverless in einer VPC](getting-started-cluster-in-vpc.md).
+ Sie müssen in Ihrer VPC die DSN-Namensauflösung aktivieren. Alternativ müssen Sie, wenn Sie einen eigenen DNS-Server betreiben, sicherstellen, dass DNS-Anforderungen an Amazon S3 korrekt in die von AWS gepflegten IP-Adressen aufgelöst werden. Weitere Informationen finden Sie unter [Verwendung von DNS in Ihrer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) im *Amazon VPC Benutzerhandbuch*.
+ In Ihrer VPC müssen DNS-Hostnamen aktiviert sein. DNS-Hostnamen werden standardmäßig aktiviert.
+ Ihre VPC-Endpunktrichtlinien müssen den Zugriff auf alle mit COPY-, UNLOAD- oder CREATE LIBRARY-Aufrufen in Amazon Redshift verwendeten Amazon-S3-Buckets zulassen, einschließlich Zugriff auf eventuell vorhandene Manifestdateien. Für COPY von Remote-Hosts müssen Ihre Endpunktrichtlinien den Zugriff auf jeden Hostcomputer zulassen. Weitere Informationen finden Sie unter [IAM-Berechtigungen für COPY, UNLOAD und CREATE LIBRARY](https://docs.aws.amazon.com/redshift/latest/dg/copy-usage_notes-access-permissions.html#copy-usage_notes-iam-permissions) im *Datenbankentwicklerhandbuch zu Amazon Redshift*.

**So aktivieren Sie erweitertes VPC-Routing für einen bereitgestellten Cluster**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. Wählen Sie im Navigationsmenü **Provisioned clusters dashboard** (Dashboard für bereitgestellte Cluster) und dann **Create cluster** (Cluster erstellen) aus und geben Sie die Eigenschaften unter **Cluster details** (Cluster-Details) ein. 

1. Um den Abschnitt **Additional configurations (Zusätzliche Konfigurationen)** anzuzeigen, deaktivieren Sie **Use defaults (Standardeinstellungen verwenden)**. 

1. Navigieren Sie zum Abschnitt **Network and security** (Netzwerk und Sicherheit).

1. Um **Enhanced VPC Routing** zu aktivieren, wählen Sie **Turn on** (Aktivieren) aus, um den Cluster-Datenverkehr über die VPC zu erzwingen. 

1. Wählen Sie **Create cluster (Cluster erstellen)** aus, um den Cluster zu erstellen. Es kann einige Minuten dauern, bis der Cluster zur Verwendung bereit ist.

**So aktivieren Sie erweitertes VPC-Routing für Amazon Redshift Serverless**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. Wählen Sie im Navigationsmenü **Serverless Dashboard** und anschließend **Create Workgroup** (Arbeitsgruppe erstellen) aus und geben Sie die Eigenschaften für Ihre Arbeitsgruppe ein. 

1. Navigieren Sie zum Abschnitt **Network and security** (Netzwerk und Sicherheit).

1. Wählen Sie **Turn on Enhanced VPC Routing** (Enhanced VPC Routing aktivieren) aus, um den Netzwerkdatenverkehr über die VPC zu leiten. 

1. Wählen Sie **Next** (Weiter) aus und beenden Sie die Eingabe Ihrer Arbeitsgruppeneigenschaften, bis Sie die Arbeitsgruppe erstellen (**Create**).

# Zugreifen auf Amazon-S3-Buckets mit Redshift Spectrum
<a name="spectrum-enhanced-vpc"></a>

Im Allgemeinen unterstützt Amazon Redshift Spectrum kein erweitertes VPC-Routing mit bereitgestellten Clustern, obwohl ein bereitgestellter Cluster externe Tabellen von Amazon S3 abfragen kann, wenn erweitertes VPC-Routing aktiviert ist.

Das erweiterte VPC-Routing für Amazon Redshift sendet bestimmten Datenverkehr über Ihre VPC. Dies bedeutet, dass der gesamte Datenverkehr zwischen Ihrem Cluster und Ihren Amazon-S3-Buckets erzwungenermaßen über Ihre Amazon VPC erfolgt. Da Redshift Spectrum auf AWS verwalteten Ressourcen läuft, die Amazon Redshift gehören, sich aber außerhalb Ihrer VPC befinden, verwendet Redshift Spectrum kein erweitertes VPC-Routing. 

Der Datenverkehr zwischen Redshift Spectrum und Amazon S3 wird sicher über das AWS private Netzwerk außerhalb Ihrer VPC geleitet. Der Flugverkehr wird mit dem Amazon Signature Version 4-Protokoll (SIGv4) signiert und mit HTTPS verschlüsselt. Dieser Datenverkehr wird auf der Grundlage der IAM-Rolle autorisiert, die Ihrem Amazon-Redshift-Cluster angefügt ist. Um den Redshift-Spectrum-Datenverkehr weiter zu verwalten, können Sie die IAM-Rolle Ihres Clusters und Ihre an den Amazon-S3-Bucket angehängte Richtlinie ändern. Möglicherweise müssen Sie Ihre VPC auch so konfigurieren, dass Ihr Cluster auf Athena zugreifen AWS Glue kann, wie im Folgenden beschrieben. 

 Da Enhanced VPC Routing sich darauf auswirkt, wie Amazon Redshift auf andere Ressourcen zugreift, schlagen Abfragen möglicherweise fehl, wenn Ihre VPC nicht ordnungsgemäß konfiguriert wurde. Weitere Informationen finden Sie unter [Steuerung des Netzwerkverkehrs mit erweitertem Redshift-VPC-Routing](enhanced-vpc-routing.md). Hier wird die Erstellung eines VPC-Endpunkts, eines NAT-Gateways und anderer Netzwerkressourcen zum Umleiten des Datenverkehrs auf Ihre Amazon-S3-Buckets ausführlicher beschrieben. 

**Anmerkung**  
Amazon Redshift Serverless unterstützt Enhanced VPC Routing für Abfragen an externe Tabellen in Amazon S3. Weitere Informationen zur Konfiguration finden Sie unter [Laden von Daten aus Amazon S3](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html#serverless-load-data-from-s3) im Amazon Redshift Serverless Getting Started Guide.

## Konfiguration der Berechtigungsrichtlinien bei der Verwendung von Amazon Redshift Spectrum
<a name="spectrum-enhanced-vpc-considerations"></a>

Berücksichtigen Sie bei der Verwendung von Redshift Spectrum Folgendes: 
+ [Zugriffsrichtlinien für Amazon-S3-Buckets und IAM-Rollen](#spectrum-enhanced-vpc-considerations-policies)
+ [Berechtigungen für die Annahme der IAM-Rolle](#spectrum-enhanced-vpc-considerations-cluster-role)
+ [Protokollieren und Prüfen des Amazon-S3-Zugriffs](#spectrum-enhanced-vpc-considerations-logging-s3)
+ [Zugang zu AWS Glue oder Amazon Athena](#spectrum-enhanced-vpc-considerations-glue-access)

### Zugriffsrichtlinien für Amazon-S3-Buckets und IAM-Rollen
<a name="spectrum-enhanced-vpc-considerations-policies"></a>

Sie können den Zugriff auf Daten in Ihren Amazon-S3-Buckets mit einer Bucket-Richtlinie steuern, die dem Bucket angefügt ist, aber auch über eine IAM-Rolle, die einem bereitgestellten Cluster angefügt ist. 

Redshift Spectrum auf bereitgestellten Clustern kann nicht auf Daten zugreifen, die in Amazon-S3-Buckets gespeichert sind, wenn diese eine Bucket-Richtlinie verwenden, die den Zugriff auf bestimmte VPC-Endpunkte beschränkt. Verwenden Sie stattdessen eine Bucket-Richtlinie, die den Zugriff nur auf bestimmte Prinzipale beschränkt, z. B. auf ein bestimmtes AWS Konto oder bestimmte Benutzer. 

Verwenden Sie für die IAM-Rolle, die Zugriff auf den Bucket erhält, eine Vertrauensstellung, die die Annahme der Rolle nur durch den Amazon-Redshift-Service-Prinzipal erlaubt. Wenn die Rolle Ihrem Cluster angefügt ist, kann sie nur im Kontext von Amazon Redshift verwendet und nicht außerhalb des Clusters freigegeben werden. Weitere Informationen finden Sie unter [Einschränken des Zugriffs auf IAM-Rollen](authorizing-redshift-service-database-users.md). Es kann auch eine Service-Kontrollrichtlinie (SCP) verwendet werden, um die Rolle weiter einzuschränken. Weitere Informationen finden Sie unter [Verhindern, dass IAM-Benutzer und -Rollen bestimmte Änderungen vornehmen, mit Ausnahme für eine angegebene Administratorrolle](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-restricts-with-exception) im *AWS Organizations -Benutzerhandbuch*.

**Anmerkung**  
Um Redshift Spectrum verwenden zu URLs können, dürfen keine IAM-Richtlinien vorhanden sein, die die Verwendung von Amazon S3 vorsigniert blockieren. Die von Amazon Redshift Spectrum URLs vorsignierten Dateien sind 1 Stunde gültig, sodass Amazon Redshift genügend Zeit hat, um alle Dateien aus dem Amazon S3 S3-Bucket zu laden. Für jede von Redshift Spectrum gescannte Datei wird eine eindeutige vorsignierte URL generiert. Sie müssen bei Bucket-Richtlinien, die die Aktion `s3:signatureAge` enthalten, den Wert auf mindestens 3.600.000 Millisekunden festlegen.

Die folgende Beispiel-Bucket-Richtlinie ermöglicht den Zugriff auf den angegebenen Bucket, der dem Konto gehört. AWS `123456789012` 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BucketPolicyForSpectrum",
            "Effect": "Allow",
            "Principal": {
                "AWS": ["arn:aws:iam::123456789012:role/redshift"]
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucketVersions",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

### Berechtigungen für die Annahme der IAM-Rolle
<a name="spectrum-enhanced-vpc-considerations-cluster-role"></a>

Die Ihrem Cluster angefügte Rolle sollte über eine Vertrauensstellung verfügen, die die Annahme der Rolle nur dem Amazon-Redshift-Service erlaubt, wie nachfolgend gezeigt.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Weitere Informationen finden Sie unter [IAM-Richtlinien für Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-spectrum-iam-policies.html) im *Datenbankentwicklerhandbuch zu Amazon Redshift*.

### Protokollieren und Prüfen des Amazon-S3-Zugriffs
<a name="spectrum-enhanced-vpc-considerations-logging-s3"></a>

Ein Vorteil der Verwendung von Enhanced VPC Routing für Amazon Redshift ist, dass der gesamte COPY- und UNLOAD-Datenverkehr in den VPC-Flow-Protokollen protokolliert wird. Von Redshift Spectrum stammender Datenverkehr zu Amazon S3 wird nicht durch Ihre VPC geleitet und wird daher auch nicht in den VPC-Flow-Protokollen aufgezeichnet. Wenn Redshift Spectrum auf Daten in Amazon S3 zugreift, führt es diese Vorgänge im Kontext des AWS Kontos und der jeweiligen Rollenrechte aus. Sie können den Amazon-S3-Zugriff mithilfe von Serverzugriffsprotokollierung in AWS CloudTrail und Amazon S3 protokollieren und prüfen. 

Stellen Sie sicher, dass die S3-IP-Bereiche zu Ihrer Zulassungsliste hinzugefügt werden. Weitere Informationen zu den erforderlichen S3-IP-Bereichen finden Sie unter [Netzwerkisolierung](https://docs.aws.amazon.com//redshift/latest/mgmt/security-network-isolation.html#network-isolation).

**AWS CloudTrail Protokolle** 

Um den gesamten Zugriff auf Objekte in Amazon S3, einschließlich des Redshift Spectrum-Zugriffs, nachzuverfolgen, aktivieren CloudTrail Sie die Protokollierung für Amazon S3 S3-Objekte. 

Sie können CloudTrail damit Kontoaktivitäten in Ihrer gesamten AWS Infrastruktur anzeigen, suchen, herunterladen, archivieren, analysieren und darauf reagieren. Weitere Informationen finden Sie unter [Erste Schritte mit CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-getting-started.html). 

Verfolgt standardmäßig nur CloudTrail Aktionen auf Bucket-Ebene. Um Aktionen auf Objektebene (z. B. `GetObject`) zu verfolgen, aktivieren Sie Daten- und Verwaltungsereignisse für jeden protokollierten Bucket. 

**Amazon-S3-Server-Zugriffsprotokollierung** 

Die Server-Zugriffsprotokollierung bietet detaillierte Aufzeichnungen über die Anforderungen, die an einen Bucket gestellt wurden. Die Zugriffsprotokollinformationen können für Sicherheits- und Zugriffsüberprüfungen nützlich sein. Weitere Informationen finden Sie unter [So aktivieren Sie die Server-Zugriffsprotokollierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html#server-access-logging-overview) im *Benutzerhandbuch zu Amazon Simple Storage Service*.

Weitere Informationen finden Sie im AWS Sicherheits-Blogbeitrag [How to Use Bucket Policies and Apply Defense-in-Depth, um Ihre Amazon S3 S3-Daten zu schützen](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/). 

### Zugang zu AWS Glue oder Amazon Athena
<a name="spectrum-enhanced-vpc-considerations-glue-access"></a>

Redshift Spectrum greift auf Ihren Datenkatalog in AWS Glue oder Athena zu. Eine weitere Option ist die Verwendung eines speziellen Hive-Metastores für Ihren Datenkatalog. 

Um den Zugriff auf AWS Glue oder Athena zu aktivieren, konfigurieren Sie Ihre VPC mit einem Internet-Gateway oder NAT-Gateway. Konfigurieren Sie Ihre VPC-Sicherheitsgruppen so, dass ausgehender Datenverkehr zu den öffentlichen Endpunkten für AWS Glue und Athena zugelassen wird. Alternativ können Sie einen VPC-Schnittstellen-Endpunkt konfigurieren, für den AWS Glue Zugriff auf Ihren AWS Glue Data Catalog. Wenn Sie einen VPC-Schnittstellenendpunkt verwenden, AWS Glue erfolgt die Kommunikation zwischen Ihrer VPC und innerhalb des AWS Netzwerks. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).

Sie können in Ihrer VPC die folgenden Pfade konfigurieren: 
+ **Internet-Gateway** — Um eine Verbindung zu AWS Diensten außerhalb Ihrer VPC herzustellen, können Sie ein [Internet-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) an Ihr VPC-Subnetz anschließen, wie im *Amazon* VPC-Benutzerhandbuch beschrieben. Zur Verwendung eines Internet-Gateways muss Ihr bereitgestellter Cluster eine öffentliche IP-Adresse haben, damit andere Services mit ihm kommunizieren können. 
+ **NAT-Gateway** — Um eine Verbindung zu einem Amazon S3 S3-Bucket in einer anderen AWS Region oder zu einem anderen Service innerhalb des AWS Netzwerks herzustellen, konfigurieren Sie ein [Network Address Translation (NAT) -Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), wie im *Amazon VPC-Benutzerhandbuch* beschrieben. Sie können mit dieser Konfiguration auch auf eine Host-Instance außerhalb des AWS -Netzwerks zugreifen.

Weitere Informationen finden Sie unter [Steuerung des Netzwerkverkehrs mit erweitertem Redshift-VPC-Routing](enhanced-vpc-routing.md).