Amazon Redshift dejará de admitir la creación de nuevas UDF de Python a partir del parche 198. Las UDF de Python existentes seguirán funcionando hasta el 30 de junio de 2026. Para obtener más información, consulte la [publicación del blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). 

# Tareas de red
<a name="networking-tasks"></a>

Puede realizar tareas de red, como personalizar la conexión a una base de datos de Redshift. Es posible que desee efectuar esta tarea para controlar el tráfico por motivos de seguridad u otros fines. También puede realizar tareas relacionadas con el DNS, como configurar un nombre de dominio personalizado para los recursos de Redshift. Estas tareas de configuración están disponibles si tiene un clúster aprovisionado de Amazon Redshift o un grupo de trabajo de Amazon Redshift sin servidor.

**Topics**
+ [Nombres de dominio personalizados para conexiones de cliente](connecting-connection-CNAME.md)
+ [Puntos de conexión de la VPC administrados por Redshift](managing-cluster-cross-vpc.md)
+ [Recursos de Redshift en una VPC](managing-clusters-vpc.md)
+ [Control del tráfico de red con enrutamiento de VPC mejorado de Redshift](enhanced-vpc-routing.md)

# Nombres de dominio personalizados para conexiones de cliente
<a name="connecting-connection-CNAME"></a>

 Puede crear un nombre de dominio personalizado, también conocido como URL personalizada, para el clúster de Amazon Redshift y el grupo de trabajo de Amazon Redshift sin servidor. Es un registro DNS fácil de leer que dirige las conexiones de los clientes SQL hacia su punto de conexión. Puede configurarlo para un clúster o grupo de trabajo existentes en cualquier momento. Proporciona varios beneficios:
+ El nombre de dominio personalizado es una cadena más simple que la URL predeterminada, que normalmente incluye el nombre del clúster o del grupo de trabajo y la región. Es más fácil de recordar y utilizar.
+ Puede enrutar rápidamente el tráfico hacia un clúster o grupo de trabajo nuevos en caso de conmutación por error, por ejemplo. De este modo, los clientes no tienen que realizar un cambio de configuración cuando vuelven a conectarse. Las conexiones pueden redirigirse de forma centralizada, con una interrupción mínima. 
+ Puede evitar compartir información privada, como el nombre de un servidor, en una URL de conexión. Puede ocultarlo en una URL personalizada.

Cuando se configura un nombre de dominio personalizado mediante un CNAME, no se produce ningún cargo adicional en Amazon Redshift. Es posible que su proveedor de DNS le facture por un nombre de dominio, si crea uno nuevo, pero este costo suele ser pequeño. 

# Registro de un nombre de dominio
<a name="connecting-connection-CNAME-certificates"></a>

 La configuración del nombre de dominio personalizado consta de varias tareas, entre ellas, registrar el nombre de dominio con su proveedor de DNS y crear un certificado. Después de realizar estos trabajos, configure el nombre de dominio personalizado en la consola de Amazon Redshift o de Amazon Redshift sin servidor, o configúrelo con comandos de la AWS CLI. 

Debe tener un nombre de dominio de Internet registrado para configurar un nombre de dominio personalizado en Amazon Redshift. Puede registrar un dominio de Internet mediante Route 53 o con un proveedor de registros de dominios externo. Estas tareas se llevan a cabo fuera de la consola de Amazon Redshift. Un dominio registrado es un requisito previo para completar los procedimientos restantes a fin de crear un dominio personalizado.

**nota**  
Si usa un clúster aprovisionado, antes de realizar los pasos para configurar el nombre de dominio personalizado, el clúster debe estar activado para la reubicación. Para obtener más información, consulte [Reubicación de un clúster](managing-cluster-recovery.md). Este paso no se requiere para Amazon Redshift sin servidor.

El nombre de dominio personalizado suele incluir el dominio raíz y un subdominio, como  `mycluster.example.com`. Para configurarlo, siga estos pasos:

**Creación de una entrada CNAME de DNS para su nombre de dominio personalizado**

1. Registre un dominio raíz, por ejemplo,  `example.com`. También puede utilizar un dominio existente. Su nombre personalizado puede estar limitado por restricciones de caracteres concretos u otras validaciones de nombres. Para obtener más información sobre el registro de un dominio con Route 53, consulte [Registro de un nuevo dominio](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html).

1. Agregue un registro CNAME de DNS que dirija su nombre de dominio personalizado hacia el punto de conexión de Redshift para su clúster o grupo de trabajo. Encontrará el punto de conexión en las propiedades del clúster o grupo de trabajo, en la consola de Redshift o de Amazon Redshift sin servidor. Copie la **URL de JDBC** disponible en las propiedades del clúster o el grupo de trabajo en**Información general**. Las URL tienen el siguiente aspecto:
   + Para un clúster de Amazon Redshift: `redshift-cluster-sample.abc123456.us-east-1.redshift.amazonaws.com`
   + Para un grupo de trabajo de Amazon Redshift sin servidor: `endpoint-name.012345678901.us-east-1-dev.redshift-serverless-dev.amazonaws.com`

   Si la URL tiene un prefijo JDBC, elimínelo.
**nota**  
Los registros DNS están sujetos a disponibilidad, ya que cada nombre debe ser único y estar disponible para utilizarlo en la organización.

**Limitaciones**

Existen un par de restricciones en lo que respecta a la creación de registros CNAME para un dominio personalizado:
+ No se admite la creación de varios nombres de dominio personalizados para el mismo clúster aprovisionado o grupo de trabajo de Amazon Redshift sin servidor. Solo puede asociar un único registro CNAME.
+ No se admite la asociación de un registro CNAME a más de un clúster o grupo de trabajo. El CNAME de cada recurso de Redshift debe ser único.

Después de registrar su dominio y crear el registro CNAME, seleccione un certificado nuevo o existente. Este paso se realiza con AWS Certificate Manager:

Le recomendamos que cree un [certificado validado por DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) que cumpla los requisitos para la renovación administrada, que está disponible con AWS Certificate Manager. Esto significa que ACM renovará sus certificados de forma automática o le enviará avisos por correo electrónico cuando se acerque la fecha de vencimiento. Para obtener más información, consulte [Renovación administrada para certificados de ACM](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html).

# Solicitud de un certificado para un nombre de dominio
<a name="connecting-connection-CNAME-security"></a>

Amazon Redshift o Amazon Redshift sin servidor requieren un certificado de capa de sockets seguros (SSL) validado para un punto de conexión personalizado a fin de mantener la seguridad de la comunicación y verificar la propiedad del nombre de dominio. Puede utilizar su cuenta de AWS Certificate Manager con una AWS KMS key para administrar certificados de forma segura. La validación de seguridad incluye la verificación completa del nombre del host (*sslmode=verify-full*).

Amazon Redshift solo administra las renovaciones de certificado cuando elige la validación DNS, en lugar de la validación por correo electrónico. Si utiliza la validación por correo electrónico, podrá utilizar el certificado, pero deberá realizar la renovación por su cuenta, antes de que caduque. Le recomendamos que elija la validación DNS para el certificado. Puede monitorear las fechas de vencimiento de los certificados importados en AWS Certificate Manager.

**Solicitud de un certificado de ACM para un nombre de dominio**

1. Inicie sesión en Consola de administración de AWS y abra la consola de ACM en [https://console.aws.amazon.com/cloudfront/](https://console.aws.amazon.com/acm/).

1. Elija **Request a certificate (Solicitar un certificado)**.

1. Introduzca su nombre de dominio personalizado en el campo **Nombre de dominio**.
**nota**  
Puede especificar muchos prefijos, además del dominio del certificado, con el fin de utilizar un único certificado para varios registros de dominios personalizados. Para ilustrarlo, puede utilizar registros adicionales como `one.example.com`, `two.example.com` o un registro DNS comodín como `*.example.com` con el mismo certificado.

1. Elija **Review and request**.

1. Elija **Confirm and request**.

1. Para que una solicitud sea válida, un propietario registrado del dominio de Internet debe autorizar la solicitud para que ACM emita el certificado. Asegúrese de que el estado aparece como **Emitido** en la consola de ACM, cuando haya terminado con los pasos.

# Configuración de un dominio personalizado
<a name="connecting-connection-CNAME-create-custom-domain"></a>

Puede utilizar la consola de Amazon Redshift o Amazon Redshift sin servidor para crear su URL de dominio personalizada. Si no la ha configurado, la propiedad **Nombre de dominio personalizado** aparece como un guion (**–**) en **Información general**. Después de crear el registro CNAME y el certificado, asocie el nombre de dominio personalizado para el clúster o grupo de trabajo.

Para crear una asociación de dominio personalizado, se requieren los siguientes permisos de IAM:
+ `redshift:CreateCustomDomainAssociation`: puede restringir el permiso a un clúster específico si agrega su ARN.
+ `redshiftServerless:CreateCustomDomainAssociation`: puede restringir el permiso a un grupo de trabajo específico si agrega su ARN.
+ `acm:DescribeCertificate`

Como práctica recomendada, aconsejamos asociar las políticas de permisos a un rol de IAM y luego asignarlo a los usuarios y grupos según sea necesario. Para obtener más información, consulte [Administración de identidades y accesos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).

Realice los siguientes pasos para asignar el nombre de dominio personalizado.

1. Elija el clúster en la consola de Redshift o el grupo de trabajo en la consola de Amazon Redshift sin servidor y, a continuación, elija **Crear nombre de dominio personalizado** en el menú **Acción**. Aparecerá un cuadro de diálogo.

1. Introduzca el nombre de dominio personalizado.

1. Seleccione el ARN de AWS Certificate Manager para el **Certificado de ACM.** Confirme los cambios. De acuerdo con los pasos que ha seguido para crear el certificado, le recomendamos que elija un certificado validado por DNS que pueda renovarse de forma gestionada a través de AWS Certificate Manager.

1. Verifique en las propiedades del clúster que el **Nombre de dominio personalizado** y el **ARN del certificado de dominio personalizado** están rellenados con sus entradas. También aparece la **Fecha de vencimiento del certificado del dominio personalizado**.

Una vez configurado el dominio personalizado, el uso de `sslmode=verify-full` solo funciona para el nuevo dominio personalizado. No funciona para el punto de conexión predeterminado. Pero aún puede conectarse al punto de conexión predeterminado con otros modos ssl, como `sslmode=verify-ca`.

**nota**  
Como recordatorio, la [reubicación del clúster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-cluster-recovery.html) no es un requisito previo para configurar características de red de Redshift adicionales. No es necesario que lo activa para habilitar lo siguiente:  
**Conexión desde una VPC con varias cuentas o regiones a Redshift**: puede conectarse desde una nube privada virtual (VPC) de AWS a otra que contenga una base de datos de Redshift. Esto facilita la administración, por ejemplo, del acceso de los clientes desde cuentas o VPC dispares, sin que sea necesario proporcionar acceso de VPC local a las identidades que se conectan a la base de datos. Para obtener más información, consulte [Conexión a Amazon Redshift sin servidor desde un punto de conexión de VPC de Redshift en otra cuenta o región](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html#serverless-cross-vpc).
**Configuración de un nombre de dominio personalizado**: puede crear un nombre de dominio personalizado, tal como se describe en este tema, para que el nombre del punto de conexión sea más relevante y sencillo.

# Conexión al clúster de Amazon Redshift aprovisionado o al grupo de trabajo de Amazon Redshift sin servidor
<a name="connecting-connection-CNAME-client"></a>

Para conectarse con un nombre de dominio personalizado, se requieren los siguientes permisos de IAM para un clúster aprovisionado: `redshift:DescribeCustomDomainAssociations`. Para Amazon Redshift sin servidor, no tiene que agregar permisos.

Como práctica recomendada, aconsejamos asociar las políticas de permisos a un rol de IAM y luego asignarlo a los usuarios y grupos según sea necesario. Para obtener más información, consulte [Administración de identidades y accesos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).

Una vez completados los pasos para crear su CNAME y asignarlo a su clúster o grupo de trabajo en la consola, puede proporcionar la URL personalizada en las propiedades de conexión de su cliente SQL. Tenga en cuenta que puede haber un retraso de la propagación de DNS inmediatamente posterior a la creación de un registro CNAME.

1. Abra un cliente SQL. Por ejemplo, puede utilizar SQL/Workbench J. Abra las propiedades de una conexión y agregue el nombre de dominio personalizado para la cadena de conexión. Por ejemplo, `jdbc:redshift://mycluster.example.com:5439/dev?sslmode=verify-full`. En este ejemplo, `dev` especifica la base de datos predeterminada.

1. Agregue el **Nombre de usuario** y la **Contraseña** del usuario de la base de datos.

1. Pruebe la conexión. Su capacidad para consultar recursos de la base de datos, como tablas específicas, puede variar en función de los permisos concedidos al usuario de la base de datos o de los roles asignados a la base de datos de Amazon Redshift.

   Tenga en cuenta que es posible que deba establecer su clúster o grupo de trabajo como de acceso público para conectarse a él si se encuentra en una VPC. Puede cambiar esta configuración en las propiedades de la red.

**nota**  
Las conexiones a un nombre de dominio personalizado son compatibles con los controladores JDBC, ODBC y Python.

# Cambio de nombre de un clúster que tiene asignado un dominio personalizado
<a name="connecting-connection-CNAME-rename-cluster"></a>

**nota**  
Esta serie de pasos no se aplica a un grupo de trabajo de Amazon Redshift sin servidor. No puede modificar el nombre del grupo de trabajo.

Para cambiar el nombre de un clúster que tiene un nombre de dominio personalizado, se requiere el permiso `acm:DescribeCertificate` de IAM.

1. Vaya a la consola de Amazon Redshift y elija el clúster cuyo nombre desee cambiar. Elija **Editar** para editar las propiedades del clúster.

1. Edite el **Identificador de clúster**. También puede cambiar otras propiedades del clúster. A continuación, elija **Guardar cambios**.

1. Después de cambiar el nombre del clúster, tiene que actualizar el registro DNS para cambiar la entrada CNAME del dominio personalizado de modo que apunte al punto de conexión de Amazon Redshift actualizado.

# Descripción de las asociaciones de dominio personalizado
<a name="connecting-connection-CNAME-describe-api"></a>

Utilice los comandos de esta sección para obtener una lista de nombres de dominio personalizados asociados a un clúster aprovisionado específico o a un grupo de trabajo de Amazon Redshift sin servidor.

También necesita los siguientes permisos:
+ Para un clúster aprovisionado: `redshift:DescribeCustomDomainAssociations`
+ Para un grupo de trabajo de Amazon Redshift sin servidor: `redshiftServerless:ListCnameAssociations`

Como práctica recomendada, aconsejamos asociar las políticas de permisos a un rol de IAM y luego asignarlo a los usuarios y grupos según sea necesario. Para obtener más información, consulte [Administración de identidades y accesos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).

A continuación, se muestra un comando de ejemplo para enumerar los nombres de dominio personalizados para un determinado clúster de Amazon Redshift:

```
aws redshift describe-custom-domain-associations ––custom-domain-name customdomainname
```

Puede ejecutar este comando si tiene un nombre de dominio personalizado habilitado para determinar los nombres de dominio personalizados asociados al clúster. Para obtener más información sobre el comando de la CLI para describir las asociaciones de dominios personalizadas, consulte [describe-custom-domain-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/redshift/describe-custom-domain-associations.html).

De igual modo, se muestra un comando de ejemplo para enumerar los nombres de dominio personalizados para un determinado grupo de trabajo de Amazon Redshift sin servidor. Hay varias maneras diferentes de hacerlo. Puede proporcionar únicamente el nombre de dominio personalizado:

```
aws redshift-serverless list-custom-domain-associations ––custom-domain-name customdomainname
```

También puede obtener las asociaciones proporcionando únicamente el ARN del certificado:

```
aws redshift-serverless list-custom-domain-associations ––custom-domain-certificate-arn certificatearn
```

Puede ejecutar este comando si tiene un nombre de dominio personalizado habilitado para determinar los nombres de dominio personalizados asociados al grupo de trabajo. También puede ejecutar un comando para obtener las propiedades de una asociación de dominios personalizada. Para ello, debe proporcionar el nombre de dominio personalizado y el nombre del grupo de trabajo como parámetros. Devuelve el ARN del certificado, el nombre del grupo de trabajo y la hora de caducidad del certificado del dominio personalizado:

```
aws redshift-serverless get-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname
```

Para obtener más información sobre los comandos de referencia de la CLI disponibles para Amazon Redshift sin servidor, consulte [redshift-serverless](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/).

# Asociación de un dominio personalizado con un certificado diferente
<a name="connecting-connection-CNAME-change-api"></a>

Para modificar la asociación de certificados para un nombre de dominio personalizado, se requieren los siguientes permisos de IAM:
+ `redshift:ModifyCustomDomainAssociation`
+ `acm:DescribeCertificate`

Como práctica recomendada, aconsejamos asociar las políticas de permisos a un rol de IAM y luego asignarlo a los usuarios y grupos según sea necesario. Para obtener más información, consulte [Administración de identidades y accesos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).

Utilice el siguiente comando para asociar el dominio personalizado con otro certificado. Los argumentos `––custom-domain-name` y `custom-domain-certificate-arn` son obligatorios. El ARN del nuevo certificado debe ser distinto al del ARN existente.

```
aws redshift modify-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn
```

En el siguiente ejemplo, se muestra cómo asociar el dominio personalizado a un certificado diferente para un grupo de trabajo de Amazon Redshift sin servidor.

```
aws redshift-serverless modify-custom-domain-association ––workgroup-name redshiftworkgroup ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn
```

Hay un retraso máximo de 30 segundos para poder conectarse al clúster. Parte del retraso se produce cuando el clúster de Amazon Redshift actualiza sus propiedades y hay algún retraso adicional cuando se actualiza el DNS. Para obtener más información sobre la API y la configuración de cada propiedad, consulte [ModifyCustomDomainAssociation](https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyCustomDomainAssociation.html).

# Eliminación de un dominio personalizado
<a name="connecting-connection-CNAME-delete-api"></a>

Para eliminar el nombre de dominio personalizado, el usuario debe tener permisos para las siguientes acciones:
+ Para un clúster aprovisionado: `redshift:DeleteCustomDomainAssociation`
+ Para un grupo de trabajo de Amazon Redshift sin servidor: `redshiftServerless:DeleteCustomDomainAssociation`

**En la consola**

Para eliminar el nombre de dominio personalizado, seleccione el botón **Acciones** y elija **Eliminar el nombre de dominio personalizado**. Una vez hecho esto, podrá seguir conectándose al servidor actualizando sus herramientas para utilizar los puntos de conexión que aparecen en la consola.

**Uso de un comando de la CLI**

En el siguiente ejemplo se muestra cómo eliminar el nombre de dominio personalizado. La operación de eliminación requiere que proporcione el nombre de dominio personalizado existente para el clúster.

```
aws redshift delete-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname
```

En el siguiente ejemplo, se muestra cómo eliminar el nombre de dominio personalizado para un grupo de trabajo de Amazon Redshift sin servidor. El nombre de dominio personalizado es un parámetro obligatorio.

```
aws redshift-serverless delete-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname
```

Para obtener más información, consulte [DeleteCustomDomainAssociation](https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteCustomDomainAssociation.html).

# Puntos de conexión de la VPC administrados por Redshift
<a name="managing-cluster-cross-vpc"></a>

De forma predeterminada, un clúster de Amazon Redshift o un grupo de trabajo de Amazon Redshift sin servidor se aprovisionan en una nube privada virtual (VPC). Se puede acceder a esa VPC desde otra VPC o subred cuando se permite el acceso público o se configura una puerta de enlace de Internet, un dispositivo NAT o una conexión de AWS Direct Connect para enrutar el tráfico a ella. Para acceder a un clúster, también puede configurar un punto de conexión de VPC administrado por Redshift (basado en AWS PrivateLink). 

Usted configura un punto de conexión de VPC administrado por Redshift como una conexión privada entre una VPC que contiene un clúster o un grupo de trabajo y una VPC que ejecuta una herramienta de cliente. Si el clúster o el grupo de trabajo están en otra cuenta, el propietario de la cuenta (concedente) debe conceder acceso a la cuenta que va a conectarse (beneficiario). Con este enfoque, puede acceder al almacenamiento de datos sin usar una dirección IP pública ni enrutar el tráfico a través de Internet.

Estas son razones comunes para permitir el acceso mediante un punto de conexión de VPC administrado por Redshift:
+ La cuenta de AWS A quiere permitir que una VPC en la cuenta de AWS B tenga acceso a un clúster o un grupo de trabajo.
+ La cuenta de AWS A quiere permitir que una VPC que también está en la cuenta de AWS A tenga acceso a un clúster o un grupo de trabajo.
+ La cuenta de AWS A quiere permitir que una subred diferente en la VPC dentro de la cuenta de AWS A tenga acceso a un clúster o a un grupo de trabajo.

El flujo de trabajo para configurar un punto de conexión de VPC administrado por Redshift para acceder a un clúster o un grupo de trabajo que está en otra cuenta es el siguiente: 

1. La cuenta de propietario concede autorización de acceso a otra cuenta y especifica el ID de la cuenta de AWS y el identificador de VPC (o todas las VPC) del beneficiario. 

1. Se notifica a la cuenta del beneficiario que tiene permiso para crear un punto de enlace de la VPC administrado por Redshift.

1. La cuenta del beneficiario crea un punto de enlace de la VPC administrado por Redshift.

1. La cuenta del beneficiario accede al clúster o al grupo de trabajo de la cuenta del propietario mediante el punto de conexión de VPC administrado por Redshift.

Para hacerlo, puede utilizar la consola de Amazon Redshift, la AWS CLI o la API de Amazon Redshift. 

## Consideraciones para el uso de puntos de enlace de la VPC administrados por Redshift
<a name="managing-cluster-cross-vpc-considerations"></a>

**nota**  
Para crear o modificar puntos de conexión de VPC administrados por Redshift, necesita permiso `ec2:CreateVpcEndpoint` o `ec2:ModifyVpcEndpoint` en su política de IAM, además de otros permisos especificados en la política `AmazonRedshiftFullAccess` administrada por AWS.

Cuando utilice los puntos de enlace de la VPC administrados por Redshift, tenga en cuenta lo siguiente: 
+ Si utiliza un clúster aprovisionado, debe tener el tipo de nodo RA3. Un grupo de trabajo de Amazon Redshift sin servidor también sirve para establecer un punto de conexión de VPC. 
+ Para clústeres aprovisionados, asegúrese de que el clúster esté habilitado para la reubicación de clústeres o para Multi-AZ. Para obtener información acerca de los requisitos para activar la reubicación de clústeres, consulte [Reubicación de un clúster](managing-cluster-recovery.md). Para obtener más información sobre la habilitación de Multi-AZ, consulte [Configuración de multi-AZ al crear un nuevo clúster](create-cluster-multi-az.md). 
+ Asegúrese de que el clúster o el grupo de trabajo al que se accede a través de su grupo de seguridad esté disponible dentro de los intervalos de puertos válidos 5431-5455 y 8191-8215. El valor predeterminado es 5439.
+ Puede modificar los grupos de seguridad de la VPC asociados a un punto de enlace de la VPC administrado por Redshift existente. Para modificar otros parámetros, elimine el punto de enlace de la VPC administrado por Redshift actual y cree uno nuevo.
+ La cantidad de puntos de enlace de la VPC administrados por Redshift que puede crear está limitado a la cuota de puntos de enlace de la VPC.
+ No se puede acceder a los puntos de enlace de la VPC administrados por Redshift desde Internet. Solo se puede acceder a un punto de conexión de VPC administrado por Redshift dentro de la VPC donde se aprovisiona el punto de conexión o desde cualquier VPC interconectada con la VPC donde se aprovisiona el punto de conexión de la forma que permitan las tablas de enrutamiento y los grupos de seguridad.
+ No puede utilizar la consola de Amazon VPC para administrar los puntos de enlace de la VPC administrados por Redshift.
+ Cuando cree un punto de conexión de VPC administrado por Redshift para un clúster aprovisionado, la VPC que elija debe tener un grupo de subredes. Para crear un grupo de subredes, consulte [Creación de un grupo de subredes de clúster](create-cluster-subnet-group.md).
+ Si una zona de disponibilidad está inactiva, Amazon Redshift no crea una nueva interfaz de red elástica en otra zona de disponibilidad. En este caso, puede que tenga que crear un punto de conexión nuevo.

Para obtener información acerca de cuotas y restricciones de nomenclatura, consulte [Cuotas y límites de Amazon Redshift](amazon-redshift-limits.md). 

Para obtener información sobre precios, consulte [precios de AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/).

# Concesión de acceso a una VPC
<a name="managing-cluster-cross-vpc-console-grantor"></a>

Si la VPC a la que desea que su clúster o grupo de trabajo acceda se encuentra en otra cuenta de AWS, asegúrese de autorizarla desde la cuenta del propietario (concedente).

**Concesión de acceso al clúster o grupo de trabajo a una VPC que está en otra cuenta de AWS**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon Redshift en [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. En el menú de navegación, elija **Clusters** (Clústeres). Para Amazon Redshift sin servidor, elija **Panel sin servidor**.

1. En el caso de un clúster al que desea permitir acceso, para consultar los detalles del clúster, elija el nombre del clúster. Elija la pestaña **Properties** (Propiedades) del clúster. 

   La sección **Granted accounts** (Cuentas concedidas) muestra las cuentas y las VPC correspondientes que tienen acceso al clúster. Para un grupo de trabajo de Amazon Redshift sin servidor, elija el grupo de trabajo. **Cuentas concedidas** está disponible en la pestaña **Acceso a los datos**.

1. Elija **Grant access** (Conceder acceso) para mostrar un formulario en el que se ingresa la **información del beneficiario** para agregar una cuenta. 

1. En **ID de la cuenta de AWS**, ingrese el ID de la cuenta a la que está concediendo acceso. Puede conceder acceso a VPC específicas o a todas las VPC de la cuenta especificada. 

1. Elija **Grant access** (Conceder acceso) para conceder acceso.

# Creación de un punto de enlace de la VPC administrado por Redshift
<a name="managing-cluster-cross-vpc-console-grantee"></a>

Si posee un clúster o un grupo de trabajo o se le ha concedido acceso para administrarlo, puede crear un punto de conexión de VPC administrado por Redshift para él. 

**Para crear un punto de enlace de la VPC administrado por Redshift**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon Redshift en [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. En el menú de navegación, elija **Configurations** (Configuraciones). 

   La página de **Configuraciones** muestra los puntos de enlace de la VPC administrados por Redshift que se han creado. Para ver los detalles de un punto de enlace, elija el nombre. En el caso de Amazon Redshift sin servidor, los puntos de conexión de VPC se encuentran en la pestaña **Acceso a los datos** cuando se elige el grupo de trabajo.

1. Seleccione **Create endpoint** (Crear punto de enlace) para mostrar un formulario en el que se ingresa la información sobre el punto de enlace que desea agregar.

1. Introduzca los valores del **Nombre del punto conexión**, el **ID de cuenta de AWS** de 12 dígitos, la **Nube privada virtual (VPC**) donde se encuentra el punto de conexión, la **Subred** y el **Grupo de seguridad de la VPC**.

   La subred de **Subred** define las subredes y las direcciones IP en las que Amazon Redshift implementa el punto de conexión. Amazon Redshift elige una subred que tenga direcciones IP disponibles para la interfaz de red asociada al punto de enlace. 

   Las reglas del grupo de seguridad en **Grupo de seguridad** definen los puertos, los protocolos y los orígenes para el tráfico entrante que está autorizando para el punto de conexión. Permita el acceso al puerto seleccionado a través del grupo de seguridad o el rango CIDR donde se ejecutan las cargas de trabajo.

1. Elija **Create endpoint** (Crear punto de enlace) para crear el punto de enlace. 

Una vez creado el punto de conexión, puede acceder al clúster o al grupo de trabajo a través de la URL que se muestra en **URL de punto de conexión** en los ajustes de configuración del punto de conexión de VPC administrado por Redshift.

# Recursos de Redshift en una VPC
<a name="managing-clusters-vpc"></a>

Puede lanzar un clúster de Amazon Redshift o un grupo de trabajo de Amazon Redshift sin servidor en una VPC en la plataforma EC2-VPC basada en el servicio Amazon VPC. Para obtener más información, consulte [Uso de EC2 para crear el clúster](working-with-clusters.md#cluster-platforms).

**nota**  
No se admite el lanzamiento de clústeres y grupos de trabajo sin servidor en las VPC de tenencia dedicada. Para obtener más información, consulte [Instancias dedicadas](https://docs.aws.amazon.com/vpc/latest/userguide/dedicated-instance.html) en la *Guía del usuario de Amazon VPC.*

Cuando aprovisione recursos en una VPC, debe hacer lo siguiente:
+ **Proporcione la información de la VPC.**

  Cuando cree un clúster aprovisionado en su VPC, debe proporcionar la información de su VPC mediante la creación de un grupo de subredes del clúster. Esta información incluye el ID de la VPC y una lista de subredes en su VPC. Cuando lanza un clúster, proporciona el grupo de subredes para que Redshift pueda aprovisionarlo en una de las subredes de la VPC. Con Amazon Redshift sin servidor, el proceso es similar. Usted asigna las subredes directamente a al grupo de trabajo sin servidor. Pero en el caso de la tecnología sin servidor no se crea un grupo de subredes. Para obtener más información acerca de la creación de grupos de subredes en Amazon Redshift, consulte [Subredes para recursos de Redshift](working-with-cluster-subnet-groups.md). Para obtener más información acerca de la configuración de la VPC, consulte [Introducción a Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/GetStarted.html) en la *Guía de introducción a Amazon VPC*.
+  **Si lo desea, configure las opciones de accesibilidad.** 

  Los clústeres y grupos de trabajo sin servidor aprovisionados en Amazon Redshift son privados de forma predeterminada. Si configura el clúster o el grupo de trabajo sin servidor que ha aprovisionado para que sean de acceso público, Amazon Redshift utiliza una dirección IP elástica para la dirección IP externa. Una dirección IP elástica es una dirección IP estática. Con ella, puede cambiar la configuración subyacente sin afectar la dirección IP que los clientes utilizan para conectarse. Esto puede ser útil para situaciones como la recuperación después de un error. La creación de una dirección IP elástica depende de la configuración de reubicación de la zona de disponibilidad. Dispone de dos opciones:

  1. Si tiene activada la reubicación de zonas de disponibilidad y desea habilitar el acceso público, no especifique una dirección IP elástica. Se asigna una dirección IP elástica administrada por Amazon Redshift. Está asociada a su cuenta de AWS.

  1. Si tiene desactivada la reubicación de zonas de disponibilidad y desea habilitar el acceso público, puede optar por crear una dirección IP elástica para la VPC de Amazon EC2 antes de lanzar su clúster o grupo de trabajo de Amazon Redshift. Si no crea una dirección IP, Amazon Redshift proporciona una dirección IP elástica configurada para utilizarla en la VPC. Amazon Redshift administra esta dirección IP elástica y no está asociada a su cuenta de AWS.

  Para obtener más información, consulte [Direcciones IP elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) en la *Guía del usuario de Amazon EC2*.

  En algunos casos, es posible que tenga un clúster de acceso público en una VPC y que desee conectarse con la dirección IP privada desde la VPC. Si es el caso, establezca los siguientes parámetros de VPC en `true`: 
  +  `DNS resolution` 
  +  `DNS hostnames` 

  Tenga en cuenta que con Amazon Redshift sin servidor no puede conectarse de este modo.

  Supongamos que tiene un clúster aprovisionado de acceso público en una VPC pero no establece estos parámetros a `true` en la VPC. En estos casos, las conexiones realizadas desde la VPC se resuelven en la dirección IP elástica del recurso en lugar de la dirección IP privada. Recomendamos que establezca estos parámetros en `true` y utilice la dirección IP privada para un clúster de acceso público cuando se conecte desde la VPC. Para obtener más información, consulte [Uso de DNS con su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) en la *Guía del usuario de Amazon VPC*. 
**nota**  
Si tiene un clúster de acceso público existente en una VPC, las conexiones realizadas desde la VPC seguirán utilizando la dirección IP elástica para conectarse a él hasta que cambie su tamaño, si es un clúster aprovisionado. Esto ocurrirá incluso con los anteriores parámetros establecidos. Los clústeres nuevos creados seguirán el nuevo comportamiento de uso de la dirección IP privada cuando se conecten al clúster de acceso público desde la misma VPC.

   La dirección IP elástica es una dirección IP externa para acceder a un recurso fuera de una VPC. Para un clúster de Redshift aprovisionado, no está relacionada con las **Direcciones IP públicas** y las **Direcciones IP privadas** que se muestran en la consola de Amazon Redshift en **Direcciones IP de nodo**. Las direcciones IP públicas y privadas del nodo del clúster aparecen sin importar que un clúster sea de acceso público o no. Se utilizan únicamente en determinadas circunstancias para configurar reglas de entrada en el host remoto. Estas circunstancias se producen cuando se cargan datos desde una instancia de Amazon EC2 u otro alojamiento remoto utilizando una conexión Secure Shell (SSH). Para obtener más información, consulte [Paso 1: Recuperar la clave pública del clúster y las direcciones IP del nodo del clúster](https://docs.aws.amazon.com/redshift/latest/dg/loading-data-from-remote-hosts.html#load-from-host-steps-retrieve-key-and-ips) en la *Guía para desarrolladores de bases de datos de Amazon Redshift*. 
**nota**  
Las direcciones IP de nodo no se aplican para un grupo de trabajo Redshift sin servidor.

   La opción de asociar un clúster aprovisionado a una dirección IP elástica está disponible cuando se crea el clúster o se restaura el clúster desde una instantánea. En algunos casos, es posible que quiera asociar el clúster con una dirección IP elástica o cambiar una dirección IP elástica que está asociada con el clúster. Para adjuntar una dirección IP elástica después de crear el clúster, primero actualice el clúster para que no sea accesible públicamente, y después haga que sea accesible públicamente y agregue una dirección IP elástica en la misma operación.

  Para obtener más información sobre cómo hacer que un clúster aprovisionado o un grupo de trabajo de Amazon Redshift sin servidor sea accesible de forma pública y tenga asignada una dirección IP elástica, consulte [Accesibilidad pública con configuración de grupo de seguridad predeterminada o personalizada](https://docs.aws.amazon.com/redshift/latest/mgmt/rs-security-group-public-private.html#rs-security-group-public-default).
+ **Asocie un grupo de seguridad de VPC.**

  Se concede acceso de entrada mediante un grupo de seguridad de VPC. Para obtener más información, consulte [Configuración de las opciones de comunicación del grupo de seguridad para clústeres de Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/rs-security-group-public-private.html), que proporciona orientación sobre la configuración de las reglas de entrada y salida entre un cliente y un clúster aprovisionado o un grupo de trabajo de Amazon Redshift sin servidor. Otro recurso que lo ayudará a comprender los grupos de seguridad es [Seguridad en la VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html) en la *Guía del usuario de Amazon VPC*.

**Restauración de una instantánea de un clúster aprovisionado o de un grupo de trabajo sin servidor en una VPC**  
Una instantánea de un clúster o grupo de trabajo sin servidor en una VPC solo puede restaurarse en una VPC, no fuera de ella. Puede restaurarla en la misma VPC o en otra VPC de la cuenta. Para obtener más información acerca de las instantáneas, consulte [Instantáneas y copias de seguridad de Amazon Redshift](working-with-snapshots.md).

# Creación de un clúster de Redshift aprovisionado o un grupo de trabajo de Amazon Redshift sin servidor en una VPC
<a name="getting-started-cluster-in-vpc"></a>

A continuación se indican los pasos generales para implementar un clúster o grupo de trabajo en la nube privada virtual (VPC). 

**Creación de un clúster o grupo de trabajo sin servidor en una VPC**

1. Configurar una VPC: puede crear los recursos de Redshift en la VPC predeterminada para la cuenta, si la cuenta tiene una, o en una VPC que haya creado. Para obtener más información, consulte [Uso de EC2 para crear el clúster](working-with-clusters.md#cluster-platforms). Para obtener más información, consulte [Subredes para la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) en la *Guía del usuario de Amazon VPC*. Anote el identificador de la VPC, la subred y la zona de disponibilidad de la subred. Necesitará esta información para lanzar el clúster o el grupo de trabajo.
**nota**  
Debe tener por lo menos una subred definida en la VPC para que pueda agregarla al grupo de subredes en el siguiente paso. Para obtener más información acerca de cómo agregar una subred a su VPC, consulte [Agregar una subred a su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html) en la *Guía del usuario de Amazon VPC*.

1. Cree un grupo de subredes del clúster de Amazon Redshift para determinar qué subred puede utilizar su clúster de Amazon Redshift en la VPC. Para Redshift sin servidor, no se crea un grupo de subredes, sino que se asigna un conjunto de subredes al grupo de trabajo al crearlo. Puede realizar esta tarea en el **Panel sin servidor** cuando cree un grupo de trabajo.

   Puede crear un grupo de subredes mediante la consola de Amazon Redshift o mediante programación. Para obtener más información, consulte [Subredes para recursos de Redshift](working-with-cluster-subnet-groups.md).

1. Autorice el acceso para conexiones entrantes en un grupo de seguridad de VPC que vaya a asociar con el clúster o grupo de trabajo. Puede habilitar un cliente fuera de la VPC (en Internet público) para conectarse al clúster. Para ello, asocie el clúster a un grupo de seguridad de VPC que conceda acceso entrante. Para obtener más información, consulte [Configuración de las opciones de comunicación del grupo de seguridad para un clúster de Amazon Redshift o un grupo de trabajo de Amazon Redshift sin servidor](rs-security-group-public-private.md). 

1. Siga los pasos para crear un clúster en la consola aprovisionada de Redshift, en un grupo de trabajo o en la consola de Amazon Redshift sin servidor. En **Red y seguridad**, especifique la **Nube privada virtual (VPC)**, el **Grupo de subredes del clúster** y el **Grupo de seguridad de la VPC** que haya configurado. 

   

   Para ver un tutorial que muestra pasos más detallados para crear un clúster de almacenamiento de datos aprovisionado, consulte [Introducción a los almacenamientos de datos aprovisionados de Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/new-user.html) en la *Guía de introducción de Amazon Redshift*. Para obtener más información sobre la creación de un grupo de trabajo de Amazon Redshift sin servidor, consulte [Introducción a los almacenamientos de datos de Amazon Redshift sin servidor](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html) en la *Guía de introducción de Amazon Redshift*.

Puede seguir los pasos de introducción para probar el clúster o grupo de trabajo mediante la carga de datos de ejemplo y la prueba de consultas de ejemplo. Para obtener más información, consulte [Introducción a los almacenamientos de datos de Amazon Redshift sin servidor](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-launch-sample-cluster.html) en la *Guía de introducción de Amazon Redshift*.

# Grupos de seguridad de la VPC
<a name="managing-vpc-security-groups"></a>

Al aprovisionar un clúster de Amazon Redshift o un grupo de trabajo de Amazon Redshift sin servidor, el acceso se restringe de forma predeterminada para que nadie tenga acceso a él. Para concederle a otros usuarios acceso de entrada, debe asociar el clúster a un grupo de seguridad. Si está en la plataforma de EC2-VPC, puede utilizar un grupo de seguridad de Amazon VPC existente o definir uno nuevo. Luego lo asociará a un clúster o grupo de trabajo como se describe a continuación. Si está en la plataforma EC2-Classic, defina un grupo de seguridad y asócielo a un clúster o grupo de trabajo. Para obtener más información acerca del uso de grupos de seguridad en la plataforma EC2-Classic, consulte [Grupos de seguridad de Amazon Redshift](security-network-isolation.md#working-with-security-groups).

Un grupo de seguridad de VPC está formado por un conjunto de reglas que controlan el acceso a una instancia en la VPC, como el clúster. Las reglas individuales establecen el acceso en función de los rangos de direcciones IP o de otros grupos de seguridad de VPC. Cuando asocia un grupo de seguridad de VPC a un clúster o grupo de trabajo, las reglas que están definidas en el grupo de seguridad de VPC controlan el acceso. 

Cada clúster que aprovisione en la plataforma EC2-VPC tiene uno o más grupos de seguridad de Amazon VPC asociados a él. Amazon VPC proporciona un grupo de seguridad de VPC llamado “default” (predeterminado) que se crea automáticamente junto con la VPC. Cada clúster que se lanza en la VPC se asocia automáticamente al grupo de seguridad de VPC predeterminado si no especifica un grupo de seguridad de VPC diferente cuando crea los recursos de Redshift. Puede asociar un grupo de seguridad de VPC a un clúster cuando crea el clúster o puede asociarlo más adelante mediante la modificación del clúster.

La captura de pantalla siguiente muestra las reglas predeterminadas para el grupo de seguridad de VPC predeterminado.

![\[La tabla muestra las reglas de entrada y de salida para los grupos de seguridad. Cada regla tiene un origen o destino, un protocolo, un intervalo de puertos y comentarios.\]](http://docs.aws.amazon.com/es_es/redshift/latest/mgmt/images/security_groups.png)


Puede cambiar las reglas del grupo de seguridad de VPC predeterminado según sea necesario.

Si el grupo de seguridad de VPC predeterminado es suficiente para el usuario, no es necesario que cree más. No obstante, de forma opcional, puede crear grupos de seguridad de VPC adicionales para administrar mejor el acceso de entrada. Por ejemplo, suponga que está ejecutando un servicio en un clúster de Amazon Redshift o grupo de trabajo sin servidor y tiene varios niveles de servicio diferentes que proporciona a los clientes. Si no desea proporcionar el mismo acceso a todos los niveles de servicio, es posible que desee crear grupos de seguridad de VPC independientes, uno para cada nivel de servicio. Luego puede asociar estos grupos de seguridad de VPC al clúster o los grupos de trabajo.

Puede crear hasta 100 grupos de seguridad de VPC para una VPC y asociar un grupo de seguridad de VPC con varios clústeres y grupos de trabajo. No obstante, tenga en cuenta que existen límites en el número de grupos de seguridad de VPC que puede asociar a un clúster o un grupo de trabajo.

Amazon Redshift aplica los cambios a un grupo de seguridad de VPC de inmediato. Por lo que si asoció un grupo de seguridad de VPC a un clúster, las reglas de acceso de entrada al clúster en el grupo de seguridad de VPC actualizado se aplican de inmediato.

Puede crear y modificar grupos de seguridad de VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). También puede administrar grupos de seguridad de VPC mediante programación con la AWS CLI, la CLI de Amazon EC2 y las AWS Tools for Windows PowerShell. Para obtener más información acerca del uso de grupos de seguridad de VPC, consulte [Grupos de seguridad de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) en la *Guía del usuario de Amazon VPC*.

# Configuración de las opciones de comunicación del grupo de seguridad para un clúster de Amazon Redshift o un grupo de trabajo de Amazon Redshift sin servidor
<a name="rs-security-group-public-private"></a>

Este tema lo ayuda a configurar sus grupos de seguridad para enrutar y recibir el tráfico de red adecuadamente. A continuación, se exponen un par de casos de uso habituales:
+ Ha activado la accesibilidad pública para un clúster de Amazon Redshift o un grupo de trabajo de Amazon Redshift sin servidor, pero no recibe tráfico. Para ello, debe configurar una regla de entrada para permitir que le llegue tráfico desde Internet.
+ Su clúster o grupo de trabajo no es de acceso público y utiliza el grupo de seguridad de VPC predeterminado y preconfigurado de Redshift para permitir el tráfico entrante. Pero usted tiene la necesidad de utilizar un grupo de seguridad distinto del predeterminado y este grupo de seguridad personalizado no permite el tráfico entrante. Debe configurarlo para permitir la comunicación.

 En las secciones siguientes encontrará ayuda para elegir la respuesta correcta para cada caso de uso y se le mostrará cómo configurar el tráfico de red según sus necesidades. Opcionalmente, puede utilizar los pasos para configurar la comunicación de otros grupos de seguridad privados.



**nota**  
La configuración del tráfico de red en la mayoría de los casos no se hace de forma automática en Amazon Redshift. Esto se debe a que pueden variar en un nivel detallado, en función de si el origen del tráfico es Internet o un grupo de seguridad privado y debido a que los requisitos de seguridad varían.

## Accesibilidad pública con configuración de grupo de seguridad predeterminada o personalizada
<a name="rs-security-group-public-default"></a>

Si está creando o ya tiene un clúster o grupo de trabajo, realice los siguientes pasos de configuración para que sea accesible públicamente. Esto se aplica tanto cuando elige el grupo de seguridad predeterminado como un grupo de seguridad personalizado:

1. Busque la configuración de red:
   + Para un clúster de Amazon Redshift aprovisionado, elija la pestaña **Propiedades** y, a continuación, en **Configuración de red y seguridad**, seleccione la VPC de su clúster.
   + Para un grupo de trabajo de Amazon Redshift sin servidor, elija **Configuración del grupo de trabajo**. Elija el grupo de trabajo de la lista. A continuación, en **Acceso a datos**, en el panel **Red y seguridad**, elija **Editar**.

1. Configure la puerta de enlace de Internet y la tabla de enrutamiento para su VPC. Elija la VPC por su nombre para iniciar la configuración. Abre el panel de VPC. Para conectarse a un clúster o grupo de trabajo de acceso público desde Internet, se debe adjuntar una puerta de enlace de Internet a la tabla de enrutamiento. Puede configurarlo si elige **Tablas de enrutamiento** en el panel de VPC. Confirme que la puerta de enlace de Internet objetivo está establecida con la fuente 0.0.0.0/0 o un CIDR de IP público. La tabla de enrutamiento debe estar asociada a VPC en la que se encuentra el clúster. Para obtener más información sobre la configuración del acceso a Internet para una VPC, como lo que se describe aquí, consulte [Habilitar el acceso a Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#vpc-igw-internet-access) en la documentación de Amazon VPC. Para obtener más información sobre la configuración de una tabla de enrutamiento, consulte [Configurar tablas de enrutamiento](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html).

1. Después de configurar la puerta de enlace de Internet y la tabla de enrutamiento, vuelva a la configuración de red de Redshift. Abra el acceso entrante; para ello, elija el grupo de seguridad y, a continuación, las **reglas de entrada**. Elija **Editar reglas de entrada**.

1. Elija el **Protocolo** y el **Puerto** para la regla o reglas de entrada, según sus necesidades, para permitir el tráfico de los clientes. Para un clúster RA3, seleccione un puerto en los intervalos 5431-5455 o 8191-8215. Cuando haya terminado, guarde cada regla.

1. Edite la configuración **De acceso público** para habilitarla. Puede hacerlo desde el menú **Acciones** de su clúster o grupo de trabajo.

Al activar la configuración de acceso público, Redshift crea una dirección IP elástica. Es una dirección IP estática que está asociada a su cuenta de AWS. Los clientes externos a la VPC pueden utilizarla para conectarse.

Para obtener más información sobre la configuración de su grupo de seguridad, consulte [Grupos de seguridad de Amazon Redshift](security-network-isolation.md#working-with-security-groups).

Puede probar sus reglas conectándose con un cliente; realice lo siguiente si se conecta a Amazon Redshift sin servidor. Una vez finalizada la configuración de red, conéctese con su herramienta cliente, como [Amazon Redshift RSQL](https://docs.aws.amazon.com/redshift/latest/mgmt/rsql-query-tool.html). Si utiliza su dominio de Amazon Redshift Serverless como host, ingrese lo siguiente:



```
rsql -h workgroup-name.account-id.region.amazonaws.com -U admin -d dev -p 5439
```

## Accesibilidad privada con configuración de grupo de seguridad predeterminada o personalizada
<a name="rs-security-group-private"></a>

 Cuando no se comunica a través de Internet con su clúster o grupo de trabajo, se habla de acceso *privado*. Si eligió el grupo de seguridad predeterminado cuando lo creó, el grupo de seguridad incluye las siguientes reglas de comunicación predeterminadas:
+ Una regla de entrada que permite el tráfico de todos los recursos asignados al grupo de seguridad.
+ Una regla de salida que permite todo el tráfico saliente. El destino de esta regla es 0.0.0.0/0. En notación de enrutamiento entre dominios sin clases (CIDR), representa todas las direcciones IP posibles.

Puede ver las reglas en la consola si selecciona el grupo de seguridad de su clúster o grupo de trabajo.

Si tanto su clúster o grupo de trabajo como su cliente utilizan el grupo de seguridad predeterminado, no es necesaria ninguna configuración adicional para permitir el tráfico de red. Pero si elimina o modifica alguna regla del grupo de seguridad predeterminado para Redshift o el cliente, esto ya no será aplicable. En este caso, debe configurar reglas para permitir la comunicación entrante y saliente. Una configuración común del grupo de seguridad es la siguiente:
+ Para una instancia de Amazon EC2 cliente:
  + Una regla de entrada que permite la dirección IP del cliente.
  + Una regla de salida que permite el intervalo de direcciones IP (bloque de CIDR) de todas las subredes proporcionadas para el uso de Redshift. O puede especificar 0.0.0.0/0, que son todos los intervalos de direcciones IP.
+ Para su clúster o grupo de trabajo de Redshift:
  + Una regla de entrada que permite el grupo de seguridad cliente.
  + Una regla de salida que permite el tráfico a 0.0.0.0/0. Normalmente, la regla de salida permite todo el tráfico saliente. Opcionalmente, puede agregar una regla de salida para permitir el tráfico al grupo de seguridad cliente. En este caso opcional, no siempre es necesaria una regla de salida, ya que se permite que el tráfico de respuesta de cada solicitud llegue a la instancia. Para obtener más detalles sobre el comportamiento de las solicitudes y respuestas, consulte [Grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html) en la *guía del usuario de Amazon VPC*.

Si cambia la configuración de cualquier subred o grupo de seguridad especificado para el uso de Redshift, es posible que tenga que cambiar las reglas de tráfico en consecuencia para mantener abierta la comunicación. Para obtener más información sobre la creación de reglas de entrada y salida, consulte [Bloques CIDR de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) en la *guía del usuario de Amazon VPC*. Para obtener más información acerca de cómo conectarse a Amazon Redshift desde un cliente, consulte [Configuración de conexiones en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/configuring-connections.html).

# Subredes para recursos de Redshift
<a name="working-with-cluster-subnet-groups"></a>

Usted crea un grupo de subred si aprovisiona el clúster en su nube privada virtual (VPC). Cada VPC puede tener una o más subredes, que son subconjuntos de direcciones IP dentro de la VPC que le permiten agrupar recursos según las necesidades de seguridad y operación. Cuando crea un clúster aprovisionado, crea un grupo de subredes para especificar un conjunto de subredes en la VPC. En el **Panel de clústeres aprovisionados**, puede buscar y editar los grupos de subredes de clústeres en **Configuraciones**. Durante la configuración inicial de un clúster aprovisionado, especifique un grupo de subredes y Amazon Redshift creará el clúster en una de las subredes. Para obtener más información acerca del servicio VPC, consulte la página de detalles del producto de [Amazon VPC](https://aws.amazon.com/vpc/).

La configuración de subredes para un grupo de trabajo de Amazon Redshift sin servidor es similar a la de un clúster aprovisionado, pero los pasos difieren ligeramente. Al crear y configurar un grupo de trabajo sin servidor, se especifican las subredes para el grupo de trabajo y se agregan a una lista. Puede ver las subredes de un grupo de trabajo existente si selecciona las propiedades del grupo de trabajo, en el **Panel sin servidor**. Están disponibles en las propiedades de **Red y seguridad**. Para obtener más información, consulte [Creación de un grupo de trabajo con un espacio de nombres](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups-create-workgroup-wizard.html).

Para obtener más información acerca de la creación de una VPC, vaya a la documentación de la [Guía del usuario de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).

Después de crear un grupo de subredes para un clúster aprovisionado, o de elegir subredes para un grupo de trabajo sin servidor, es posible eliminar subredes agregadas con anterioridad o agregar más. Puede realizar estos cambios mediante la consola o con las operaciones de la API. Para obtener más información sobre las operaciones de la API para un clúster aprovisionado, consulte [ModifyClusterSubnetGroup](https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyClusterSubnetGroup.html). Para conocer las operaciones de la API para un grupo de trabajo Sin servidor, consulte [UpdateWorkgroup](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateWorkgroup.html).



Puede aprovisionar un clúster en una de las subredes del grupo de subredes. Un grupo de subred de clúster le permite especificar un conjunto de subredes en su virtual private cloud (VPC).

**aviso**  
Durante las operaciones de mantenimiento del clúster, como el cambio de tamaño clásico, la pausa y la reanudación, las conmutaciones por error de multi-AZ u otros eventos, es posible que sus nodos de computación aprovisionados se trasladen a otra subred dentro de su grupo de subredes del clúster de Amazon Redshift. Tenga en cuenta que todas las subredes de un grupo de subredes deben tener las mismas reglas de entrada y salida de ACL de red y las mismas rutas de tabla de enrutamiento. Esto garantiza la conectividad hacia los recursos de computación de Amazon Redshift y desde ellos, para que puedan comunicarse y funcionar de forma óptima tras dichos eventos de mantenimiento. Evite agregar subredes con distintas configuraciones de ACL de red o de tabla de enrutamiento al mismo grupo de subredes del clúster de Amazon Redshift.  
Para obtener más información sobre cómo configurar las subredes, consulte [Subredes para la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) en la guía del usuario de Amazon VPC. Para obtener más información sobre las implementaciones multi-AZ de Redshift, consulte [Despliegue Multi-AZ](managing-cluster-multi-az.md) en la guía de administración de Redshift. En la guía de administración de Redshift también se trata [Redimensionamiento de un clúster](resizing-cluster.md).

# Creación de un grupo de subredes de clúster
<a name="create-cluster-subnet-group"></a>

En el procedimiento siguiente se explica cómo crear un grupo de subredes para un clúster aprovisionado. Debe tener al menos un grupo de subred de clúster definido para aprovisionar un clúster en una Virtual Private Cloud (VPC, Nube virtual privada).

**Creación de un grupo de subredes de un clúster aprovisionado**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon Redshift en [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. En el menú de navegación, elija **Configurations** (Configuraciones) y, a continuación, elija **Subnet groups** (Grupos de subredes). Se muestra la lista de grupos de subredes. 

1. Seleccione **Create cluster subnet group (Crear grupo de subred de clúster)** para mostrar la página de creación. 

1. Introduzca información para el grupo de subredes, incluidas las subredes que desea añadir. 

1. Elija **Create cluster subnet group (Crear grupo de subred de clúster)** para crear el grupo con las subredes que eligió. 

**nota**  
Para obtener información sobre cómo crear un grupo de trabajo de Amazon Redshift sin servidor con una colección de subredes, consulte [Creación de un grupo de trabajo con un espacio de nombres](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups-create-workgroup-wizard.html) o [Creación de una subred](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) en la Guía del usuario de Amazon VPC.

# Modificación de un grupo de subredes de clúster
<a name="modify-cluster-subnet-group"></a>

Después de crear un grupo de subredes, puede modificar la información en la consola de Amazon Redshift. En el siguiente procedimiento se explica cómo modificar un grupo de subredes para un clúster aprovisionado. 

**Modificación de un grupo de subredes de un clúster aprovisionado**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon Redshift en [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. En el menú de navegación, elija **Configurations** (Configuraciones) y, a continuación, elija **Subnet groups** (Grupos de subredes). Se muestra la lista de grupos de subredes. 

1. Elija el grupo de subredes que modificar. 

1. Para **Actions (Acciones)**, seleccione **Modify (Modificar)** para mostrar los detalles del grupo de subredes. 

1. Actualice la información para el grupo de subredes. 

1. Seleccione **Save (Guardar)** para modificar el grupo. 

Cambiar o eliminar subredes en algunos casos requiere pasos adicionales. Por ejemplo, este artículo del AWS Knowledge Center, [¿Cómo muevo mi clúster de Amazon Redshift aprovisionado a una subred diferente](https://repost.aws//knowledge-center/redshift-move-subnet)?, describe un caso de uso que cubre el traslado de un clúster.

# Eliminación de un grupo de subredes de un clúster aprovisionado
<a name="delete-cluster-subnet-group"></a>

Cuando termine de usar un grupo de subredes de clústeres, debería limpiarlo mediante la eliminación del grupo. En el procedimiento siguiente se explican los pasos para eliminar un grupo de subredes para un clúster aprovisionado.

**Pasos para eliminar un grupo de subredes de clúster**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon Redshift en [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. En el menú de navegación, elija **Configurations** (Configuraciones) y, a continuación, elija **Subnet groups** (Grupos de subredes). Se muestra la lista de grupos de subredes. 

1. Elija el grupo de subredes que eliminar, luego seleccione **Delete (Eliminar)**. 

**nota**  
No puede eliminar un grupo de subredes de clúster que es utilizado por algún clúster.

# Bloqueo del acceso público a VPC y subredes
<a name="block-public-access"></a>

El bloqueo de acceso público (BPA) a VPC es una característica de seguridad centralizada que puede utilizar para bloquear recursos en VPC y subredes de su propiedad en una Región de AWS para que no lleguen a Internet o sean accesibles desde Internet a través de puertas de enlace de Internet y puertas de enlace de Internet de solo salida. Si activa esta característica en una Cuenta de AWS, esto afectará, de forma predeterminada, a cualquier VPC o subred que utilice Amazon Redshift. Esto significa que Amazon Redshift bloquea todas las operaciones al público. 

Si tiene activado BPA para VPC y quiere utilizar las API de Amazon Redshift a través de la Internet pública, debe añadir una exclusión para usar las API de Amazon EC2 para su VPC o subred. Las exclusiones pueden tener cualquiera de los siguientes modos: 
+ **Bidireccional**: se permite todo el tráfico de Internet hacia y desde las VPC y subredes excluidas.
+ **Solo de salida**: se permite el tráfico de Internet saliente desde las VPC y subredes excluidas. Se bloquea el tráfico de Internet entrante a las VPC y subredes excluidas. Esto solo se aplica cuando BPA está establecido en el modo bidireccional.

Las exclusiones de BPA para VPC designan una VPC completa o una subred específica dentro de una VPC como apta para el acceso público. Las interfaces de red que están dentro de ese límite respetan los controles de red de las VPC habituales, como los grupos de seguridad, las tablas de enrutamiento y las ACL de red, en lo que respecta a si esa interfaz tiene una ruta y acceso a la Internet pública. Para obtener más información sobre cómo añadir exclusiones, consulte [Crear y eliminar exclusiones](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) en la *Guía del usuario de Amazon VPC*.

**Clústeres aprovisionados**

Un grupo de subred es una combinación de subredes de la misma VPC. Si un grupo de subredes de un clúster aprovisionado está en una cuenta que tiene el BPA para VPC activado, se bloquean las siguientes capacidades:
+ Crear un clúster público
+ Restaurar un clúster público
+ Modificar un clúster privado para que sea público
+ Añadir una subred con el BPA para VPC activado en el grupo de subredes cuando hay al menos un clúster público dentro del grupo

 **Clústeres sin servidor**

Redshift sin servidor no utiliza grupos de subredes. En su lugar, cada clúster tiene su propio conjunto de subredes. Si un grupo de trabajo está en una cuenta que tiene el BPA para VPC activado, se bloquean las siguientes capacidades: 
+ Crear un grupo de trabajo de acceso público
+ Modificar un grupo de trabajo privado para que sea público
+ Añadir una subred con el BPA para VPC activado en el grupo de trabajo cuando ese grupo de trabajo es público

# Control del tráfico de red con enrutamiento de VPC mejorado de Redshift
<a name="enhanced-vpc-routing"></a>

Cuando utiliza el enrutamiento de VPC mejorado de Amazon Redshift, este servicio fuerza todo el tráfico [COPY](https://docs.aws.amazon.com/redshift/latest/dg/r_COPY.html) y [UNLOAD](https://docs.aws.amazon.com/redshift/latest/dg/r_UNLOAD.html) entre el clúster y los repositorios de datos a que pase por la nube virtual privada (VPC) en función del servicio Amazon VPC. Mediante el enrutamiento de VPC mejorado, puede utilizar características de VPC estándar, como [grupos de seguridad de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html), [listas de control de acceso (ACL) a la red](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html), [puntos de conexión de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html), [políticas de punto de conexión de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3), [gateways de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) y servidores de [sistema de nombres de dominio (DNS)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html), tal como se describe en la *Guía del usuario de Amazon VPC*. Puede usar estas características para controlar el flujo de los datos entre el clúster de Amazon Redshift y otros recursos. Cuando utiliza el direccionamiento de VPC mejorado para direccionar el tráfico a través de la VPC, también puede utilizar [registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) para supervisar el tráfico COPY y UNLOAD.

 Los clústeres de Amazon Redshift y los grupos de trabajo Amazon Redshift sin servidor admiten un enrutamiento de VPC mejorado. No puede utilizar el enrutamiento de VPC mejorado con Redshift Spectrum. Para obtener más información, consulte [Acceso a los buckets de Amazon S3 con Redshift Spectrum](spectrum-enhanced-vpc.md).

Si el enrutamiento de VPC mejorado no está activado, Amazon Redshift dirige el tráfico a través de Internet, incluido el tráfico a otros servicios dentro de la red de AWS.

**importante**  
Puesto que el enrutamiento de VPC mejorado afecta la forma en la que Amazon Redshift accede a otros recursos, los comandos COPY y UNLOAD podrían presentar error a menos que configure la VPC correctamente. Debe crear una ruta de acceso a la red específica entre la VPC del clúster y los recursos de datos, como se describe a continuación.

Cuando ejecuta un comando COPY o UNLOAD en un clúster que tiene el enrutamiento de VC mejorado activado, la VPC dirige el tráfico al recurso especificado mediante la ruta de red *más estricta*, o más específica, disponible. 

Por ejemplo, puede configurar las siguientes rutas en la VPC:
+ **Puntos de conexión de VPC**: en el caso del tráfico dirigido a un bucket de Amazon S3 en la misma región de AWS que el clúster o grupo de trabajo, puede crear un punto de conexión de VPC para dirigir el tráfico al bucket de forma directa. Cuando utiliza los puntos de conexión de la VPC, puede adjuntar una política de punto de conexión para administrar el acceso a Amazon S3. Para obtener más información acerca del uso de puntos de conexión con Redshift, consulte [Control del tráfico de base de datos con puntos de conexión de VPC](enhanced-vpc-working-with-endpoints.md). Si utiliza Lake Formation, puede encontrar más información sobre cómo establecer una conexión privada entre la VPC y AWS Lake Formation en [Puntos de conexión de VPC de AWS Lake Formation y de interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/lake-formation/latest/dg/privatelink.html).
**nota**  
Cuando utilice puntos de conexión de VPC de Redshift con puntos de conexión de puerta de enlace de VPC de Amazon S3, debe habilitar el enrutamiento de VPC mejorado en Redshift. Para obtener más información, consulte [Puntos de conexión de puerta de enlace para Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html).
+ **Gateway NAT**: puede conectarse a un bucket de Amazon S3 en otra región de AWS y a otro servicio dentro de la red de AWS. También puede obtener acceso a una instancia de alojamiento fuera de la red de AWS. Para ello, configure una [gateway de conversión de la dirección de red (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), tal como se describe en la *Guía del usuario de Amazon VPC.*
+ **Gateway de Internet**: para conectarse a servicios de AWS fuera de la VPC, puede adjuntar una [gateway de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) a la subred de la VPC, tal como se describe en la *Guía del usuario de Amazon VPC.* Para utilizar una puerta de enlace de Internet, el clúster o grupo de trabajo debe ser accesible de forma pública para permitir a otros servicios comunicarse con él.

Para obtener más información, consulte [Puntos de enlace de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) en la Guía del usuario de Amazon VPC.

El uso de Enhanced VPC Routing no supone ningún cargo adicional. Es posible que incurra en cargos adicionales por transferencia de datos para determinadas operaciones. Estos incluyen distintas operaciones, como utilizar UNLOAD en Amazon S3 en una región de AWS diferente. COPY de Amazon EMR o Secure Shell (SSH) con direcciones IP públicas. Para obtener más información acerca de los precios, consulte [Precios de Amazon EC2](https://aws.amazon.com/ec2/pricing/).

**Topics**
+ [Control del tráfico de base de datos con puntos de conexión de VPC](enhanced-vpc-working-with-endpoints.md)
+ [Activación del enrutamiento de VPC mejorado](enhanced-vpc-enabling-cluster.md)
+ [Acceso a los buckets de Amazon S3 con Redshift Spectrum](spectrum-enhanced-vpc.md)

# Control del tráfico de base de datos con puntos de conexión de VPC
<a name="enhanced-vpc-working-with-endpoints"></a>

Puede utilizar un punto de conexión de VPC para crear una conexión administrada entre el clúster de Amazon Redshift o sin servidor de una VPC y Amazon Simple Storage Service (Amazon S3). Cuando lo haga, el tráfico de COPY y UNLOAD entre el clúster y los datos de Amazon S3 permanecerá en Amazon VPC. Puede adjuntar una política de punto de conexión al punto de conexión para administrar con más precisión el acceso a los datos. Por ejemplo, puede agregar una política al punto de conexión de la VPC que permita la descarga de datos únicamente en un bucket específico de Amazon S3 en la cuenta.

Para utilizar los puntos de conexión de VPC, cree un punto de conexión de VPC para la VPC en la que está el almacenamiento de datos y, a continuación, active el enrutamiento de VPC mejorado. Puede activar el enrutamiento de VPC mejorado cuando cree su clúster o grupo de trabajo, o puede modificar un clúster o grupo de trabajo en una VPC para que utilice el enrutamiento de VPC mejorado.

Un punto de conexión de VPC utiliza tablas de enrutamiento para controlar el enrutamiento del tráfico entre un clúster o grupo de trabajo de la VPC y Amazon S3. Todos los clústeres y grupos de trabajo de subredes asociados a las tablas de enrutamiento especificadas utilizan automáticamente ese punto de conexión para acceder al servicio.

La VPC utiliza la ruta más específica, o más restrictiva, que coincida con el tráfico para determinar cómo enrutarlo. Por ejemplo, suponga que tiene una ruta en la tabla de enrutamiento para todo el tráfico de Internet (0.0.0.0/0) que apunta a una gateway de Internet y un punto de conexión de Amazon S3. En este caso, se prefiere la ruta del punto de conexión para todo el tráfico destinado a Amazon S3. Esto se debe a que el rango de direcciones IP para el servicio Amazon S3 es más específico que 0.0.0.0/0. En este ejemplo, el resto del tráfico de Internet se dirige a su puerta de enlace de Internet, incluido el tráfico destinado a los buckets de Amazon S3 de otras Regiones de AWS.

Para obtener más información sobre creación de puntos de conexión, consulte [Crear un punto de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) en la *Guía del usuario de Amazon VPC.*

Las políticas de punto de conexión se utilizan para controlar el acceso desde su clúster o grupo de trabajo a los buckets de Amazon S3 que contienen sus archivos de datos. Para tener un control más específico, de forma opcional, puede adjuntar una política de puntos de enlace personalizada. Para obtener más información, consulte [Control del acceso a los servicios con políticas de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía del usuario de AWS PrivateLink*. 

**nota**  
 AWS Database Migration Service (AWS DMS) es un servicio en la nube que hace posible la migración de bases de datos relacionales, almacenamientos de datos y otros tipos de almacenes de datos. Puede conectarse a cualquier base de datos de origen o destino de AWS, incluida una base de datos de Amazon Redshift habilitada para VPC, con algunas restricciones de configuración. La compatibilidad de los puntos de conexión de Amazon VPC facilita a AWS DMS mantener la seguridad de la red integral para las tareas de replicación. Para obtener más información sobre el uso de Redshift con AWS DMS, consulte [Configuración de puntos de conexión de VPC como puntos de conexión de origen y destino de AWS DMS](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_VPC_Endpoints.html) en la *Guía del usuario de AWS Database Migration Service*. 

El uso de puntos de enlace no supone ningún cargo adicional. Se aplicará la tarifa estándar por la transferencia de datos y el uso de recursos. Para obtener más información acerca de los precios, consulte [Precios de Amazon EC2](https://aws.amazon.com/redshift/pricing/#Data_Transfer).

# Activación del enrutamiento de VPC mejorado
<a name="enhanced-vpc-enabling-cluster"></a>

Puede activar el enrutamiento de VPC mejorado cuando cree o modifique un clúster y cuando cree o modifique un grupo de trabajo de Amazon Redshift sin servidor.

Para trabajar con el enrutamiento de VPC mejorado, el clúster o grupo de trabajo sin servidor debe cumplir los siguientes requisitos y restricciones:
+ El clúster debe estar en una VPC. 

  Si adjunta un punto de conexión de VPC de Amazon S3, el punto de conexión de VPC se utilizará solo para acceder a los buckets de Amazon S3 de la misma región de AWS. Para acceder a buckets de otra región de AWS (sin utilizar el punto de conexión de VPC) o para acceder a otros servicios de AWS, haga que su clúster o grupo de trabajo sin servidor sea de acceso público o utilice una [puerta de enlace de traducción de direcciones de red (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html). Para obtener más información, consulte [Creación de un clúster de Redshift aprovisionado o un grupo de trabajo de Amazon Redshift sin servidor en una VPC](getting-started-cluster-in-vpc.md).
+ Debe habilitar la resolución del servicio de nombres de dominio (DNS) en la VPC. O bien, si está utilizando su propio servidor de DNS, asegúrese de que las solicitudes de DNS a Amazon S3 se resuelvan correctamente en las direcciones IP mantenidas por AWS. Para obtener más información, consulte [Utilización de DNS con su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) en la *Guía del usuario de Amazon VPC*.
+ Los nombres de host de DNS deben estar habilitados en la VPC. Los nombres de host DNS están habilitados de forma predeterminada.
+ Las políticas de punto de conexión de la VPC deben permitir el acceso a cualquier bucket de Amazon S3 utilizado con llamadas a COPY, UNLOAD o CREATE LIBRARY en Amazon Redshift, incluido el acceso a cualquier archivo de manifiesto involucrado. Para utilizar COPY desde hosts remotos, las políticas de puntos de enlace deben permitir el acceso a cada máquina del host. Para obtener más información, consulte [Permisos de IAM para COPY, UNLOAD y CREATE LIBRARY](https://docs.aws.amazon.com/redshift/latest/dg/copy-usage_notes-access-permissions.html#copy-usage_notes-iam-permissions) en la *Guía para desarrolladores de bases de datos de Amazon Redshift.*

**Activación del enrutamiento de VPC mejorado para un clúster aprovisionado**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon Redshift en [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. En el menú de navegación, elija **Provisioned clusters dashboard** (Panel de clústeres aprovisionados) y, a continuación, elija **Create cluster** (Crear clúster) e ingrese las propiedades de **Cluster details** (Detalles del clúster). 

1. Para mostrar la sección **Additional configurations (Configuraciones adicionales)**, seleccione **Use defaults (Usar valores predeterminados)**. 

1. Vaya a la sección **Network and security** (Red y seguridad).

1. Para activar **Enhanced VPC routing** (Enrutamiento de VPC mejorado), elija **Turn on** (Activar) para forzar el tráfico del clúster a través de la VPC. 

1. Seleccione **Create cluster** (Crear clúster) para crearlo. El clúster tardará varios minutos antes de estar listo para su uso.

**Activación del enrutamiento de VPC mejorado para Amazon Redshift sin servidor**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon Redshift en [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. En el menú de navegación, elija **Serverless dashboard** (Panel de control sin servidor) y, a continuación, elija **Create workgroup** (Crear grupo de trabajo) e ingrese las propiedades del grupo de trabajo. 

1. Vaya a la sección **Network and security** (Red y seguridad).

1. Seleccione **Turn on enhanced VPC routing** (Activar enrutamiento de VPC mejorado) para enrutar el tráfico de red a través de la VPC. 

1. Elija **Next** (Siguiente) y termine de ingresar las propiedades de su grupo de trabajo hasta que use **Create** (Crear) para crear el grupo de trabajo.

# Acceso a los buckets de Amazon S3 con Redshift Spectrum
<a name="spectrum-enhanced-vpc"></a>

En general, Amazon Redshift Spectrum no admite el enrutamiento de VPC mejorado con clústeres aprovisionados, aunque un clúster aprovisionado puede consultar tablas externas de Amazon S3 cuando el enrutamiento de VPC mejorado está habilitado.

El enrutamiento de VPC mejorado de Amazon Redshift envía tráfico específico a través de la VPC, lo que significa que todo el tráfico entre el clúster y los buckets de Amazon S3 está obligado a pasar por la VPC de Amazon. Dado que Redshift Spectrum se ejecuta en recursos gestionados por AWS que son propiedad de Amazon Redshift pero se encuentran fuera de su VPC, Redshift Spectrum no utiliza el enrutamiento de VPC mejorado. 

El tráfico entre Redshift Spectrum y Amazon S3 se enruta de forma segura a través de la red privada de AWS, fuera de su VPC. El tráfico en tránsito se firma con el protocolo Signature Version 4 (SIGv4) de Amazon y se cifra mediante HTTPS. La autorización para este tráfico se basa en el rol de IAM que se adjunta a su clúster de Amazon Redshift. Para administrar aún más el tráfico de Redshift Spectrum, puede modificar el rol de IAM de su clúster y la política adjunta al bucket de Amazon S3. Es posible que también deba configurar su VPC de manera que permita que su clúster acceda a AWS Glue o a Athena, tal como se detalla a continuación. 

 Tenga en cuenta que el enrutamiento de VPC mejorado afecta a la forma en la que Amazon Redshift accede a otros recursos, las consultas podrían presentar error a menos que configure la VPC correctamente. Para obtener más información, consulte [Control del tráfico de red con enrutamiento de VPC mejorado de Redshift](enhanced-vpc-routing.md), que analiza con más detalle la creación de un punto de conexión de VPC, una puerta de enlace NAT y otros recursos de red para dirigir el tráfico a los buckets de Amazon S3. 

**nota**  
Amazon Redshift sin servidor admite el enrutamiento de VPC mejorado para consultas a tablas externas en Amazon S3. Para obtener más información sobre la configuración, consulte [Carga de datos desde Amazon S3](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html#serverless-load-data-from-s3) en la Guía de introducción a Amazon Redshift sin servidor.

## Configuración de la política de permisos al utilizar Amazon Redshift Spectrum
<a name="spectrum-enhanced-vpc-considerations"></a>

Tenga en cuenta lo siguiente cuando utilice Redshift Spectrum: 
+ [Políticas de acceso a buckets de Amazon S3 y roles de IAM](#spectrum-enhanced-vpc-considerations-policies)
+ [Permisos para asumir el rol de IAM](#spectrum-enhanced-vpc-considerations-cluster-role)
+ [Registro y auditoría del acceso a Amazon S3](#spectrum-enhanced-vpc-considerations-logging-s3)
+ [Acceso a AWS Glue o Amazon Athena](#spectrum-enhanced-vpc-considerations-glue-access)

### Políticas de acceso a buckets de Amazon S3 y roles de IAM
<a name="spectrum-enhanced-vpc-considerations-policies"></a>

Puede controlar el acceso a los datos en sus buckets de Amazon S3 usando una política de bucket adjunta al bucket y un rol de IAM adjunto a un clúster aprovisionado. 

Redshift Spectrum en clústeres aprovisionados no puede acceder a los datos almacenados en buckets de Amazon S3 que usen una política de bucket que limite el acceso únicamente a los puntos de conexión de VPC especificados. En su lugar, use una política de bucket que limite el acceso a únicamente entidades principales específicas, como a una cuenta de AWS específica o usuarios específicos. 

Para el rol de IAM al cual se le concede acceso al bucket, utilice una relación de confianza que permita que únicamente la entidad principal del servicio Amazon Redshift asuma el rol. Cuando se adjunta al clúster, el rol solo se puede usar en el contexto de Amazon Redshift y no se puede compartir fuera del clúster. Para obtener más información, consulte [Restricción de acceso a los roles de IAM](authorizing-redshift-service-database-users.md). También se puede utilizar una política de control de servicio (SCP) para restringir aún más el rol; consulte [Impedir que los usuarios y roles de IAM realicen los cambios especificados, con una excepción para un rol de administrador especificado](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-restricts-with-exception) en la *Guía del usuario de AWS Organizations*.

**nota**  
Para utilizar Redshift Spectrum, no puede haber ninguna política de IAM que bloquee el uso de direcciones URL prefirmadas de Amazon S3. Las URL prefirmadas generadas por Amazon Redshift Spectrum son válidas durante 1 hora para que Amazon Redshift tenga tiempo suficiente para cargar todos los archivos del bucket de Amazon S3. Se genera una URL prefirmada única para cada archivo escaneado por Redshift Spectrum. Para las políticas de bucket que incluyen una acción `s3:signatureAge`, asegúrese de establecer el valor en al menos 3 600 000 milisegundos.

El siguiente ejemplo de política de bucket permite acceder al bucket especificado propiedad de la cuenta de AWS `123456789012`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BucketPolicyForSpectrum",
            "Effect": "Allow",
            "Principal": {
                "AWS": ["arn:aws:iam::123456789012:role/redshift"]
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucketVersions",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

### Permisos para asumir el rol de IAM
<a name="spectrum-enhanced-vpc-considerations-cluster-role"></a>

El rol que se adjuntó a su clúster debería tener una relación de confianza que permita que el servicio Amazon Redshift sea el único en asumirlo, tal como se muestra a continuación.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Para obtener más información, consulte [Políticas de IAM para Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-spectrum-iam-policies.html) en la *Guía para desarrolladores de bases de datos de Amazon Redshift*.

### Registro y auditoría del acceso a Amazon S3
<a name="spectrum-enhanced-vpc-considerations-logging-s3"></a>

Uno de los beneficios de usar el enrutamiento de VPC mejorado de Amazon Redshift es que todo el tráfico COPY y UNLOAD queda registrado en los registros de flujo de la VPC. El tráfico originado en Redshift Spectrum que se dirige a Amazon S3 no pasa por la VPC, por lo que no queda registrado en el registro de flujo de la VPC. Cuando Redshift Spectrum accede a los datos en Amazon S3, realiza estas operaciones en el contexto de la cuenta de AWS y de los respectivos privilegios del rol. Puede registrar y auditar el acceso a Amazon S3 mediante el registro de acceso al servidor en AWS CloudTrail y Amazon S3. 

Asegúrese de que los rangos de IP de S3 estén agregados a la lista de permitidos. Para obtener más información acerca de los rangos de IP de S3 necesarios, consulte [Aislamiento de red](https://docs.aws.amazon.com//redshift/latest/mgmt/security-network-isolation.html#network-isolation).

**AWS CloudTrail Registros de** 

Para rastrear todo el acceso a objetos en Amazon S3, incluido el acceso a Redshift Spectrum, habilite el registro de CloudTrail para objetos de Amazon S3. 

Puede utilizar CloudTrail para ver, buscar, descargar, archivar, analizar y responder a la actividad de la cuenta en su infraestructura de AWS. Para obtener más información, consulte [Introducción a CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-getting-started.html). 

De forma predeterminada, CloudTrail solo realiza un seguimiento de las acciones en el nivel de bucket. Para realizar un seguimiento de las acciones en el nivel del objeto (como `GetObject`), habilite eventos de datos y administración para cada bucket registrado. 

**Registro de acceso al servidor de Simple Storage Service (Amazon S** 

El registro de acceso al servidor brinda registros detallados para las solicitudes realizadas a un bucket. La información del registro de acceso puede ser útil en auditorías de acceso y seguridad. Para obtener más información, consulte [Cómo habilitar el registro de acceso al servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html#server-access-logging-overview) en la *Guía del usuario de Amazon Simple Storage Service.*

Para obtener más información, consulte la publicación [How to Use Bucket Policies and Apply Defense-in-Depth to Help Secure Your Amazon S3 Data](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/) en el blog de seguridad de AWS. 

### Acceso a AWS Glue o Amazon Athena
<a name="spectrum-enhanced-vpc-considerations-glue-access"></a>

Redshift Spectrum accede a su catálogo de datos en AWS Glue o Athena. Otra opción es utilizar un metaalmacén de Hive específico para su catálogo de datos. 

Para habilitar el acceso a AWS Glue o Athena, configure su VPC con una gateway de Internet o una gateway NAT. Configure los grupos de seguridad de la VPC de manera que permitan el tráfico saliente hacia los puntos de enlace públicos de AWS Glue y Athena. Alternativamente, puede configurar un punto de conexión de la VPC de la interfaz para que AWS Glue acceda a su AWS Glue Data Catalog. Cuando se utiliza un punto de conexión de interfaz de la VPC, la comunicación entre la VPC y AWS Glue se lleva a cabo dentro de la red de AWS. Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).

Puede configurar las siguientes rutas en la VPC: 
+ **Gateway de Internet**: para conectarse a servicios de AWS fuera de la VPC, puede adjuntar una [gateway de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) a la subred de la VPC, tal como se describe en la *Guía del usuario de Amazon VPC.* Para utilizar una puerta de enlace de Internet, un clúster aprovisionado debe tener una dirección IP pública para permitir que otros servicios se comuniquen con él. 
+ **Gateway NAT**: para conectarse a un bucket de Amazon S3 que esté en otra región de AWS o a otro servicio de la red de AWS, configure una [gateway de conversión de las direcciones de red (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), tal como se describe en la *Guía del usuario de Amazon VPC.* También use esta configuración para obtener acceso a una instancia de alojamiento fuera de la red de AWS.

Para obtener más información, consulte [Control del tráfico de red con enrutamiento de VPC mejorado de Redshift](enhanced-vpc-routing.md).