Blocage de l'accès public aux sous-réseaux VPCs et aux sous-réseaux - Amazon Redshift

Amazon Redshift ne prendra plus en charge la création de nouveaux Python à UDFs partir du patch 198. UDFs Le Python existant continuera de fonctionner jusqu'au 30 juin 2026. Pour plus d’informations, consultez le billet de blog .

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Blocage de l'accès public aux sous-réseaux VPCs et aux sous-réseaux

L'accès public par blocage VPC (BPA) est une fonctionnalité de sécurité centralisée que vous pouvez utiliser pour empêcher les ressources VPCs et les sous-réseaux que vous possédez d'accéder à Internet ou d'être accessibles Région AWS depuis Internet via des passerelles Internet et des passerelles Internet de sortie uniquement. Si vous activez cette fonctionnalité dans unCompte AWS, elle aura, par défaut, un impact sur tout VPC ou sous-réseau utilisé par Amazon Redshift. Cela signifie qu’Amazon Redshift bloque toutes les opérations au public.

Lorsque le VPC BPA est activé et que vous souhaitez utiliser Amazon Redshift APIs sur Internet public, vous devez ajouter une exclusion pour l'utilisation d'Amazon pour EC2 APIs votre VPC ou votre sous-réseau. Les exclusions peuvent avoir l’un des modes suivants :

  • Bidirectionnel : tout le trafic Internet à destination et en provenance des sous-réseaux exclus VPCs est autorisé.

  • Sortie uniquement : le trafic Internet sortant des sous-réseaux exclus est autorisé VPCs . Le trafic Internet entrant vers les sous-réseaux exclus VPCs est bloqué. Cela ne s’applique que lorsque la fonctionnalité BPA est réglée sur bidirectionnel.

Les exclusions BPA d’un VPC désignent un VPC entier ou un sous-réseau spécifique au sein d’un VPC comme étant accessible au public. Les interfaces réseau situées à l'intérieur de cette limite respectent les contrôles réseau VPC habituels, tels que les groupes de sécurité, les tables de routage et le réseau ACLs, pour déterminer si cette interface dispose d'un itinéraire et d'un accès à l'Internet public. Pour plus d’informations sur l’ajout d’exclusions, consultez Créer et supprimer des exclusions dans le Guide de l’utilisateur Amazon VPC.

Clusters alloués

Un groupe de sous-réseaux est une combinaison de sous-réseaux provenant du même VPC. Si un groupe de sous-réseaux pour un cluster alloué se trouve dans un compte sur lequel le VPC BPA est activé, les fonctionnalités suivantes sont bloquées :

  • Création d’un cluster public

  • Restauration d’un cluster public

  • Modification d’un cluster privé pour en faire un cluster public

  • Ajout d’un sous-réseau avec VPC BPA activé au groupe de sous-réseaux lorsqu’il existe au moins un cluster public au sein du groupe

Clusters sans serveur

Redshift sans serveur n’utilise pas de groupes de sous-réseaux. Au lieu de cela, chaque cluster possède son propre ensemble de sous-réseaux. Si un groupe de travail possède un compte sur lequel le VPC BPA est activé, les fonctionnalités suivantes sont bloquées :

  • Création d’un groupe de travail accessible au public

  • Modification d’un groupe de travail privé en groupe de travail public

  • Ajout d’un sous-réseau avec VPC BPA activé au groupe de travail lorsque celui-ci est public