

 Amazon Redshift ne prendra plus en charge la création de nouveaux Python à UDFs partir du patch 198. UDFs Le Python existant continuera de fonctionner jusqu'au 30 juin 2026. Pour plus d’informations, consultez le [ billet de blog ](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Contrôle du trafic réseau avec le routage VPC amélioré Redshift
<a name="enhanced-vpc-routing"></a>

Lorsque vous utilisez le routage VPC amélioré Amazon Redshift, Amazon Redshift force l'ensemble du trafic [COPY](https://docs.aws.amazon.com/redshift/latest/dg/r_COPY.html) et [UNLOAD](https://docs.aws.amazon.com/redshift/latest/dg/r_UNLOAD.html) entre votre cluster et vos référentiels de données à traverser votre VPC basé sur le service Amazon VPC. *En utilisant le routage VPC amélioré, vous pouvez utiliser les fonctionnalités VPC standard, telles que les [groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) VPC, les [listes de contrôle d'accès réseau (), les points de terminaison ACLs VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html)[, les politiques de point de terminaison VPC,](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) [les [passerelles Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) et les [serveurs DNS (Domain Name System)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html), comme décrit dans le guide de l'utilisateur Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3).* Ces fonctions vous permettent de contrôle le flux de données entre votre cluster Amazon Redshift et d’autres ressources. Lorsque vous utilisez le routage VPC amélioré pour acheminer le trafic via votre VPC, vous pouvez également utiliser les [journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) pour surveiller le trafic COPY et UNLOAD.

 Les clusters Amazon Redshift et les groupes de travail Amazon Redshift sans serveur prennent en charge le routage VPC amélioré. Vous ne pouvez pas utiliser le routage VPC amélioré avec Redshift Spectrum. Pour de plus amples informations, veuillez consulter [Accès aux compartiments Amazon S3 avec Redshift Spectrum](spectrum-enhanced-vpc.md).

Si le routage VPC amélioré n'est pas activé, Amazon Redshift achemine le trafic via Internet, y compris le trafic vers d'autres services du réseau. AWS 

**Important**  
Comme le routage VPC amélioré affecte la façon dont Amazon Redshift accède à d'autres ressources, les commandes COPY et UNLOAD peuvent échouer, sauf si vous configurez votre VPC correctement. Vous devez créer spécifiquement un chemin d'accès réseau entre le VPC de votre cluster et vos ressources de données, comme décrit ci-après.

Lorsque vous exécutez une commande COPY ou UNLOAD sur un cluster dont le routage VPC amélioré est activé, votre VPC achemine le trafic vers la ressource spécifiée via le chemin d'accès réseau disponible, *le plus strict* ou le plus spécifique. 

Par exemple, vous pouvez configurer les chemins suivants dans votre VPC :
+ **Points de terminaison VPC** : pour le trafic vers un compartiment Amazon S3 situé dans la même AWS région que votre cluster ou groupe de travail, vous pouvez créer un point de terminaison VPC pour diriger le trafic directement vers le compartiment. Lorsque vous utilisez des points de terminaison d'un VPC, vous pouvez attacher une politique de point de terminaison pour gérer l'accès à Amazon S3. Pour plus d’informations sur l’utilisation des points de terminaison avec Amazon Redshift, consultez [Contrôle du trafic de base de données avec les points de terminaison d’un VPC](enhanced-vpc-working-with-endpoints.md). Si vous utilisez Lake Formation, vous trouverez plus d'informations sur l'établissement d'une connexion privée entre votre VPC et AWS Lake Formation au niveau des points de [AWS terminaison du VPC](https://docs.aws.amazon.com/lake-formation/latest/dg/privatelink.html) d'interface ().AWS PrivateLink
**Note**  
Lorsque vous utilisez des points de terminaison VPC Redshift avec des points de terminaison d’une passerelle VPC Amazon S3, vous devez activer le routage VPC amélioré dans Redshift. Pour plus d’informations, consultez [Points de terminaison de passerelle pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html).
+ **Passerelle NAT** : vous pouvez vous connecter à un compartiment Amazon S3 dans une autre AWS région et vous pouvez vous connecter à un autre service du AWS réseau. Vous pouvez également accéder à une instance hôte en dehors du AWS réseau. Pour ce faire, configurez une [passerelle de traduction d'adresses réseau (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), comme décrit dans le *guide de l'utilisateur Amazon VPC.*
+ **Passerelle Internet** : pour vous connecter aux services AWS en dehors de votre VPC, vous pouvez attacher une [Passerelle Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) à votre sous-réseau VPC, comme décrit dans le *Guide de l'utilisateur Amazon VPC.* Pour utiliser une passerelle Internet, votre cluster ou groupe de travail doit avoir une adresse IP publiquement accessible afin que d’autres services puissent communiquer avec lui.

Pour de plus amples informations, consultez [Points de terminaison VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) dans le Guide de l'utilisateur Amazon VPC.

L'utilisation du routage VPC amélioré n'implique aucun coût supplémentaire. Des frais de transfert de données supplémentaires peuvent être appliqués pour certaines opérations, Il s'agit notamment d'opérations telles que UNLOAD vers Amazon S3 dans une autre AWS région. ou COPY depuis Amazon EMR ou SSH avec des adresses IP publiques. Pour plus d’informations sur la tarification, consultez [Tarification d’Amazon EC2](https://aws.amazon.com/ec2/pricing/).

**Topics**
+ [

# Contrôle du trafic de base de données avec les points de terminaison d’un VPC
](enhanced-vpc-working-with-endpoints.md)
+ [

# Activation du routage VPC amélioré
](enhanced-vpc-enabling-cluster.md)
+ [

# Accès aux compartiments Amazon S3 avec Redshift Spectrum
](spectrum-enhanced-vpc.md)

# Contrôle du trafic de base de données avec les points de terminaison d’un VPC
<a name="enhanced-vpc-working-with-endpoints"></a>

Vous pouvez utiliser un point de terminaison d’un VPC pour créer une connexion gérée entre votre cluster Amazon Redshift ou groupe de travail sans serveur situé dans un VPC et Amazon Simple Storage Service (Amazon S3). Lorsque vous procédez ainsi, le trafic COPY et UNLOAD entre votre base de données et vos données sur Amazon S3 reste dans votre Amazon VPC. Vous pouvez lier une politique de point de terminaison à votre point de terminaison pour gérer de plus près l'accès à vos données. Par exemple, vous pouvez ajouter une politique à votre point de terminaison d'un VPC qui autorise le déchargement des données uniquement vers un compartiment Amazon S3 spécifique de votre compte.

Pour utiliser les points de terminaison d'un VPC, créez un point de terminaison d'un VPC pour le VPC dans lequel votre entrepôt des données se trouve, puis activez le routage VPC amélioré. Vous pouvez activer le routage VPC amélioré lorsque vous créez votre cluster ou votre groupe de travail, ou vous pouvez modifier un cluster ou un groupe de travail dans un VPC pour utiliser le routage VPC amélioré.

Un point de terminaison d'un VPC utilise des tables de routage pour contrôler le routage du trafic entre un cluster ou un groupe de travail dans le VPC et dans Amazon S3. Tous les clusters et les groupes de travail dans des sous-réseaux associés aux tables de routage spécifiées utilisent automatiquement ce point de terminaison pour accéder au service.

Votre VPC utilise le chemin le plus spécifique ou le plus restrictif, qui correspond à votre trafic pour déterminer comment acheminer le trafic. Imaginons par exemple que vous avez un acheminement existant dans votre table de routage pour tout le trafic Internet (0.0.0.0/0) ; cet acheminement pointe vers une Passerelle Internet et un point de terminaison Amazon S3. Dans ce cas, l'acheminement du point de terminaison est prioritaire sur tout le trafic destiné au service Amazon S3 puisque la plage d'adresses IP pour le service Amazon S3 est plus spécifique que 0.0.0.0/0. Dans cet exemple, tout le trafic Internet restant est acheminé vers votre passerelle Internet, y compris le trafic destiné aux compartiments Amazon S3 dans d'autres Régions AWS.

Pour obtenir plus d'informations sur la création de points de terminaison, consultez la section [Create a VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (Créer un point de terminaison VPC) dans le *Guide de l'utilisateur Amazon VPC*.

Vous utilisez les politiques de point de terminaison pour contrôler l'accès depuis votre cluster ou votre groupe de travail aux compartiments Amazon S3 qui contiennent vos fichiers de données. Pour un contrôle plus spécifique, vous pouvez éventuellement lier une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Contrôle de l’accès aux services à l’aide de politiques de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le *Guide AWS PrivateLink *. 

**Note**  
 AWS Database Migration Service (AWS DMS) est un service cloud qui permet de migrer des bases de données relationnelles, des entrepôts de données et d'autres types de magasins de données. Il peut se connecter à n'importe quelle base de données AWS source ou cible, y compris une base de données Amazon Redshift compatible VPC, avec certaines restrictions de configuration. La prise en charge des points de terminaison Amazon VPC facilite le maintien de la sécurité end-to-end du réseau AWS DMS pour les tâches de réplication. *Pour plus d'informations sur l'utilisation de Redshift avec AWS DMS, consultez la section Configuration des points de terminaison [VPC en tant que points de terminaison AWS DMS source et cible](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_VPC_Endpoints.html) dans le guide de l'utilisateur.AWS Database Migration Service * 

Il n'y a pas de frais supplémentaires pour l'utilisation de points de terminaison. Des frais standards s'appliquent pour le transfert de données et l'utilisation de ressources. Pour plus d’informations sur la tarification, consultez [Tarification d’Amazon EC2](https://aws.amazon.com/redshift/pricing/#Data_Transfer).

# Activation du routage VPC amélioré
<a name="enhanced-vpc-enabling-cluster"></a>

Vous pouvez activer le routage VPC amélioré lorsque vous créez ou modifiez un cluster et lorsque vous créez ou modifiez un groupe de travail Amazon Redshift sans serveur.

Pour utiliser le routage VPC amélioré, votre cluster ou groupe de travail sans serveur doit répondre aux exigences et aux contraintes suivantes :
+ Votre cluster doit se trouver dans un VPC. 

  Si vous attachez un point de terminaison Amazon S3 VPC, le point de terminaison VPC est uniquement utilisé pour accéder aux compartiments Amazon S3 dans la même région. AWS Pour accéder à des buckets dans une autre AWS région (sans utiliser le point de terminaison VPC) ou pour accéder à AWS d'autres services, rendez votre cluster ou votre groupe de travail sans serveur accessible au public ou utilisez [une passerelle de traduction d'adresses réseau](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) (NAT). Pour de plus amples informations, veuillez consulter [Création d’un cluster alloué Amazon Redshift ou d’un groupe de travail Amazon Redshift sans serveur dans un VPC](getting-started-cluster-in-vpc.md).
+ Vous devez activer la résolution DNS (Domain Name Service) dans votre VPC. Si vous utilisez votre propre serveur DNS, vous devez également vous assurer que les demandes DNS à Amazon S3 sont résolues correctement en adresses IP gérées par AWS. Pour plus d'informations, consultez [Utilisation de DNS avec votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) dans le *Amazon VPC Guide de l'utilisateur*.
+ Les noms d'hôte DNS doivent être activés dans votre VPC. Les noms d'hôte DNS sont activés par défaut.
+ Vos politiques de point de terminaison d'un VPC doivent autoriser l'accès aux compartiments Amazon S3 utilisés avec les appels COPY, UNLOAD ou CREATE LIBRARY dans Amazon Redshift, y compris l'accès à tous les fichiers manifestes impliqués. Pour la commande COPY depuis des hôtes distants, vos politiques de point de terminaison doivent autoriser l'accès à chaque ordinateur hôte. Pour plus d'informations, consultez la rubrique [Autorisations IAM pour les instructions COPY, UNLOAD et CREATE LIBRARY](https://docs.aws.amazon.com/redshift/latest/dg/copy-usage_notes-access-permissions.html#copy-usage_notes-iam-permissions) dans le *Guide du développeur de base de données Amazon Redshift*.

**Pour activer le routage VPC amélioré pour un cluster alloué**

1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)

1. Dans le menu de navigation, choisissez **Provisioned clusters dashboard** (Tableau de bord des clusters provisionnés) puis **Create cluster** (Créer un cluster) et saisissez les propriétés de **Cluster details** (Détails du cluster). 

1. Pour afficher la section **Configurations supplémentaires**, choisissez de désactiver **Utiliser les valeurs par défaut**. 

1. Accédez à la section **Network and security** (Réseau et sécurité).

1. Pour activer **Enhanced VPC routing** (Routage VPC amélioré), choisissez **Turn on** (Activer) pour forcer le trafic du cluster à passer par le VPC. 

1. Choisissez **Créer un cluster** pour créer le cluster. Le cluster peut prendre plusieurs minutes pour être prêt à être utilisé.

**Pour activer le routage VPC amélioré pour un Amazon Redshift sans serveur**

1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)

1. Dans le menu de navigation, choisissez **Serverless dashboard** (Tableau de bord sans serveur), puis choisissez **Create workgroup** (Créer un groupe de travail) et saisissez les propriétés de votre groupe de travail. 

1. Accédez à la section **Network and security** (Réseau et sécurité).

1. Sélectionnez **Turn on enhanced VPC routing** (Activer le routage VPC amélioré) pour acheminer le trafic réseau via le VPC. 

1. Choisissez **Next** (Suivant) et terminez de saisir les propriétés de votre groupe de travail jusqu'à **Create** (Créer) le groupe de travail.

# Accès aux compartiments Amazon S3 avec Redshift Spectrum
<a name="spectrum-enhanced-vpc"></a>

En général, Amazon Redshift Spectrum ne prend pas en charge le routage VPC amélioré avec des clusters alloués, même si un cluster alloué peut interroger des tables externes depuis Amazon S3 lorsque le routage VPC amélioré est activé.

Le routage VPC amélioré Amazon Redshift envoie du trafic spécifique via votre VPC, ce qui signifie que l’ensemble du trafic entre votre cluster et vos compartiments Amazon S3 est contraint de traverser votre VPC Amazon. Comme Redshift Spectrum s'exécute sur des ressources AWS gérées détenues par Amazon Redshift mais situées en dehors de votre VPC, Redshift Spectrum n'utilise pas le routage VPC amélioré. 

Le trafic entre Redshift Spectrum et Amazon S3 est acheminé de manière sécurisée via le réseau AWS privé, en dehors de votre VPC. Le trafic en vol est signé à l'aide du protocole Amazon Signature Version 4 (SIGv4) et crypté à l'aide du protocole HTTPS. Ce trafic est autorisé sur la base du rôle IAM attaché à votre cluster Amazon Redshift. Pour gérer le trafic Redshift Spectrum, vous pouvez modifier le rôle IAM de votre cluster et la politique associée à votre compartiment Amazon S3. Vous devrez peut-être également configurer votre VPC pour autoriser votre cluster à accéder à AWS Glue Athena, comme indiqué ci-dessous. 

 Étant donné que le routage VPC amélioré affecte la manière dont Amazon Redshift accède aux autres ressources, les requêtes peuvent échouer si vous ne configurez pas votre VPC correctement. Pour obtenir plus d'informations, consultez la rubrique [Contrôle du trafic réseau avec le routage VPC amélioré Redshift](enhanced-vpc-routing.md) qui traite en détail de la création d'un point de terminaison VPC, d'une passerelle NAT et d'autres ressources de réseaux pour diriger le trafic vers vos compartiments Amazon S3. 

**Note**  
Amazon Redshift sans serveur prend en charge le routage VPC amélioré pour les requêtes vers des tables externes sur Amazon S3. Pour plus d’informations sur la configuration, consultez [Chargement de données depuis Amazon S3](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html#serverless-load-data-from-s3) dans le Guide de démarrage d’Amazon Redshift sans serveur.

## Configuration de la politique d’autorisations lors de l’utilisation d’Amazon Redshift Spectrum
<a name="spectrum-enhanced-vpc-considerations"></a>

Tenez compte des éléments suivants lors de l’utilisation de Redshift Spectrum : 
+ [Stratégies d’accès aux compartiments Amazon S3 et rôles IAM](#spectrum-enhanced-vpc-considerations-policies)
+ [Autorisations pour endosser le rôle IAM](#spectrum-enhanced-vpc-considerations-cluster-role)
+ [Audit et journalisation des accès Amazon S3](#spectrum-enhanced-vpc-considerations-logging-s3)
+ [Accès à AWS Glue ou Amazon Athena](#spectrum-enhanced-vpc-considerations-glue-access)

### Stratégies d’accès aux compartiments Amazon S3 et rôles IAM
<a name="spectrum-enhanced-vpc-considerations-policies"></a>

Vous pouvez contrôler l’accès aux données de vos compartiments Amazon S3 en utilisant d’une part une stratégie de compartiment associée au compartiment et d’autre part un rôle IAM associé à un cluster alloué. 

Redshift Spectrum sur les clusters provisionnés ne peut accéder aux données stockées dans des compartiments Amazon S3 utilisant une politique de compartiment qui restreint l'accès aux seuls points de terminaison d'un VPC spécifiés. Utilisez plutôt une politique de compartiment qui restreint l'accès à certains principaux, tels qu'un AWS compte ou des utilisateurs spécifiques. 

Pour le rôle IAM qui se voit autoriser l'accès au compartiment, utilisez une relation de confiance autorisant le rôle à être endossé uniquement par le principal du service Amazon Redshift. Lorsqu'il est associé à votre cluster, le rôle ne peut être utilisé que dans le cadre d'Amazon Redshift ; il ne peut pas être partagé en dehors du cluster. Pour plus d’informations, consultez [Restriction de l'accès aux rôles IAM](authorizing-redshift-service-database-users.md). Une politique de contrôle des services (SCP) peut également être utilisée pour restreindre davantage le rôle. Consultez [Empêcher les utilisateurs et les rôles IAM d'apporter des modifications spécifiées, à l'exception d'un rôle administrateur spécifié](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-restricts-with-exception) dans le *Guide de l'utilisateur AWS Organizations *.

**Note**  
Pour utiliser Redshift Spectrum, aucune politique IAM bloquant l'utilisation d'Amazon S3 présigné ne URLs peut être mise en place. Les fichiers présignés URLs générés par Amazon Redshift Spectrum sont valides pendant 1 heure afin qu'Amazon Redshift dispose de suffisamment de temps pour charger tous les fichiers depuis le compartiment Amazon S3. Une URL présignée unique est générée pour chaque fichier scanné par Redshift Spectrum. Pour les stratégies de compartiment qui incluent une action `s3:signatureAge`, veillez à définir la valeur sur au moins 3 600 000 millisecondes.

L'exemple de politique de compartiment suivant autorise l'accès au compartiment spécifié appartenant au AWS compte`123456789012`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BucketPolicyForSpectrum",
            "Effect": "Allow",
            "Principal": {
                "AWS": ["arn:aws:iam::123456789012:role/redshift"]
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucketVersions",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

### Autorisations pour endosser le rôle IAM
<a name="spectrum-enhanced-vpc-considerations-cluster-role"></a>

Le rôle associé à votre cluster doit disposer d'une relation de confiance autorisant le rôle à être endossé uniquement par le service Amazon Redshift, comme indiqué ci-après.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Pour plus d'informations, consultez [Politiques IAM pour Amazon Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-spectrum-iam-policies.html) dans le *Guide du développeur de base de données Amazon Redshift*.

### Audit et journalisation des accès Amazon S3
<a name="spectrum-enhanced-vpc-considerations-logging-s3"></a>

L'utilisation du routage VPC amélioré Amazon Redshift offre différents avantages, notamment l'enregistrement de l'ensemble du trafic COPY et UNLOAD dans les journaux de flux VPC. Le trafic provenant de Redshift Spectrum vers Amazon S3 ne passe pas par votre VPC ; il n'est donc pas enregistré dans les journaux de flux VPC. Lorsque Redshift Spectrum accède aux données dans Amazon S3, il effectue ces opérations dans le contexte du AWS compte et des privilèges de rôle respectifs. Vous pouvez journaliser et auditer l'accès à Amazon S3 en utilisant la journalisation de l'accès au serveur dans AWS CloudTrail et Amazon S3. 

Assurez-vous que les plages d'adresses IP S3 sont ajoutées à votre liste des autorisations. Pour plus d’informations sur les plages d’adresses IP S3 requises, consultez [Isolement de réseau](https://docs.aws.amazon.com//redshift/latest/mgmt/security-network-isolation.html#network-isolation).

**AWS CloudTrail Journaux** 

Pour suivre tous les accès aux objets dans Amazon S3, y compris l'accès à Redshift Spectrum, activez la CloudTrail journalisation des objets Amazon S3. 

Vous pouvez l'utiliser CloudTrail pour afficher, rechercher, télécharger, archiver, analyser et répondre à l'activité des comptes dans l'ensemble de votre AWS infrastructure. Pour plus d'informations, consultez [Getting Started with CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-getting-started.html). 

Par défaut, CloudTrail suit uniquement les actions au niveau du bucket. Pour effectuer le suivi des actions au niveau de l'objet (par exemple `GetObject`), activez les événements de données et de gestion pour chaque compartiment enregistré. 

**Journalisation des accès au serveur Amazon S3** 

La journalisation des accès au serveur fournit des enregistrements détaillés pour les demandes soumises à un compartiment. Les informations des journaux d’accès peuvent s’avérer utiles en cas d’audit de sécurité ou d’audit des accès. Pour plus d'informations, consultez [Comment activer la journalisation des accès au serveur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html#server-access-logging-overview) dans le *Guide de l'utilisateur Amazon Simple Storage Service.*

Pour plus d'informations, consultez le billet AWS de blog sur la sécurité [How to Use Bucket Policies and Apply Defense-in-Depth to Help Secure Your Amazon S3 Data](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/). 

### Accès à AWS Glue ou Amazon Athena
<a name="spectrum-enhanced-vpc-considerations-glue-access"></a>

Redshift Spectrum accède à votre catalogue de données dans ou AWS Glue Athena. Une autre option consiste à utiliser un metastore Hive dédié pour votre catalogue de données. 

Pour activer l'accès à AWS Glue ou Athena, configurez votre VPC avec une passerelle Internet ou une passerelle NAT. Configurez vos groupes de sécurité VPC pour autoriser le trafic sortant vers les points de terminaison publics pour et Athena. AWS Glue Vous pouvez également configurer un point de terminaison VPC d'interface pour accéder AWS Glue à votre. AWS Glue Data Catalog Lorsque vous utilisez un point de terminaison d'interface VPC, la communication entre votre VPC et celui-ci AWS Glue s'effectue au sein du réseau. AWS Pour plus d'informations, consultez [Création d'un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).

Vous pouvez configurer les chemins suivants dans votre VPC : 
+ **Passerelle Internet** *: pour vous connecter à AWS des services extérieurs à votre VPC, vous pouvez associer [une passerelle Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) à votre sous-réseau VPC, comme décrit dans le guide de l'utilisateur Amazon VPC.* Pour utiliser une passerelle Internet, un cluster alloué doit avoir une adresse IP publique afin que d’autres services puissent communiquer avec lui. 
+ **Passerelle NAT** : pour vous connecter à un compartiment Amazon S3 dans une autre AWS région ou à un autre service du AWS réseau, configurez une [passerelle de traduction d'adresses réseau (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), comme décrit dans le guide de l'*utilisateur Amazon VPC*. Utilisez cette même configuration pour accéder à une instance de l'hôte en dehors du réseau AWS .

Pour plus d'informations, consultez [Contrôle du trafic réseau avec le routage VPC amélioré Redshift](enhanced-vpc-routing.md).