Amazon Redshift ne prendra plus en charge la création de nouveaux Python à UDFs partir du patch 198. UDFs Le Python existant continuera de fonctionner jusqu'au 30 juin 2026. Pour plus d’informations, consultez le [ billet de blog ](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Tâches de mise en réseau
Vous pouvez effectuer des tâches de mise en réseau, telles que la personnalisation de votre connexion à une base de données Redshift. Vous pouvez le faire pour contrôler le trafic à des fins de sécurité ou pour d’autres raisons. Vous pouvez également effectuer des tâches liées au DNS, telles que la configuration d’un nom de domaine personnalisé pour vos ressources Redshift. Ces tâches de configuration sont disponibles si vous disposez d’un cluster alloué Amazon Redshift ou d’un groupe de travail Amazon Redshift sans serveur.
**Topics**
+ [Noms de domaine personnalisé pour les connexions client](connecting-connection-CNAME.md)
+ [Points de terminaison d’un VPC géré par Redshift](managing-cluster-cross-vpc.md)
+ [Ressources Redshift dans un VPC](managing-clusters-vpc.md)
+ [Contrôle du trafic réseau avec le routage VPC amélioré Redshift](enhanced-vpc-routing.md)
# Noms de domaine personnalisé pour les connexions client
Vous pouvez créer un nom de domaine personnalisé, également appelé URL personnalisée, pour votre cluster Amazon Redshift et votre groupe de travail Amazon Redshift sans serveur. Il s'agit d'un enregistrement easy-to-read DNS qui achemine les connexions des clients SQL vers votre point de terminaison. Vous pouvez le configurer à tout moment pour un cluster ou un groupe de travail existant. Il offre plusieurs avantages :
+ Le nom de domaine personnalisé est une chaîne plus simple que l’URL par défaut, qui inclut généralement le nom du cluster ou du groupe de travail et la région. Il est plus facile à mémoriser et à utiliser.
+ Vous pouvez acheminer rapidement le trafic vers un nouveau cluster ou groupe de travail, par exemple en cas de basculement. Ainsi, les clients n’ont pas à modifier la configuration lorsqu’ils se reconnectent. Les connexions peuvent être réacheminées de manière centralisée, avec un minimum de perturbations.
+ Vous pouvez éviter de partager des informations privées comme le nom d’un serveur dans une URL de connexion. Vous pouvez le masquer dans une URL personnalisée.
Lorsque vous configurez un nom de domaine personnalisé à l’aide d’un CNAME, Amazon Redshift ne facture aucun frais supplémentaire. Votre fournisseur DNS peut vous facturer un nom de domaine si vous en créez un nouveau, mais ce coût est généralement faible.
# Enregistrement d’un nom de domaine
La configuration du nom de domaine personnalisé comprend plusieurs tâches, parmi lesquelles l’enregistrement du nom de domaine personnalisé auprès de votre fournisseur DNS et la création d’un certificat. Après avoir effectué ces tâches, vous configurez le nom de domaine personnalisé dans la console Amazon Redshift ou dans la console Amazon Redshift Serverless, ou vous le configurez à l'aide de commandes. AWS CLI
Vous devez disposer d’un nom de domaine Internet enregistré pour configurer un nom de domaine personnalisé dans Amazon Redshift. Vous pouvez enregistrer un domaine Internet à l’aide de Route 53, ou utiliser un bureau d’enregistrement de domaine tiers. Vous effectuez ces tâches en dehors de la console Amazon Redshift. Un domaine enregistré est un prérequis pour terminer les procédures restantes visant à créer un domaine personnalisé.
**Note**
Si vous utilisez un cluster provisionné, la relocalisation doit être activée sur le celui-ci avant d’effectuer les étapes de configuration du nom de domaine personnalisé. Pour plus d’informations, consultez [Relocalisation d’un cluster](managing-cluster-recovery.md). Cette étape n’est pas obligatoire pour Amazon Redshift sans serveur.
Le nom de domaine personnalisé inclut généralement le domaine racine et un sous-domaine, comme `mycluster.example.com`. Pour le configurer, effectuez les opérations suivantes :
**Création d’une entrée DNS CNAME pour votre nom de domaine personnalisé**
1. Enregistrez un domaine racine, par exemple `example.com`. Vous pouvez éventuellement utiliser un domaine existant. Votre nom personnalisé peut être soumis à des restrictions relatives à des caractères particuliers ou à la validation de dénomination. Pour plus d’informations sur l’enregistrement d’un domaine avec Route 53, consultez [Registering a new domain](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html).
1. Ajoutez un enregistrement CNAME DNS qui pointe votre nom de domaine personnalisé vers le point de terminaison Redshift pour votre cluster ou groupe de travail. Vous pouvez trouver le point de terminaison dans les propriétés du cluster ou du groupe de travail, dans la console Redshift ou Amazon Redshift sans serveur. Copiez l’**URL JDBC** disponible sous **Informations générales** dans les propriétés du cluster ou du groupe de travail. Ils URLs apparaissent comme suit :
+ Pour un cluster Amazon Redshift : `redshift-cluster-sample.abc123456.us-east-1.redshift.amazonaws.com`
+ Pour un groupe de travail Amazon Redshift sans serveur : `endpoint-name.012345678901.us-east-1-dev.redshift-serverless-dev.amazonaws.com`
Si l’URL comporte un préfixe JDBC, supprimez-le.
**Note**
Les enregistrements DNS sont soumis à disponibilité, car chaque nom doit être unique et utilisable au sein de votre organisation.
**Limites**
Il existe quelques restrictions concernant la création d’enregistrements CNAME pour un domaine personnalisé :
+ La création de plusieurs noms de domaine personnalisés pour le même cluster provisionné ou le même groupe de travail Amazon Redshift sans serveur n’est pas prise en charge. Vous ne pouvez associer qu’un seul enregistrement CNAME.
+ L’association d’un enregistrement CNAME à plusieurs clusters ou groupes de travail n’est pas prise en charge. Le CNAME de chaque ressource Redshift doit être unique.
Après avoir enregistré votre domaine et créé l’enregistrement CNAME, vous sélectionnez un certificat nouveau ou existant. Vous effectuez cette étape en utilisant AWS Certificate Manager :
Nous vous recommandons de créer un [certificat validé par le DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) répondant aux critères d’éligibilité au renouvellement géré, disponible avec AWS Certificate Manager. Le renouvellement géré implique qu’ACM renouvelle automatiquement vos certificats, ou vous envoie des notifications par e-mail quand la date d’expiration approche. Pour plus d’informations sur le renouvellement de certificats gérés, consultez [Renouvellement géré des certificats ACM](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html).
# Demande de certificat pour un nom de domaine
Amazon Redshift ou Amazon Redshift sans serveur exigent un certificat SSL (Secure Sockets Layer) validé pour un point de terminaison personnalisé afin de sécuriser les communications et de vérifier la propriété du nom de domaine. Vous pouvez utiliser votre AWS Certificate Manager compte avec et AWS KMS key pour une gestion sécurisée des certificats. La validation de sécurité inclut la vérification complète du nom d’hôte (*sslmode=verify-full*).
Les renouvellements de certificats sont gérés par Amazon Redshift uniquement lorsque vous choisissez la validation DNS plutôt que la validation par e-mail. Si vous utilisez la validation par e-mail, vous pouvez utiliser le certificat, mais vous devez le renouveler vous-même avant son expiration. Nous vous recommandons de choisir la validation DNS pour votre certificat. Vous pouvez surveiller les dates d’expiration des certificats importés dans AWS Certificate Manager.
**Demande de certificat auprès d’ACM pour un nom de domaine**
1. Connectez-vous à la console ACM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)l'adresse.
1. Choisissez **Request a certificate** (Demander un certificat).
1. Saisissez votre nom de votre domaine personnalisé dans le champ **Nom de domaine**.
**Note**
Vous pouvez spécifier de nombreux préfixes, en plus du domaine du certificat, afin d’utiliser un seul certificat pour plusieurs enregistrements de domaines personnalisés. À titre d’exemple, vous pouvez utiliser des enregistrements supplémentaires tels que `one.example.com` et `two.example.com`, ou un enregistrement DNS générique comme `*.example.com` avec le même certificat.
1. Choisissez **Review and request**.
1. Choisissez **Confirm and request**.
1. Pour que la demande soit valide et quACM puisse émettre le certificat, le propriétaire inscrit du domaine Internet doit préalablement approuver cette demande. Une fois les étapes terminées, assurez-vous que le statut apparaît comme **Émis** dans la console ACM.
# Configuration d’un domaine personnalisé
Vous pouvez utiliser la console Amazon Redshift ou Amazon Redshift sans serveur pour créer l’URL de votre domaine personnalisé. Si vous ne l’avez pas configurée, la propriété **Nom de domaine personnalisé** apparaît sous la forme d’un tiret (**–**) sous **Informations générales**. Après avoir créé votre enregistrement CNAME et le certificat, vous associez le nom de domaine personnalisé au cluster ou groupe de travail.
Pour créer une association de domaine personnalisé, les autorisations IAM suivantes sont requises :
+ `redshift:CreateCustomDomainAssociation` : vous pouvez restreindre l’autorisation à un cluster spécifique en ajoutant son ARN.
+ `redshiftServerless:CreateCustomDomainAssociation` : vous pouvez restreindre l’autorisation à un groupe de travail spécifique en ajoutant son ARN.
+ `acm:DescribeCertificate`
Il est recommandé d’associer des politiques d’autorisation à un rôle IAM, puis de l’attribuer à des utilisateurs et à des groupes, le cas échéant. Pour plus d’informations, consultez [Identity and Access Management dans Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
Vous attribuez le nom de domaine personnalisé en procédant comme suit.
1. Choisissez le cluster dans la console Redshift, ou le groupe de travail dans la console Amazon Redshift sans serveur, puis choisissez **Créer un nom de domaine personnalisé** dans le menu **Action**. Une boîte de dialogue s’affiche.
1. Entrez le nom du domaine personnalisé.
1. Sélectionnez l'ARN AWS Certificate Manager du **certificat ACM**. Confirmez vos modifications. Conformément aux instructions fournies dans les étapes que vous avez suivies pour créer le certificat, nous vous recommandons de choisir un certificat validé par le DNS éligible au renouvellement géré via AWS Certificate Manager.
1. Vérifiez dans les propriétés du cluster que le **Nom de domaine personnalisé** et l’**ARN du certificat de domaine personnalisé** sont renseignés avec les informations que vous avez saisies. La **Date d’expiration du certificat de domaine personnalisé** est également répertoriée.
Une fois le domaine personnalisé configuré, vous ne pouvez utiliser `sslmode=verify-full` que pour le nouveau domaine personnalisé. Vous ne pouvez pas l’utiliser pour le point de terminaison par défaut. Mais vous pouvez toujours vous connecter au point de terminaison par défaut en utilisant d’autres modes SSL, tels que `sslmode=verify-ca`.
**Note**
Pour rappel, la [relocalisation du cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-cluster-recovery.html) n’est pas une condition préalable à la configuration de fonctionnalités de mise en réseau Redshift supplémentaires. Il n’est pas nécessaire de l’activer pour activer les fonctionnalités suivantes :
**Connexion à Redshift depuis un VPC entre comptes ou entre** régions : vous pouvez vous connecter d'un cloud privé AWS virtuel (VPC) à un autre qui contient une base de données Redshift. Cela permet de gérer plus facilement, par exemple, l'accès des clients à partir de comptes disparates ou VPCs, sans avoir à fournir un accès VPC local aux identités se connectant à la base de données. Pour plus d’informations, consultez [Connexion à Amazon Redshift sans serveur à partir d’un point de terminaison de VPC Redshift dans un autre compte ou une autre région](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html#serverless-cross-vpc).
**Configuration d’un nom de domaine personnalisé** : vous pouvez créer un nom de domaine personnalisé, comme décrit dans cette rubrique, pour rendre le nom du point de terminaison plus pertinent et plus simple.
# Connexion à votre cluster alloué Amazon Redshift ou à un groupe de travail Amazon Redshift sans serveur
Pour vous connecter à un nom de domaine personnalisé, les autorisations IAM suivantes sont requises pour un cluster alloué : `redshift:DescribeCustomDomainAssociations`. Pour Amazon Redshift sans serveur, vous n’avez pas besoin d’ajouter d’autorisations.
Il est recommandé d’associer des politiques d’autorisation à un rôle IAM, puis de l’attribuer à des utilisateurs et à des groupes, le cas échéant. Pour plus d’informations, consultez [Identity and Access Management dans Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
Après avoir terminé les étapes pour créer votre CNAME et l’attribuer à votre cluster ou groupe de travail dans la console, vous pouvez fournir l’URL personnalisée dans les propriétés de connexion de votre client SQL. Notez que la propagation du DNS peut prendre du temps juste après la création d’un enregistrement CNAME.
1. Ouvrez un client SQL. Par exemple, vous pouvez utiliser SQL/Workbench J. Ouvrez les propriétés d'une connexion et ajoutez le nom de domaine personnalisé pour la chaîne de connexion. Par exemple, `jdbc:redshift://mycluster.example.com:5439/dev?sslmode=verify-full`. Dans cet exemple, `dev` spécifie la base de données par défaut.
1. Ajoutez le **nom d’utilisateur** et le **mot de passe** de l’utilisateur de base de données.
1. Testez la connexion. Votre capacité à interroger les ressources de base de données telles que des tables spécifiques peut varier en fonction des autorisations accordées à l’utilisateur de base de données ou aux rôles de base de données Amazon Redshift attribués.
Notez que s’il se trouve dans un VPC, vous devrez peut-être configurer votre cluster ou groupe de travail pour qu’il soit accessible publiquement afin de vous y connecter. Vous pouvez modifier ce paramètre dans les propriétés du réseau.
**Note**
Les connexions à un nom de domaine personnalisé sont prises en charge par les pilotes JDBC, ODBC et Python.
# Changement de nom d’un cluster auquel un domaine personnalisé a été attribué
**Note**
Cette série d’étapes ne s’applique pas à un groupe de travail Amazon Redshift sans serveur. Vous ne pouvez pas changer le nom du groupe de travail.
Pour renommer un cluster doté d’un nom de domaine personnalisé, l’autorisation IAM `acm:DescribeCertificate` est requise.
1. Accédez à la console Amazon Redshift et choisissez le cluster dont vous souhaitez changer le nom. Choisissez **Modifier** pour modifier les propriétés du cluster.
1. Modifiez l’**Identifiant du cluster**. Vous pouvez également modifier d’autres propriétés du cluster. Ensuite, choisissez **Enregistrer les modifications**.
1. Une fois le cluster renommé, vous devez mettre à jour l’enregistrement DNS pour modifier l’entrée CNAME du domaine personnalisé afin qu’elle pointe vers le point de terminaison Amazon Redshift mis à jour.
# Description des associations de domaines personnalisées
Utilisez les commandes de cette section pour obtenir une liste de noms de domaine personnalisés associés à un cluster provisionné spécifique ou à un groupe de travail Amazon Redshift sans serveur.
Vous avez besoin des autorisations suivantes :
+ Pour un cluster provisionné : `redshift:DescribeCustomDomainAssociations`
+ Pour un groupe de travail Amazon Redshift sans serveur : `redshiftServerless:ListCnameAssociations`
Il est recommandé d’associer des politiques d’autorisation à un rôle IAM, puis de l’attribuer à des utilisateurs et à des groupes, le cas échéant. Pour plus d’informations, consultez [Identity and Access Management dans Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
Voici un exemple de commande permettant de répertorier les noms de domaine personnalisés pour un cluster Amazon Redshift donné :
```
aws redshift describe-custom-domain-associations ––custom-domain-name customdomainname
```
Vous pouvez exécuter cette commande lorsqu’un nom de domaine personnalisé est activé pour déterminer les noms de domaine personnalisés associés au cluster. Pour plus d'informations sur la commande CLI permettant de décrire les associations de domaines personnalisées, consultez [describe-custom-domain-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/redshift/describe-custom-domain-associations.html).
De même, l’exemple de commande suivant permet de répertorier les noms de domaine personnalisés pour un cluster Amazon Redshift sans serveur donné. Il existe différentes manières de procéder. Vous pouvez fournir uniquement le nom de domaine personnalisé :
```
aws redshift-serverless list-custom-domain-associations ––custom-domain-name customdomainname
```
Vous pouvez également obtenir les associations en fournissant uniquement l’ARN du certificat :
```
aws redshift-serverless list-custom-domain-associations ––custom-domain-certificate-arn certificatearn
```
Vous pouvez exécuter ces commandes lorsqu’un nom de domaine personnalisé est activé pour déterminer les noms de domaine personnalisés associés au groupe de travail. Vous pouvez également exécuter une commande pour obtenir les propriétés d’une association de domaines personnalisés. Pour ce faire, vous devez fournir le nom de domaine personnalisé et le nom du groupe de travail comme paramètres. Cela renvoie l’ARN du certificat, le nom du groupe de travail et le délai d’expiration du certificat du domaine personnalisé :
```
aws redshift-serverless get-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname
```
Pour plus d’informations sur les commandes de référence CLI disponibles pour Amazon Redshift sans serveur, consultez [redshift-serverless](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/).
# Association d’un domaine personnalisé à un autre certificat
Pour modifier l’association de certificat d’un nom de domaine personnalisé, les autorisations IAM suivantes sont requises :
+ `redshift:ModifyCustomDomainAssociation`
+ `acm:DescribeCertificate`
Il est recommandé d’associer des politiques d’autorisation à un rôle IAM, puis de l’attribuer à des utilisateurs et à des groupes, le cas échéant. Pour plus d’informations, consultez [Identity and Access Management dans Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
Utilisez la commande suivante pour associer le domaine personnalisé à un autre certificat. Les arguments `––custom-domain-name` et `custom-domain-certificate-arn` sont obligatoires. L’ARN du nouveau certificat doit être différent de l’ARN existant.
```
aws redshift modify-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn
```
L’exemple suivant montre comment associer le domaine personnalisé à un certificat différent pour un groupe de travail Amazon Redshift sans serveur.
```
aws redshift-serverless modify-custom-domain-association ––workgroup-name redshiftworkgroup ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn
```
Vous devez attendre 30 secondes maximum pour pouvoir vous connecter au cluster. Ce délai est en partie dû au fait que le cluster Amazon Redshift met à jour ses propriétés. Un délai supplémentaire se rajoute lorsque le DNS est mis à jour. Pour plus d'informations sur l'API et chaque paramètre de propriété, consultez [ModifyCustomDomainAssociation](https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyCustomDomainAssociation.html).
# Suppression du domaine personnalisé
Pour supprimer le nom de domaine personnalisé, l’utilisateur doit disposer des autorisations nécessaires pour effectuer les actions suivantes :
+ Pour un cluster provisionné : `redshift:DeleteCustomDomainAssociation`
+ Pour un groupe de travail Amazon Redshift sans serveur : `redshiftServerless:DeleteCustomDomainAssociation`
**Dans la console**
Vous pouvez supprimer le nom de domaine personnalisé en sélectionnant le bouton **Actions**, puis en choisissant **Supprimer le nom de domaine personnalisé**. Après cela, vous pouvez toujours vous connecter au serveur en mettant à jour vos outils pour utiliser les points de terminaison répertoriés dans la console.
**Utilisation d’une commande CLI**
L’exemple suivant indique comment supprimer le nom de domaine personnalisé. L’opération de suppression nécessite que vous fournissiez le nom de domaine personnalisé existant pour le cluster.
```
aws redshift delete-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname
```
L’exemple suivant montre comment supprimer le nom de domaine personnalisé pour un groupe de travail Amazon Redshift sans serveur. Le nom de domaine personnalisé est un paramètre obligatoire.
```
aws redshift-serverless delete-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname
```
Pour de plus amples informations, veuillez consulter [DeleteCustomDomainAssociation](https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteCustomDomainAssociation.html).
# Points de terminaison d’un VPC géré par Redshift
Par défaut, un cluster Amazon Redshift ou un groupe de travail Amazon Redshift sans serveur est alloué dans un cloud privé virtuel (VPC). Le VPC est accessible depuis un autre VPC ou sous-réseau lorsque vous activez l’accès public ou définissez une passerelle Internet, un appareil NAT ou une connexion AWS Direct Connect pour acheminer le trafic vers ce dernier. Vous pouvez également accéder à un cluster ou à un groupe de travail en configurant un point de terminaison VPC géré par Redshift (alimenté par). AWS PrivateLink
Vous pouvez configurer un point de terminaison de VPC géré par Redshift en tant que connexion privée entre un VPC qui contient un cluster ou un groupe de travail et un VPC qui exécute un outil client. Si le cluster ou le groupe de travail se trouve sur un autre compte, le propriétaire du compte (concédant) doit accorder l’accès au compte (concessionnaire) qui souhaite établir une connexion. Avec cette approche, vous pouvez accéder à l’entrepôt des données sans utiliser d’adresse IP publique ni acheminer le trafic sur Internet.
Voici les raisons courantes pour autoriser l’accès à l’aide d’un point de terminaison d’un VPC géré par Redshift :
+ AWS le compte A souhaite autoriser un VPC du AWS compte B à accéder à un cluster ou à un groupe de travail.
+ AWS le compte A souhaite autoriser un VPC qui est également dans le AWS compte A à accéder à un cluster ou à un groupe de travail.
+ AWS le compte A souhaite autoriser un sous-réseau différent du VPC AWS au sein du compte A à accéder à un cluster ou à un groupe de travail.
Le flux pour configurer un point de terminaison d’un VPC géré par Redshift pour accéder à un cluster ou un groupe de travail dans un autre compte est le suivant :
1. Le compte propriétaire accorde l'autorisation d'accès à un autre compte et spécifie l'ID de AWS compte et l'identifiant VPC (ou tous VPCs) du bénéficiaire.
1. Le compte bénéficiaire est informé qu’il est autorisé à créer un point de terminaison de VPC géré par Redshift.
1. Le compte bénéficiaire crée un point de terminaison de VPC géré par Redshift.
1. Le compte bénéficiaire accède au cluster ou groupe de travail du compte propriétaire à l’aide du point de terminaison de VPC géré par Redshift.
Vous pouvez le faire à l'aide de la console Amazon Redshift, de ou de l' AWS CLI API Amazon Redshift.
## Considérations lors de l’utilisation de points de terminaison de VPC gérés par Redshift
**Note**
Pour créer ou modifier des points de terminaison VPC gérés par Redshift, vous avez besoin d'une `ec2:CreateVpcEndpoint` autorisation `ec2:ModifyVpcEndpoint` ou d'une autorisation figurant dans votre politique IAM, en plus des autres autorisations spécifiées dans la politique gérée. AWS `AmazonRedshiftFullAccess`
Lorsque vous utilisez des points de terminaison de VPC gérés par Redshift, gardez à l’esprit les points suivants :
+ Si vous utilisez un cluster provisionné, celui-ci doit avoir le type de RA3 nœud. Un groupe de travail Amazon Redshift sans serveur permet également de configurer un point de terminaison d’un VPC.
+ Pour les clusters alloués, assurez-vous que le cluster est activé pour la relocalisation du cluster ou pour le multi-AZ. Pour plus d’informations sur les conditions requises pour activer la relocalisation du cluster, consultez [Relocalisation d’un cluster](managing-cluster-recovery.md). Pour plus d’informations sur l’activation du Multi-AZ, consultez [Configuration de Multi-AZ lors de la création d’un cluster](create-cluster-multi-az.md).
+ Assurez-vous que le cluster ou groupe de travail auquel vous devez accéder via son groupe de sécurité est disponible dans les plages de ports valides 5431-5455 et 8191-8215. La valeur par défaut est 5439.
+ Vous pouvez modifier les groupes de sécurité VPC associés à un point de terminaison de VPC géré par Redshift existant. Pour modifier d’autres paramètres, supprimez le point de terminaison de VPC géré par Redshift actuel et créez-en un nouveau.
+ Le nombre de points de terminaison de VPC gérés par Redshift que vous pouvez créer est limité à votre quota de points de terminaison de VPC.
+ Les points de terminaison de VPC gérés par Redshift ne sont pas accessibles depuis Internet. Un point de terminaison VPC géré par Redshift n'est accessible qu'au sein du VPC où le point de terminaison est provisionné ou depuis VPCs tout point apparenté au VPC où le point de terminaison est provisionné conformément aux tables de routage et aux groupes de sécurité.
+ Vous ne pouvez pas utiliser la console Amazon VPC pour gérer les points de terminaison de VPC gérés par Redshift.
+ Lorsque vous créez un point de terminaison d’un VPC géré par Redshift pour un cluster alloué, le VPC que vous choisissez doit disposer d’un groupe de sous-réseaux. Pour créer un groupe de sous-réseaux, consultez [Création d'un groupe de sous-réseaux de cluster.](create-cluster-subnet-group.md).
+ Si une zone de disponibilité est hors service, Amazon Redshift ne crée pas de nouvelle interface de réseau Elastic dans une autre zone de disponibilité. Dans ce cas, vous devrez peut-être créer un point de terminaison.
Pour plus d’informations sur les quotas et les contraintes de nommage, consultez [Quotas et limites d’Amazon Redshift](amazon-redshift-limits.md).
Pour plus d’informations sur la tarification, consultez [Tarification AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/).
# Accès accordé à un VPC
Si le VPC auquel vous souhaitez donner accès à votre cluster ou groupe de travail se trouve dans un autre compte AWS , assurez-vous de l’autoriser à partir du compte du propriétaire (concédant).
**Pour autoriser un VPC d'un autre AWS compte à accéder à votre cluster ou groupe de travail**
1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Dans le menu de navigation, choisissez **Clusters**. Pour Amazon Redshift sans serveur, choisissez **Tableau de bord sans serveur.**
1. Affichez les détails du cluster auquel vous souhaitez autoriser l’accès en choisissant le nom du cluster. Choisissez l’onglet **Properties (Propriétés)** pour le cluster.
La section **Comptes accordés** affiche les comptes et les comptes correspondants VPCs qui ont accès à votre cluster. Pour un groupe de travail Amazon Redshift sans serveur, choisissez le groupe de travail. Les **Comptes accordés** sont disponibles sous l’onglet **Accès aux données**.
1. Choisissez **Grant access (Accorder l’accès)** pour afficher un formulaire permettant de saisir les **informations du bénéficiaire** afin d’ajouter un compte.
1. Dans **ID du compte AWS **, saisissez l’ID du compte auquel vous accordez l’accès. Vous pouvez accorder l'accès à un compte spécifique VPCs ou VPCs à l'ensemble de celui-ci.
1. Choisissez l’option **Grant access (Accorder l’accès)** pour accorder l’accès.
# Création d’un point de terminaison de VPC géré par Redshift
Si vous possédez un cluster ou un groupe de travail, ou si vous y avez accès pour le gérer, vous pouvez créer un point de terminaison de VPC géré par Redshift pour le cluster.
**Pour créer un point de terminaison de VPC géré par Redshift**
1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Dans le menu de navigation, choisissez **Configurations**.
La page **Configurations** affiche les points de terminaison de VPC gérés par Redshift qui ont été créés. Pour afficher les détails d’un point de terminaison, choisissez son nom. Pour Amazon Redshift sans serveur, les points de terminaison d’un VPC se trouvent sous l’onglet **Accès aux données**, lorsque vous choisissez le groupe de travail.
1. Choisissez **Create endpoint (Créer un point de terminaison)** pour afficher un formulaire permettant de saisir des informations sur le point de terminaison à ajouter.
1. Entrez des valeurs pour le **nom du point de terminaison**, l’**ID de compte AWS ** à 12 chiffres, le **cloud privé virtuel (VPC**) où se trouve le point de terminaison, le **sous-réseau** et le **groupe de sécurité VPC**.
Le sous-réseau figurant dans **Sous-réseau** définit les sous-réseaux et les adresses IP où Amazon Redshift déploie le point de terminaison. Amazon Redshift choisit un sous-réseau dont les adresses IP sont disponibles pour l’interface réseau associée au point de terminaison.
Le groupe de sécurité figurant dans **Groupe de sécurité VPC** définit les ports, les protocoles et les sources de trafic entrant que vous autorisez pour votre point de terminaison. Vous autorisez au groupe de sécurité ou à la plage CIDR où s’exécutent vos charges de travail l’accès au port sélectionné.
1. Choisissez **Create endpoint (Créer un point de terminaison)** pour créer le point de terminaison.
Une fois votre point de terminaison créé, vous pouvez accéder au cluster ou au groupe de travail via l’URL affichée dans URL de **Point de terminaison** dans les paramètres de configuration de votre point de terminaison de VPC géré par Redshift.
# Ressources Redshift dans un VPC
Vous pouvez lancer un cluster Amazon Redshift ou un groupe de travail Amazon Redshift sans serveur dans un VPC sur la plateforme EC2-VPC basée sur le service Amazon VPC. Pour de plus amples informations, veuillez consulter [Utiliser EC2 pour créer votre cluster](working-with-clusters.md#cluster-platforms).
**Note**
Le lancement de clusters et de groupes de travail sans serveur dans le cadre d'une location dédiée VPCs n'est pas pris en charge. Pour plus d’informations, consultez [Instances dédiées](https://docs.aws.amazon.com/vpc/latest/userguide/dedicated-instance.html) dans le *Guide de l’utilisateur Amazon VPC pour les instances Linux*.
Lorsque vous provisionnez des ressources dans un VPC, procédez comme suit :
+ **Fournissez des informations de VPC.**
Lorsque vous créez un cluster alloué dans votre VPC, vous devez fournir vos informations de VPC en créant d’abord un groupe de sous-réseaux de cluster. Ces informations comprennent l’ID de VPC et une liste des sous-réseaux dans votre VPC. Lorsque vous lancez un cluster, vous fournissez le groupe de sous-réseaux afin que Redshift puisse le provisionner dans l’un des sous-réseaux du VPC. Avec Amazon Redshift sans serveur, le processus est similaire. Vous attribuez des sous-réseaux directement à votre groupe de travail sans serveur. Mais dans le cas de sans serveur, vous ne créez pas de groupe de sous-réseaux. Pour plus d’informations sur la création de groupes de sous-réseaux dans Amazon Redshift, consultez [Sous-réseaux pour les ressources Redshift](working-with-cluster-subnet-groups.md). Pour plus d’informations sur la configuration du VPC, consultez [Démarrer avec Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/GetStarted.html) dans le *Guide de mise en route Amazon VPC*.
+ **Vous pouvez configurer les options d’accessibilité (facultatif).**
Les clusters alloués et les groupes de travail sans serveur dans Amazon Redshift sont privés par défaut. Si vous configurez votre cluster alloué ou groupe de travail sans serveur pour qu’il soit accessible au public, Amazon Redshift utilise une adresse IP Elastic pour l’adresse IP externe. Une adresse IP Elastic est une adresse IP statique. Elle vous permet de modifier votre configuration sous-jacente sans affecter l’adresse IP que les clients utilisent pour se connecter. Cette approche peut être utile pour des situations telles que la récupération après une défaillance. La création d’une adresse IP Elastic dépend de vos paramètres de relocalisation de la zone de disponibilité. Deux options s’offrent à vous :
1. Si la relocalisation de la zone de disponibilité est activée et que vous souhaitez activer l’accès public, vous ne devez pas spécifier d’adresse IP Elastic. Une adresse IP Elastic gérée par Amazon Redshift est attribuée. Elle est associée à votre compte AWS .
1. Si vous avez désactivé la relocalisation de la zone de disponibilité et que vous souhaitez activer l’accès public, vous pouvez choisir de créer une adresse IP Elastic pour le VPC dans Amazon EC2 avant de lancer votre cluster ou groupe de travail Amazon Redshift. Si vous ne créez pas d’adresse IP, Amazon Redshift fournit une adresse IP Elastic configurée à utiliser pour le VPC. Cette adresse IP élastique est gérée par Amazon Redshift et n'est pas associée à votre AWS compte.
Pour plus d’informations, consultez la rubrique [Adresses IP Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) dans le *Guide de l’utilisateur Amazon EC2*.
Dans certains cas, vous pouvez avoir un cluster accessible publiquement dans un VPC auquel vous souhaitez le connecter en utilisant l’adresse IP privée depuis le VPC. Le cas échéant, définissez les paramètres de VPC suivants sur `true` :
+ `DNS resolution`
+ `DNS hostnames`
Notez qu’avec Amazon Redshift sans serveur, vous ne pouvez pas vous connecter de cette manière.
Supposons que vous ayez un cluster alloué accessible publiquement dans un VPC, mais que vous ne définissiez pas ces paramètres sur `true` dans le VPC. Le cas échéant, les connexions effectuées depuis le VPC résolvent l’adresse IP Elastic des ressources au lieu de l’adresse IP privée. Nous vous recommandons de définir ces paramètres sur `true` et d’utiliser l’adresse IP privée pour un cluster accessible publiquement lors de la connexion depuis le VPC. Pour plus d’informations, consultez [Utilisation de DNS avec votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) dans le *Amazon VPC Guide de l’utilisateur*.
**Note**
Si vous disposez d’un cluster accessible publiquement existant dans un VPC, les connexions depuis le VPC continuent d’utiliser l’adresse IP Elastic pour se connecter au cluster jusqu’à ce qu’il soit redimensionné s’il s’agit d’un cluster alloué. Cela se produit même avec l’ensemble de paramètres précédent. Les nouveaux clusters créés suivent le nouveau comportement consistant à utiliser l’adresse IP privée lors de la connexion au cluster accessible publiquement depuis le même VPC.
L’adresse IP Elastic est une adresse IP externe qui permet d’accéder à une ressource en dehors d’un VPC. Pour un cluster alloué, elle n’est pas liée aux **adresses IP publiques** ni aux **adresses IP privées** qui sont affichées dans la console Amazon Redshift sous **Adresses IP du nœud**. Les adresses IP de nœud de cluster publiques et privées nœud s’affichent, que le cluster soit accessible ou non. Elles sont utilisées dans certaines circonstances pour configurer les règles d’entrée sur l’hôte distant. Ces circonstances ont lieu lorsque vous chargez des données depuis une instance Amazon EC2 ou un autre hôte distant à l’aide d’une connexion SSH (Secure Shell). Pour plus d’informations, consultez [Étape 1 : Récupérer la clé publique de cluster et les adresses IP de nœud de cluster](https://docs.aws.amazon.com/redshift/latest/dg/loading-data-from-remote-hosts.html#load-from-host-steps-retrieve-key-and-ips) dans le *Manuel du développeur de base de données Amazon Redshift.*
**Note**
Les adresses IP de nœud ne s’appliquent pas à un groupe de travail Redshift sans serveur.
L’option permettant d’associer un cluster alloué à une adresse IP Elastic est disponible lorsque vous créez le cluster ou que vous restaurez le cluster à partir d’un instantané. Dans certains cas, vous pouvez avoir besoin d’associer le cluster à une adresse IP Elastic ou de modifier une adresse IP Elastic qui est associée au cluster. Pour attacher une adresse IP élastique après la création du cluster, mettez d’abord à jour le cluster afin qu’il ne soit pas accessible au public, puis rendez-le accessible au public et ajoutez une adresse IP élastique au cours de la même opération.
Pour plus d’informations sur la façon de rendre un cluster alloué ou un groupe de travail Amazon Redshift sans serveur accessible au public et d’attribuer une adresse IP Elastic, consultez [Accessibilité publique avec une configuration de groupe de sécurité par défaut ou personnalisée](https://docs.aws.amazon.com/redshift/latest/mgmt/rs-security-group-public-private.html#rs-security-group-public-default).
+ **Associer un groupe de sécurité VPC.**
Vous accordez l’accès entrant à l’aide d’un groupe de sécurité VPC. Pour plus d’informations, consultez [Configuration des paramètres de communication des groupes de sécurité pour les clusters Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/rs-security-group-public-private.html), qui fournit des conseils sur la configuration des règles entrantes et sortantes entre un client et un cluster provisionné ou un groupe de travail Amazon Redshift sans serveur. Une autre ressource qui vous aide à comprendre les groupes de sécurité est [Sécurité de votre VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html) dans le *Guide de l’utilisateur Amazon VPC*.
**Restauration d’un instantané d’un cluster alloué ou d’un groupe de travail sans serveur dans un VPC**
Un instantané d’un cluster ou d’un groupe de travail sans serveur dans un VPC peut être restauré uniquement dans un VPC, pas en dehors du VPC. Vous pouvez le restaurer dans le même VPC ou dans un autre VPC de votre compte. Pour plus d’informations sur les instantanés, consultez [Instantanés et sauvegardes Amazon Redshift](working-with-snapshots.md).
# Création d’un cluster alloué Amazon Redshift ou d’un groupe de travail Amazon Redshift sans serveur dans un VPC
Voici les grandes étapes que vous devez suivre pour déployer un cluster ou un groupe de travail dans votre cloud privé virtuel (VPC).
**Pour créer un cluster ou un groupe de travail sans serveur dans un VPC**
1. Configurer un VPC : cous pouvez créer vos ressources Redshift dans le VPC par défaut pour votre compte, si votre compte en a un, ou dans un VPC que vous avez créé. Pour plus d’informations, consultez [Utiliser EC2 pour créer votre cluster](working-with-clusters.md#cluster-platforms). Pour créer un VPC, consultez [Sous-réseaux de votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) dans le *Guide de l’utilisateur Amazon VPC*. Prenez note de l’identificateur de VPC, du sous-réseau et de la zone de disponibilité du sous-réseau. Vous avez besoin de ces informations au moment du lancement de votre cluster ou groupe de travail.
**Note**
Vous devez disposer d’au moins un sous-réseau défini dans votre VPC afin de l’ajouter au groupe de sous-réseaux à la prochaine étape. Pour en savoir plus sur l’ajout d’un sous-réseau à votre VPC, consultez [Ajout d’un sous-réseau à votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html) dans le *Guide de l’utilisateur Amazon VPC*.
1. Créez un groupe de sous-réseau de cluster Amazon Redshift pour spécifier quel sous-réseau votre cluster Amazon Redshift peut utiliser dans le VPC. Pour Redshift sans serveur, vous ne créez pas de groupe de sous-réseaux, mais vous attribuez plutôt un ensemble de sous-réseaux à votre groupe de travail lorsque vous le créez. Vous pouvez effectuer cette opération dans le **Tableau de bord sans serveur** lorsque vous créez un groupe de travail.
Vous pouvez créer un groupe de sous-réseaux à l’aide de la console Amazon Redshift ou par programmation. Pour plus d’informations, consultez [Sous-réseaux pour les ressources Redshift](working-with-cluster-subnet-groups.md).
1. Autorisez l’accès aux connexions entrantes dans un groupe de sécurité VPC que vous associez au cluster ou au groupe de travail. Vous pouvez activer un client en dehors du VPC (sur l’Internet public) pour la connexion au cluster. Pour cela, vous associez le cluster à un groupe de sécurité VPC qui octroie l’accès entrant. Pour plus d’informations, consultez [Configuration des paramètres de communication des groupes de sécurité pour un cluster Amazon Redshift ou un groupe de travail Amazon Redshift sans serveur](rs-security-group-public-private.md).
1. Suivez les étapes pour créer un cluster dans la console allouée Redshift ou un groupe de travail dans la console Amazon Redshift sans serveur. Dans **Réseau et sécurité**, spécifiez le **cloud privé virtuel (VPC)**, le **groupe de sous-réseaux du cluster** et le **groupe de sécurité du VPC** que vous avez configurés.
Pour une présentation détaillée des étapes à suivre pour créer un cluster alloué d’entrepôts de donnée, consultez la section [Commencer avec les entrepôts de données alloués Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/new-user.html) dans le *Guide de démarrage Amazon Redshift.* Pour plus d’informations sur la création d’un groupe de travail Amazon Redshift sans serveur, consultez [Commencer avec les entrepôts de données Amazon Redshift sans serveur](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html) dans le *Guide de démarrage Amazon Redshift*.
Vous pouvez suivre les étapes de mise en route pour tester le cluster ou le groupe de travail, par exemple en chargeant des exemples de données et en essayant d’exécuter des exemples de requêtes. Pour plus d’informations, consultez [Commencer avec les entrepôts de données Amazon Redshift sans serveur](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-launch-sample-cluster.html) dans le *Guide de démarrage Amazon Redshift*.
# Groupes de sécurité VPC
Lorsque vous provisionnez un cluster Amazon Redshift ou un groupe de travail Amazon Redshift sans serveur, l’accès est restreint par défaut afin que personne n’y ait accès. Pour autoriser l’accès entrant à d’autres utilisateurs, associez-le à un groupe de sécurité. Si vous êtes sur la plateforme EC2-VPC, vous pouvez utiliser un groupe de sécurité Amazon Redshift existant ou en définir un nouveau. Vous l’associez ensuite à un cluster ou un groupe de travail tel que décrit ci-après. Si vous vous trouvez sur la plateforme EC2-Classic, définissez un groupe de sécurité et associez-le à votre cluster ou groupe de travail. Pour plus d’informations sur l’utilisation des groupes de sécurité sur la plateforme EC2-Classic, consultez [Groupes de sécurité Amazon Redshift](security-network-isolation.md#working-with-security-groups).
Un groupe de sécurité VPC se compose d’un ensemble de règles qui contrôlent l’accès à une instance du VPC, tel que votre cluster. Des règles individuelles définissent l’accès en fonction de plages d’adresses IP ou sur d’autres groupes de sécurité VPC. Lorsque vous associez un groupe de sécurité VPC à un cluster ou un groupe de travail, les règles définies dans le groupe de sécurité VPC contrôlent l’accès.
Chaque cluster que vous allouez sur la plateforme EC2-VPC dispose d’un ou de plusieurs groupes de sécurité Amazon VPC associés à celle-ci. Amazon VPC fournit un groupe de sécurité VPC appelé default, qui est créé automatiquement lorsque vous créez le VPC. Chaque cluster que vous lancez dans le VPC est automatiquement associé au groupe de sécurité VPC par défaut si vous ne spécifiez pas un autre groupe de sécurité VPC lors de la création de vos ressources Redshift. Vous pouvez associer un groupe de sécurité VPC à un cluster lorsque vous créez le cluster ou vous pouvez associer un groupe de sécurité VPC ultérieurement en modifiant le cluster.
La capture d’écran ci-après montre les règles par défaut pour le groupe de sécurité VPC par défaut.
![\[La table montre les règles entrantes et sortantes pour les groupes de sécurité. Chaque règle possède une source ou une destination, un protocole, une plage de ports et des commentaires.\]](http://docs.aws.amazon.com/fr_fr/redshift/latest/mgmt/images/security_groups.png)
Vous pouvez modifier les règles du groupe de sécurité VPC par défaut en fonction des besoins.
Si le groupe de sécurité VPC par défaut vous suffit, vous n’avez pas besoin d’en créer un autre. Cependant, vous pouvez éventuellement créer des groupes de sécurité VPC supplémentaires pour mieux gérer l’accès entrant. Par exemple, supposons que vous exécutiez un service sur un cluster Amazon Redshift ou un groupe de travail sans serveur et que vous ayez plusieurs niveaux de service distincts à fournir à vos clients. Si vous ne voulez pas fournir le même accès à tous les niveaux de service, vous pouvez créer des groupes de sécurité VPC distincts, un par niveau de service. Vous pouvez ensuite associer ces groupes de sécurité VPC à votre cluster ou vos groupes de travail.
Vous pouvez créer jusqu’à 100 groupes de sécurité VPC pour un VPC et associer un groupe de sécurité VPC à plusieurs clusters et groupes de travail. Notez toutefois que le nombre de groupes de sécurité VPC que vous pouvez associer à un cluster ou un groupe de travail est limité.
Amazon Redshift applique immédiatement les modifications à un groupe de sécurité VPC. Donc, si vous avez associé le groupe de sécurité VPC à un cluster, les règles d’accès au cluster entrant dans le groupe de sécurité VPC mis à jour s’appliquent immédiatement.
Vous pouvez créer et modifier des groupes de sécurité VPC à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Vous pouvez également gérer les groupes de sécurité VPC par programmation à l'aide de la CLI AWS CLI Amazon EC2 et du. AWS Tools for Windows PowerShell Pour plus d’informations sur l’utilisation des groupes de sécurité VPC, consultez [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) dans le *Guide de l’utilisateur Amazon VPC*.
# Configuration des paramètres de communication des groupes de sécurité pour un cluster Amazon Redshift ou un groupe de travail Amazon Redshift sans serveur
Cette rubrique vous aide à configurer vos groupes de sécurité afin d’acheminer et de recevoir le trafic réseau de manière appropriée. Voici quelques cas d’utilisation courants :
+ Vous activez l’accès public pour un cluster Amazon Redshift ou un groupe de travail Amazon Redshift sans serveur, mais celui-ci ne reçoit pas de trafic. Pour cela, vous devez configurer une règle entrante pour autoriser le trafic à y accéder depuis Internet.
+ Votre cluster ou groupe de travail n’est pas publiquement accessible, et vous utilisez le groupe de sécurité du VPC pré-configuré par défaut de Redshift pour autoriser le trafic entrant. Or, vous êtes tenu d’utiliser un groupe de sécurité différent de celui par défaut, et ce groupe de sécurité personnalisé n’autorise pas le trafic entrant. Vous devez le configurer pour autoriser la communication.
Les sections suivantes vous aident à choisir la bonne réponse pour chaque cas d’utilisation et vous montrent comment configurer le trafic réseau selon vos besoins. Vous pouvez éventuellement suivre les étapes permettant de configurer la communication à partir d’autres groupes de sécurité privés.
**Note**
Dans la plupart des cas, les paramètres de trafic réseau ne sont pas configurés automatiquement dans Amazon Redshift. Cela est dû au fait qu’ils peuvent varier à un niveau granulaire, selon que le trafic provient d’Internet ou d’un groupe de sécurité privé, et que les exigences de sécurité varient.
## Accessibilité à tous avec une configuration de groupe de sécurité par défaut ou personnalisée
Si vous créez un cluster ou que vous possédez déjà un cluster ou un groupe de travail, effectuez les étapes de configuration suivantes pour le rendre accessible à tous. Vous devez suivre cette procédure, que vous optiez pour le groupe de sécurité par défaut ou pour un groupe de sécurité personnalisé :
1. Trouvez les paramètres réseau :
+ Pour un cluster Amazon Redshift provisionné, choisissez l’onglet **Propriétés**, puis sous **Paramètres réseau et sécurité**, sélectionnez le VPC pour votre cluster.
+ Pour un groupe de travail Amazon Redshift sans serveur, choisissez **Configuration de groupe de travail**. Choisissez le groupe de travail dans la liste. Ensuite, sous **Accès aux données**, dans le panneau **Réseau et sécurité**, choisissez **Modifier**.
1. Configurez la passerelle Internet et la table de routage pour votre VPC. Vous démarrez la configuration en choisissant le nom du VPC. Cela ouvre le tableau de bord du VPC. Pour se connecter à un cluster ou à un groupe de travail accessible à tous depuis Internet, une passerelle Internet doit être attachée à la table de routage. Vous pouvez le configurer en choisissant **Tables de routage** dans le tableau de bord du VPC. Vérifiez que la cible de la passerelle Internet est définie sur la source 0.0.0.0/0 ou sur une adresse IP publique CIDR. La table de routage doit être associée au VPC où réside votre cluster. Pour plus d’informations sur la configuration de l’accès Internet pour un VPC, comme décrit ici, consultez [Activer l’accès Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#vpc-igw-internet-access) dans la documentation relative à Amazon VPC. Pour en savoir plus sur la configuration d’une table de routage, consultez [Configuration des tables de routage](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html).
1. Après avoir configuré la passerelle Internet et la table de routage, revenez aux paramètres réseau pour Redshift. Ouvrez l’accès entrant en choisissant le groupe de sécurité, puis **Règles entrantes**. Choisissez **Modifier les règles entrantes**.
1. Choisissez le **Protocole** et le **Port** pour la ou les règles entrantes, selon vos besoins, afin d’autoriser le trafic depuis des clients. Pour un RA3 cluster, sélectionnez un port compris entre 5431 et 5455 ou 8191 à 8215. Lorsque vous avez terminé, enregistrez chaque règle.
1. Modifiez le paramètre **Accessible à tous** pour l’activer. Pour ce faire, vous pouvez passer par le menu **Actions** de votre cluster ou groupe de travail.
Lorsque vous activez le paramètre Accessible publiquement, Redshift crée une adresse IP élastique. Il s'agit d'une adresse IP statique associée à votre AWS compte. Les clients extérieurs au VPC peuvent l’utiliser pour se connecter.
Pour en savoir plus sur la configuration de votre groupe de sécurité, consultez [Groupes de sécurité Amazon Redshift](security-network-isolation.md#working-with-security-groups).
Vous pouvez tester vos règles en vous connectant à un client. Effectuez les opérations suivantes si vous vous connectez à Amazon Redshift sans serveur. Une fois la configuration réseau terminée, connectez-vous à votre outil client, tel qu’[Amazon Redshift RSQL](https://docs.aws.amazon.com/redshift/latest/mgmt/rsql-query-tool.html). En utilisant votre domaine Amazon Redshift sans serveur comme hôte, saisissez les informations suivantes :
```
rsql -h workgroup-name.account-id.region.amazonaws.com -U admin -d dev -p 5439
```
## Accessibilité privée avec une configuration de groupe de sécurité par défaut ou personnalisée
Lorsque vous ne communiquez pas via Internet avec votre cluster ou votre groupe de travail, on parle d’accès *privé*. Si vous avez choisi le groupe de sécurité par défaut lors de sa création, celui-ci inclut les règles de communication par défaut suivantes :
+ Règle entrante qui autorise le trafic de toutes les ressources attribuées au groupe de sécurité.
+ Règle sortante qui autorise tout le trafic sortant. La destination de cette règle est 0.0.0.0/0. En notation Routage inter-domaines sans classe (CIDR), il représente toutes les adresses IP possibles.
Vous pouvez consulter les règles dans la console en sélectionnant le groupe de sécurité pour votre cluster ou groupe de travail.
Si votre cluster ou groupe de travail et le client utilisent tous deux le groupe de sécurité par défaut, aucune configuration supplémentaire n’est nécessaire pour autoriser le trafic réseau. Mais si vous supprimez ou modifiez des règles du groupe de sécurité par défaut pour Redshift ou le client, cela ne s’applique plus. Dans ce cas, vous devez configurer des règles pour autoriser les communications entrantes et sortantes. Une configuration de groupe de sécurité courante est la suivante :
+ Pour une instance Amazon EC2 cliente :
+ Règle entrante qui autorise l’adresse IP du client.
+ Règle sortante qui autorise la plage d’adresses IP (bloc d’adresse CIDR) de tous les sous-réseaux fournis pour l’utilisation de Redshift. Vous pouvez également spécifier 0.0.0.0/0, qui correspond à toutes les plages d’adresses IP.
+ Pour votre cluster ou groupe de travail Redshift :
+ Règle entrante qui autorise le groupe de sécurité du client.
+ Règle sortante qui autorise le trafic vers 0.0.0.0/0. Généralement, la règle sortante autorise tout le trafic sortant. Vous pouvez éventuellement ajouter une règle sortante pour autoriser le trafic vers le groupe de sécurité du client. Dans ce cas facultatif, une règle sortante n’est pas toujours requise, car le trafic de réponse pour chaque demande est autorisé à atteindre l’instance. Pour plus de détails concernant le comportement des demandes et des réponses, consultez [Groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html) dans le *Guide de l’utilisateur Amazon VPC*.
Si vous modifiez la configuration de sous-réseaux ou de groupes de sécurité spécifiés pour l’utilisation de Redshift, vous devrez peut-être modifier les règles de trafic en conséquence pour maintenir la communication ouverte. Pour plus d’informations sur la création de règles entrantes et sortantes, consultez [Blocs CIDR VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) dans le *Guide de l’utilisateur Amazon VPC*. Pour plus d’informations sur la connexion à Amazon Redshift depuis un client, consultez [Configuration des connexions dans Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/configuring-connections.html).
# Sous-réseaux pour les ressources Redshift
Vous créez un groupe de sous-réseaux si vous créez un cluster provisionné dans un cloud privé virtuel (VPC). Chaque VPC peut disposer d’un ou de plusieurs sous-réseaux, qui sont des sous-ensemble d’adresses IP au sein de votre VPC qui vous permettent de regrouper vos ressources en fonction de vos besoins en sécurité et en fonctionnement. Vous créez un groupe de sous-réseaux pour spécifier un ensemble de sous-réseaux dans votre VPC lorsque vous créez un cluster alloué. Dans le **Tableau de bord des clusters alloués**, vous pouvez rechercher et modifier des groupes de sous-réseaux de clusters sous **Configurations.** Lors de la configuration initiale d’un cluster alloué, vous spécifiez le groupe de sous-réseaux et Amazon Redshift crée le cluster dans l’un de ses sous-réseaux. Pour de plus amples informations sur le service VPC, consultez la page de détails du produit [Amazon VPC](https://aws.amazon.com/vpc/).
La configuration du sous-réseau d’un groupe de travail Amazon Redshift sans serveur est similaire à celle d’un cluster alloué, mais les étapes sont légèrement différentes. Lorsque vous créez et configurez un groupe de travail sans serveur, vous spécifiez des sous-réseaux pour le groupe de travail et ils sont ajoutés à une liste. Vous pouvez afficher les sous-réseaux d’un groupe de travail existant en sélectionnant les propriétés du groupe de travail dans le **Tableau de bord sans serveur.** Ils sont disponibles dans les propriétés **Réseau et sécurité**. Pour plus d’informations, consultez [Création d’un groupe de travail avec un espace de noms](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups-create-workgroup-wizard.html).
Pour plus d’informations sur la création d’un VPC, consultez la documentation du [Guide de l’utilisateur Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).
Après avoir créé un groupe de sous-réseaux pour un cluster alloué ou choisi des sous-réseaux pour un groupe de travail sans serveur, il est possible de supprimer des sous-réseaux précédemment ajoutés ou d’en ajouter d’autres. Vous pouvez effectuer ces modifications à l’aide de la console ou des opérations d’API. Pour plus d'informations sur les opérations d'API pour un cluster provisionné, consultez [ModifyClusterSubnetGroup](https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyClusterSubnetGroup.html). Pour les opérations d'API pour un groupe de travail sans serveur, consultez. [UpdateWorkgroup](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateWorkgroup.html)
Vous pouvez allouer un cluster sur l’un des sous-réseaux du groupe de sous-réseaux. Un groupe de sous-réseaux de cluster vous permet de spécifier un ensemble de sous-réseaux dans votre VPC.
**Avertissement**
Lors des opérations de maintenance du cluster telles que le redimensionnement classique, la pause et la reprise, les basculements multi-AZ ou d’autres événements, vos nœuds de calcul alloués peuvent être déplacés vers un autre sous-réseau au sein de votre groupe de sous-réseaux de clusters Amazon Redshift. Notez que tous les sous-réseaux d’un groupe de sous-réseaux doivent avoir les mêmes règles d’ACL réseau entrantes et sortantes et les mêmes chemins de table de routage. Cela garantit la connectivité vers et depuis les ressources informatiques d’Amazon Redshift, afin qu’elles puissent communiquer et fonctionner de manière optimale après de tels événements de maintenance. Évitez d’ajouter des sous-réseaux avec différentes configurations d’ACL ou de table de routage au même groupe de sous-réseaux du cluster Amazon Redshift.
Pour plus d’informations sur la configuration des sous-réseaux, consultez [Sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) pour votre VPC dans le Guide de l’utilisateur Amazon VPC. Pour plus d’informations sur les déploiements Multi-AZ Redshift, consultez [déploiement multi-AZ](managing-cluster-multi-az.md) le Guide de gestion Redshift. [Redimensionnement d’un cluster](resizing-cluster.md) est également abordé dans le Guide de gestion de Redshift.
# Création d'un groupe de sous-réseaux de cluster.
La procédure suivante vous indique comment créer un groupe de sous-réseaux pour un cluster alloué. Vous devez disposer d'au moins un groupe de sous-réseaux défini pour mettre en service un cluster dans un VPC.
**Pour créer un groupe de sous-réseaux de cluster pour un cluster alloué**
1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Dans le menu de navigation, choisissez **Configurations**, puis choisissez **Subnet groups (Groupes de sous-réseaux**. La liste des groupes de sous-réseaux s’affiche.
1. Choisissez **Create cluster subnet group (Créer un groupe de sous-réseaux de cluster)** pour afficher la page de création.
1. Entrez les informations du groupe de sous-réseaux, notamment les sous-réseaux à ajouter.
1. Choisissez **Create cluster subnet group (Créer un groupe de sous-réseaux de cluster)** pour créer le groupe avec les sous-réseaux que vous avez choisis.
**Note**
Pour plus d’informations sur la création d’un groupe de travail Amazon Redshift sans serveur avec un ensemble de sous-réseaux, consultez [Création d’un groupe de travail avec un espace de noms](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups-create-workgroup-wizard.html) ou [Création d’un sous-réseau](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) dans le Guide de l’utilisateur Amazon VPC.
# Modification d'un groupe de sous-réseaux de cluster
Après avoir créé un groupe de sous-réseaux, vous pouvez modifier ses informations sur la console Amazon Redshift. La procédure suivante explique comment modifier un groupe de sous-réseaux pour un cluster alloué.
**Pour modifier un groupe de sous-réseaux de cluster pour un cluster alloué**
1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Dans le menu de navigation, choisissez **Configurations**, puis choisissez **Subnet groups (Groupes de sous-réseaux**. La liste des groupes de sous-réseaux s’affiche.
1. Choisissez le groupe de sous-réseaux à modifier.
1. Pour **Actions**, choisissez **Modify (Modifier)** pour afficher les détails du groupe de sous-réseaux.
1. Mettez à jour les informations du groupe de sous-réseaux.
1. Choisissez **Save (Enregistrer)** pour modifier le groupe.
Dans certains cas, la modification ou la suppression de sous-réseaux nécessite des étapes supplémentaires. Par exemple, cet article du Centre de connaissances AWS , intitulé [Comment déplacer mon cluster Amazon Redshift provisionné vers un autre sous-réseau ?](https://repost.aws//knowledge-center/redshift-move-subnet), décrit un cas d'utilisation qui couvre le déplacement d'un cluster.
# Suppression d’un groupe de sous-réseaux de cluster pour un cluster alloué
Lorsque vous avez terminé d’utiliser un groupe de sous-réseaux de cluster, vous devez le nettoyer en supprimant le groupe. La procédure suivante vous indique comment supprimer un groupe de sous-réseaux pour un cluster alloué.
**Pour supprimer un groupe de sous-réseaux de cluster**
1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Dans le menu de navigation, choisissez **Configurations**, puis choisissez **Subnet groups (Groupes de sous-réseaux**. La liste des groupes de sous-réseaux s’affiche.
1. Choisissez le groupe de sous-réseaux à supprimer, puis choisissez **Delete (Supprimer)**.
**Note**
Vous ne pouvez pas supprimer un groupe de sous-réseaux de cluster utilisé par un cluster.
# Blocage de l'accès public aux sous-réseaux VPCs et aux sous-réseaux
L'accès public par blocage VPC (BPA) est une fonctionnalité de sécurité centralisée que vous pouvez utiliser pour empêcher les ressources VPCs et les sous-réseaux que vous possédez d'accéder à Internet ou d'être accessibles Région AWS depuis Internet via des passerelles Internet et des passerelles Internet de sortie uniquement. Si vous activez cette fonctionnalité dans un Compte AWS, elle aura, par défaut, un impact sur tout VPC ou sous-réseau utilisé par Amazon Redshift. Cela signifie qu’Amazon Redshift bloque toutes les opérations au public.
Lorsque le BPA VPC est activé et que vous souhaitez utiliser les API Amazon Redshift sur Internet public, vous devez ajouter une exclusion pour l'utilisation d'Amazon EC2 pour votre VPC ou votre sous-réseau. APIs Les exclusions peuvent avoir l’un des modes suivants :
+ **Bidirectionnel** : tout le trafic Internet à destination et en provenance des sous-réseaux exclus VPCs est autorisé.
+ **Sortie uniquement :** le trafic Internet sortant des sous-réseaux exclus est autorisé VPCs . Le trafic Internet entrant vers les sous-réseaux exclus VPCs est bloqué. Cela ne s’applique que lorsque la fonctionnalité BPA est réglée sur bidirectionnel.
Les exclusions BPA d’un VPC désignent un VPC entier ou un sous-réseau spécifique au sein d’un VPC comme étant accessible au public. Les interfaces réseau situées à l'intérieur de cette limite respectent les contrôles réseau VPC habituels, tels que les groupes de sécurité, les tables de routage et le réseau ACLs, pour déterminer si cette interface dispose d'un itinéraire et d'un accès à l'Internet public. Pour plus d’informations sur l’ajout d’exclusions, consultez [Créer et supprimer des exclusions](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) dans le *Guide de l’utilisateur Amazon VPC*.
**Clusters alloués**
Un groupe de sous-réseaux est une combinaison de sous-réseaux provenant du même VPC. Si un groupe de sous-réseaux pour un cluster alloué se trouve dans un compte sur lequel le VPC BPA est activé, les fonctionnalités suivantes sont bloquées :
+ Création d’un cluster public
+ Restauration d’un cluster public
+ Modification d’un cluster privé pour en faire un cluster public
+ Ajout d’un sous-réseau avec VPC BPA activé au groupe de sous-réseaux lorsqu’il existe au moins un cluster public au sein du groupe
**Clusters sans serveur**
Redshift sans serveur n’utilise pas de groupes de sous-réseaux. Au lieu de cela, chaque cluster possède son propre ensemble de sous-réseaux. Si un groupe de travail possède un compte sur lequel le VPC BPA est activé, les fonctionnalités suivantes sont bloquées :
+ Création d’un groupe de travail accessible au public
+ Modification d’un groupe de travail privé en groupe de travail public
+ Ajout d’un sous-réseau avec VPC BPA activé au groupe de travail lorsque celui-ci est public
# Contrôle du trafic réseau avec le routage VPC amélioré Redshift
Lorsque vous utilisez le routage VPC amélioré Amazon Redshift, Amazon Redshift force l'ensemble du trafic [COPY](https://docs.aws.amazon.com/redshift/latest/dg/r_COPY.html) et [UNLOAD](https://docs.aws.amazon.com/redshift/latest/dg/r_UNLOAD.html) entre votre cluster et vos référentiels de données à traverser votre VPC basé sur le service Amazon VPC. *En utilisant le routage VPC amélioré, vous pouvez utiliser les fonctionnalités VPC standard, telles que les [groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) VPC, les [listes de contrôle d'accès réseau (), les points de terminaison ACLs VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html)[, les politiques de point de terminaison VPC,](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) [les [passerelles Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) et les [serveurs DNS (Domain Name System)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html), comme décrit dans le guide de l'utilisateur Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3).* Ces fonctions vous permettent de contrôle le flux de données entre votre cluster Amazon Redshift et d’autres ressources. Lorsque vous utilisez le routage VPC amélioré pour acheminer le trafic via votre VPC, vous pouvez également utiliser les [journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) pour surveiller le trafic COPY et UNLOAD.
Les clusters Amazon Redshift et les groupes de travail Amazon Redshift sans serveur prennent en charge le routage VPC amélioré. Vous ne pouvez pas utiliser le routage VPC amélioré avec Redshift Spectrum. Pour de plus amples informations, veuillez consulter [Accès aux compartiments Amazon S3 avec Redshift Spectrum](spectrum-enhanced-vpc.md).
Si le routage VPC amélioré n'est pas activé, Amazon Redshift achemine le trafic via Internet, y compris le trafic vers d'autres services du réseau. AWS
**Important**
Comme le routage VPC amélioré affecte la façon dont Amazon Redshift accède à d'autres ressources, les commandes COPY et UNLOAD peuvent échouer, sauf si vous configurez votre VPC correctement. Vous devez créer spécifiquement un chemin d'accès réseau entre le VPC de votre cluster et vos ressources de données, comme décrit ci-après.
Lorsque vous exécutez une commande COPY ou UNLOAD sur un cluster dont le routage VPC amélioré est activé, votre VPC achemine le trafic vers la ressource spécifiée via le chemin d'accès réseau disponible, *le plus strict* ou le plus spécifique.
Par exemple, vous pouvez configurer les chemins suivants dans votre VPC :
+ **Points de terminaison VPC** : pour le trafic vers un compartiment Amazon S3 situé dans la même AWS région que votre cluster ou groupe de travail, vous pouvez créer un point de terminaison VPC pour diriger le trafic directement vers le compartiment. Lorsque vous utilisez des points de terminaison d'un VPC, vous pouvez attacher une politique de point de terminaison pour gérer l'accès à Amazon S3. Pour plus d’informations sur l’utilisation des points de terminaison avec Amazon Redshift, consultez [Contrôle du trafic de base de données avec les points de terminaison d’un VPC](enhanced-vpc-working-with-endpoints.md). Si vous utilisez Lake Formation, vous trouverez plus d'informations sur l'établissement d'une connexion privée entre votre VPC et AWS Lake Formation au niveau des points de [AWS terminaison du VPC](https://docs.aws.amazon.com/lake-formation/latest/dg/privatelink.html) d'interface ().AWS PrivateLink
**Note**
Lorsque vous utilisez des points de terminaison VPC Redshift avec des points de terminaison d’une passerelle VPC Amazon S3, vous devez activer le routage VPC amélioré dans Redshift. Pour plus d’informations, consultez [Points de terminaison de passerelle pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html).
+ **Passerelle NAT** : vous pouvez vous connecter à un compartiment Amazon S3 dans une autre AWS région et vous pouvez vous connecter à un autre service du AWS réseau. Vous pouvez également accéder à une instance hôte en dehors du AWS réseau. Pour ce faire, configurez une [passerelle de traduction d'adresses réseau (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), comme décrit dans le *guide de l'utilisateur Amazon VPC.*
+ **Passerelle Internet** : pour vous connecter aux services AWS en dehors de votre VPC, vous pouvez attacher une [Passerelle Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) à votre sous-réseau VPC, comme décrit dans le *Guide de l'utilisateur Amazon VPC.* Pour utiliser une passerelle Internet, votre cluster ou groupe de travail doit avoir une adresse IP publiquement accessible afin que d’autres services puissent communiquer avec lui.
Pour de plus amples informations, consultez [Points de terminaison VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) dans le Guide de l'utilisateur Amazon VPC.
L'utilisation du routage VPC amélioré n'implique aucun coût supplémentaire. Des frais de transfert de données supplémentaires peuvent être appliqués pour certaines opérations, Il s'agit notamment d'opérations telles que UNLOAD vers Amazon S3 dans une autre AWS région. ou COPY depuis Amazon EMR ou SSH avec des adresses IP publiques. Pour plus d’informations sur la tarification, consultez [Tarification d’Amazon EC2](https://aws.amazon.com/ec2/pricing/).
**Topics**
+ [Contrôle du trafic de base de données avec les points de terminaison d’un VPC](enhanced-vpc-working-with-endpoints.md)
+ [Activation du routage VPC amélioré](enhanced-vpc-enabling-cluster.md)
+ [Accès aux compartiments Amazon S3 avec Redshift Spectrum](spectrum-enhanced-vpc.md)
# Contrôle du trafic de base de données avec les points de terminaison d’un VPC
Vous pouvez utiliser un point de terminaison d’un VPC pour créer une connexion gérée entre votre cluster Amazon Redshift ou groupe de travail sans serveur situé dans un VPC et Amazon Simple Storage Service (Amazon S3). Lorsque vous procédez ainsi, le trafic COPY et UNLOAD entre votre base de données et vos données sur Amazon S3 reste dans votre Amazon VPC. Vous pouvez lier une politique de point de terminaison à votre point de terminaison pour gérer de plus près l'accès à vos données. Par exemple, vous pouvez ajouter une politique à votre point de terminaison d'un VPC qui autorise le déchargement des données uniquement vers un compartiment Amazon S3 spécifique de votre compte.
Pour utiliser les points de terminaison d'un VPC, créez un point de terminaison d'un VPC pour le VPC dans lequel votre entrepôt des données se trouve, puis activez le routage VPC amélioré. Vous pouvez activer le routage VPC amélioré lorsque vous créez votre cluster ou votre groupe de travail, ou vous pouvez modifier un cluster ou un groupe de travail dans un VPC pour utiliser le routage VPC amélioré.
Un point de terminaison d'un VPC utilise des tables de routage pour contrôler le routage du trafic entre un cluster ou un groupe de travail dans le VPC et dans Amazon S3. Tous les clusters et les groupes de travail dans des sous-réseaux associés aux tables de routage spécifiées utilisent automatiquement ce point de terminaison pour accéder au service.
Votre VPC utilise le chemin le plus spécifique ou le plus restrictif, qui correspond à votre trafic pour déterminer comment acheminer le trafic. Imaginons par exemple que vous avez un acheminement existant dans votre table de routage pour tout le trafic Internet (0.0.0.0/0) ; cet acheminement pointe vers une Passerelle Internet et un point de terminaison Amazon S3. Dans ce cas, l'acheminement du point de terminaison est prioritaire sur tout le trafic destiné au service Amazon S3 puisque la plage d'adresses IP pour le service Amazon S3 est plus spécifique que 0.0.0.0/0. Dans cet exemple, tout le trafic Internet restant est acheminé vers votre passerelle Internet, y compris le trafic destiné aux compartiments Amazon S3 dans d'autres Régions AWS.
Pour obtenir plus d'informations sur la création de points de terminaison, consultez la section [Create a VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (Créer un point de terminaison VPC) dans le *Guide de l'utilisateur Amazon VPC*.
Vous utilisez les politiques de point de terminaison pour contrôler l'accès depuis votre cluster ou votre groupe de travail aux compartiments Amazon S3 qui contiennent vos fichiers de données. Pour un contrôle plus spécifique, vous pouvez éventuellement lier une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Contrôle de l’accès aux services à l’aide de politiques de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le *Guide AWS PrivateLink *.
**Note**
AWS Database Migration Service (AWS DMS) est un service cloud qui permet de migrer des bases de données relationnelles, des entrepôts de données et d'autres types de magasins de données. Il peut se connecter à n'importe quelle base de données AWS source ou cible, y compris une base de données Amazon Redshift compatible VPC, avec certaines restrictions de configuration. La prise en charge des points de terminaison Amazon VPC facilite le maintien de la sécurité end-to-end du réseau AWS DMS pour les tâches de réplication. *Pour plus d'informations sur l'utilisation de Redshift avec AWS DMS, consultez la section Configuration des points de terminaison [VPC en tant que points de terminaison AWS DMS source et cible](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_VPC_Endpoints.html) dans le guide de l'utilisateur.AWS Database Migration Service *
Il n'y a pas de frais supplémentaires pour l'utilisation de points de terminaison. Des frais standards s'appliquent pour le transfert de données et l'utilisation de ressources. Pour plus d’informations sur la tarification, consultez [Tarification d’Amazon EC2](https://aws.amazon.com/redshift/pricing/#Data_Transfer).
# Activation du routage VPC amélioré
Vous pouvez activer le routage VPC amélioré lorsque vous créez ou modifiez un cluster et lorsque vous créez ou modifiez un groupe de travail Amazon Redshift sans serveur.
Pour utiliser le routage VPC amélioré, votre cluster ou groupe de travail sans serveur doit répondre aux exigences et aux contraintes suivantes :
+ Votre cluster doit se trouver dans un VPC.
Si vous attachez un point de terminaison Amazon S3 VPC, le point de terminaison VPC est uniquement utilisé pour accéder aux compartiments Amazon S3 dans la même région. AWS Pour accéder à des buckets dans une autre AWS région (sans utiliser le point de terminaison VPC) ou pour accéder à AWS d'autres services, rendez votre cluster ou votre groupe de travail sans serveur accessible au public ou utilisez [une passerelle de traduction d'adresses réseau](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) (NAT). Pour de plus amples informations, veuillez consulter [Création d’un cluster alloué Amazon Redshift ou d’un groupe de travail Amazon Redshift sans serveur dans un VPC](getting-started-cluster-in-vpc.md).
+ Vous devez activer la résolution DNS (Domain Name Service) dans votre VPC. Si vous utilisez votre propre serveur DNS, vous devez également vous assurer que les demandes DNS à Amazon S3 sont résolues correctement en adresses IP gérées par AWS. Pour plus d'informations, consultez [Utilisation de DNS avec votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) dans le *Amazon VPC Guide de l'utilisateur*.
+ Les noms d'hôte DNS doivent être activés dans votre VPC. Les noms d'hôte DNS sont activés par défaut.
+ Vos politiques de point de terminaison d'un VPC doivent autoriser l'accès aux compartiments Amazon S3 utilisés avec les appels COPY, UNLOAD ou CREATE LIBRARY dans Amazon Redshift, y compris l'accès à tous les fichiers manifestes impliqués. Pour la commande COPY depuis des hôtes distants, vos politiques de point de terminaison doivent autoriser l'accès à chaque ordinateur hôte. Pour plus d'informations, consultez la rubrique [Autorisations IAM pour les instructions COPY, UNLOAD et CREATE LIBRARY](https://docs.aws.amazon.com/redshift/latest/dg/copy-usage_notes-access-permissions.html#copy-usage_notes-iam-permissions) dans le *Guide du développeur de base de données Amazon Redshift*.
**Pour activer le routage VPC amélioré pour un cluster alloué**
1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Dans le menu de navigation, choisissez **Provisioned clusters dashboard** (Tableau de bord des clusters provisionnés) puis **Create cluster** (Créer un cluster) et saisissez les propriétés de **Cluster details** (Détails du cluster).
1. Pour afficher la section **Configurations supplémentaires**, choisissez de désactiver **Utiliser les valeurs par défaut**.
1. Accédez à la section **Network and security** (Réseau et sécurité).
1. Pour activer **Enhanced VPC routing** (Routage VPC amélioré), choisissez **Turn on** (Activer) pour forcer le trafic du cluster à passer par le VPC.
1. Choisissez **Créer un cluster** pour créer le cluster. Le cluster peut prendre plusieurs minutes pour être prêt à être utilisé.
**Pour activer le routage VPC amélioré pour un Amazon Redshift sans serveur**
1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Dans le menu de navigation, choisissez **Serverless dashboard** (Tableau de bord sans serveur), puis choisissez **Create workgroup** (Créer un groupe de travail) et saisissez les propriétés de votre groupe de travail.
1. Accédez à la section **Network and security** (Réseau et sécurité).
1. Sélectionnez **Turn on enhanced VPC routing** (Activer le routage VPC amélioré) pour acheminer le trafic réseau via le VPC.
1. Choisissez **Next** (Suivant) et terminez de saisir les propriétés de votre groupe de travail jusqu'à **Create** (Créer) le groupe de travail.
# Accès aux compartiments Amazon S3 avec Redshift Spectrum
En général, Amazon Redshift Spectrum ne prend pas en charge le routage VPC amélioré avec des clusters alloués, même si un cluster alloué peut interroger des tables externes depuis Amazon S3 lorsque le routage VPC amélioré est activé.
Le routage VPC amélioré Amazon Redshift envoie du trafic spécifique via votre VPC, ce qui signifie que l’ensemble du trafic entre votre cluster et vos compartiments Amazon S3 est contraint de traverser votre VPC Amazon. Comme Redshift Spectrum s'exécute sur des ressources AWS gérées détenues par Amazon Redshift mais situées en dehors de votre VPC, Redshift Spectrum n'utilise pas le routage VPC amélioré.
Le trafic entre Redshift Spectrum et Amazon S3 est acheminé de manière sécurisée via le réseau AWS privé, en dehors de votre VPC. Le trafic en vol est signé à l'aide du protocole Amazon Signature Version 4 (SIGv4) et crypté à l'aide du protocole HTTPS. Ce trafic est autorisé sur la base du rôle IAM attaché à votre cluster Amazon Redshift. Pour gérer le trafic Redshift Spectrum, vous pouvez modifier le rôle IAM de votre cluster et la politique associée à votre compartiment Amazon S3. Vous devrez peut-être également configurer votre VPC pour autoriser votre cluster à accéder à AWS Glue Athena, comme indiqué ci-dessous.
Étant donné que le routage VPC amélioré affecte la manière dont Amazon Redshift accède aux autres ressources, les requêtes peuvent échouer si vous ne configurez pas votre VPC correctement. Pour obtenir plus d'informations, consultez la rubrique [Contrôle du trafic réseau avec le routage VPC amélioré Redshift](enhanced-vpc-routing.md) qui traite en détail de la création d'un point de terminaison VPC, d'une passerelle NAT et d'autres ressources de réseaux pour diriger le trafic vers vos compartiments Amazon S3.
**Note**
Amazon Redshift sans serveur prend en charge le routage VPC amélioré pour les requêtes vers des tables externes sur Amazon S3. Pour plus d’informations sur la configuration, consultez [Chargement de données depuis Amazon S3](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html#serverless-load-data-from-s3) dans le Guide de démarrage d’Amazon Redshift sans serveur.
## Configuration de la politique d’autorisations lors de l’utilisation d’Amazon Redshift Spectrum
Tenez compte des éléments suivants lors de l’utilisation de Redshift Spectrum :
+ [Stratégies d’accès aux compartiments Amazon S3 et rôles IAM](#spectrum-enhanced-vpc-considerations-policies)
+ [Autorisations pour endosser le rôle IAM](#spectrum-enhanced-vpc-considerations-cluster-role)
+ [Audit et journalisation des accès Amazon S3](#spectrum-enhanced-vpc-considerations-logging-s3)
+ [Accès à AWS Glue ou Amazon Athena](#spectrum-enhanced-vpc-considerations-glue-access)
### Stratégies d’accès aux compartiments Amazon S3 et rôles IAM
Vous pouvez contrôler l’accès aux données de vos compartiments Amazon S3 en utilisant d’une part une stratégie de compartiment associée au compartiment et d’autre part un rôle IAM associé à un cluster alloué.
Redshift Spectrum sur les clusters provisionnés ne peut accéder aux données stockées dans des compartiments Amazon S3 utilisant une politique de compartiment qui restreint l'accès aux seuls points de terminaison d'un VPC spécifiés. Utilisez plutôt une politique de compartiment qui restreint l'accès à certains principaux, tels qu'un AWS compte ou des utilisateurs spécifiques.
Pour le rôle IAM qui se voit autoriser l'accès au compartiment, utilisez une relation de confiance autorisant le rôle à être endossé uniquement par le principal du service Amazon Redshift. Lorsqu'il est associé à votre cluster, le rôle ne peut être utilisé que dans le cadre d'Amazon Redshift ; il ne peut pas être partagé en dehors du cluster. Pour plus d’informations, consultez [Restriction de l'accès aux rôles IAM](authorizing-redshift-service-database-users.md). Une politique de contrôle des services (SCP) peut également être utilisée pour restreindre davantage le rôle. Consultez [Empêcher les utilisateurs et les rôles IAM d'apporter des modifications spécifiées, à l'exception d'un rôle administrateur spécifié](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-restricts-with-exception) dans le *Guide de l'utilisateur AWS Organizations *.
**Note**
Pour utiliser Redshift Spectrum, aucune politique IAM bloquant l'utilisation d'Amazon S3 présigné ne URLs peut être mise en place. Les fichiers présignés URLs générés par Amazon Redshift Spectrum sont valides pendant 1 heure afin qu'Amazon Redshift dispose de suffisamment de temps pour charger tous les fichiers depuis le compartiment Amazon S3. Une URL présignée unique est générée pour chaque fichier scanné par Redshift Spectrum. Pour les stratégies de compartiment qui incluent une action `s3:signatureAge`, veillez à définir la valeur sur au moins 3 600 000 millisecondes.
L'exemple de politique de compartiment suivant autorise l'accès au compartiment spécifié appartenant au AWS compte`123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BucketPolicyForSpectrum",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::123456789012:role/redshift"]
},
"Action": [
"s3:GetObject",
"s3:ListBucketVersions",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
### Autorisations pour endosser le rôle IAM
Le rôle associé à votre cluster doit disposer d'une relation de confiance autorisant le rôle à être endossé uniquement par le service Amazon Redshift, comme indiqué ci-après.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "redshift.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Pour plus d'informations, consultez [Politiques IAM pour Amazon Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-spectrum-iam-policies.html) dans le *Guide du développeur de base de données Amazon Redshift*.
### Audit et journalisation des accès Amazon S3
L'utilisation du routage VPC amélioré Amazon Redshift offre différents avantages, notamment l'enregistrement de l'ensemble du trafic COPY et UNLOAD dans les journaux de flux VPC. Le trafic provenant de Redshift Spectrum vers Amazon S3 ne passe pas par votre VPC ; il n'est donc pas enregistré dans les journaux de flux VPC. Lorsque Redshift Spectrum accède aux données dans Amazon S3, il effectue ces opérations dans le contexte du AWS compte et des privilèges de rôle respectifs. Vous pouvez journaliser et auditer l'accès à Amazon S3 en utilisant la journalisation de l'accès au serveur dans AWS CloudTrail et Amazon S3.
Assurez-vous que les plages d'adresses IP S3 sont ajoutées à votre liste des autorisations. Pour plus d’informations sur les plages d’adresses IP S3 requises, consultez [Isolement de réseau](https://docs.aws.amazon.com//redshift/latest/mgmt/security-network-isolation.html#network-isolation).
**AWS CloudTrail Journaux**
Pour suivre tous les accès aux objets dans Amazon S3, y compris l'accès à Redshift Spectrum, activez la CloudTrail journalisation des objets Amazon S3.
Vous pouvez l'utiliser CloudTrail pour afficher, rechercher, télécharger, archiver, analyser et répondre à l'activité des comptes dans l'ensemble de votre AWS infrastructure. Pour plus d'informations, consultez [Getting Started with CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-getting-started.html).
Par défaut, CloudTrail suit uniquement les actions au niveau du bucket. Pour effectuer le suivi des actions au niveau de l'objet (par exemple `GetObject`), activez les événements de données et de gestion pour chaque compartiment enregistré.
**Journalisation des accès au serveur Amazon S3**
La journalisation des accès au serveur fournit des enregistrements détaillés pour les demandes soumises à un compartiment. Les informations des journaux d’accès peuvent s’avérer utiles en cas d’audit de sécurité ou d’audit des accès. Pour plus d'informations, consultez [Comment activer la journalisation des accès au serveur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html#server-access-logging-overview) dans le *Guide de l'utilisateur Amazon Simple Storage Service.*
Pour plus d'informations, consultez le billet AWS de blog sur la sécurité [How to Use Bucket Policies and Apply Defense-in-Depth to Help Secure Your Amazon S3 Data](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/).
### Accès à AWS Glue ou Amazon Athena
Redshift Spectrum accède à votre catalogue de données dans ou AWS Glue Athena. Une autre option consiste à utiliser un metastore Hive dédié pour votre catalogue de données.
Pour activer l'accès à AWS Glue ou Athena, configurez votre VPC avec une passerelle Internet ou une passerelle NAT. Configurez vos groupes de sécurité VPC pour autoriser le trafic sortant vers les points de terminaison publics pour et Athena. AWS Glue Vous pouvez également configurer un point de terminaison VPC d'interface pour accéder AWS Glue à votre. AWS Glue Data Catalog Lorsque vous utilisez un point de terminaison d'interface VPC, la communication entre votre VPC et celui-ci AWS Glue s'effectue au sein du réseau. AWS Pour plus d'informations, consultez [Création d'un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).
Vous pouvez configurer les chemins suivants dans votre VPC :
+ **Passerelle Internet** *: pour vous connecter à AWS des services extérieurs à votre VPC, vous pouvez associer [une passerelle Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) à votre sous-réseau VPC, comme décrit dans le guide de l'utilisateur Amazon VPC.* Pour utiliser une passerelle Internet, un cluster alloué doit avoir une adresse IP publique afin que d’autres services puissent communiquer avec lui.
+ **Passerelle NAT** : pour vous connecter à un compartiment Amazon S3 dans une autre AWS région ou à un autre service du AWS réseau, configurez une [passerelle de traduction d'adresses réseau (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), comme décrit dans le guide de l'*utilisateur Amazon VPC*. Utilisez cette même configuration pour accéder à une instance de l'hôte en dehors du réseau AWS .
Pour plus d'informations, consultez [Contrôle du trafic réseau avec le routage VPC amélioré Redshift](enhanced-vpc-routing.md).