Amazon Redshift tidak akan lagi mendukung pembuatan Python UDFs baru mulai Patch 198. Python yang ada UDFs akan terus berfungsi hingga 30 Juni 2026. Untuk informasi lebih lanjut, lihat [posting blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tugas jaringan
Anda dapat melakukan tugas-tugas jaringan seperti menyesuaikan koneksi Anda ke database Redshift. Anda mungkin ingin melakukan ini untuk mengontrol lalu lintas untuk keamanan atau tujuan lain. Anda juga dapat melakukan tugas terkait DNS, seperti menyiapkan nama domain khusus untuk sumber daya Redshift Anda. Tugas konfigurasi ini tersedia untuk Anda jika Anda memiliki klaster yang disediakan Amazon Redshift atau dengan grup kerja Amazon Redshift Tanpa Server.
**Topics**
+ [Nama domain khusus untuk koneksi klien](connecting-connection-CNAME.md)
+ [Titik akhir VPC yang dikelola Redshift](managing-cluster-cross-vpc.md)
+ [Sumber daya Redshift dalam VPC](managing-clusters-vpc.md)
+ [Mengontrol lalu lintas jaringan dengan perutean VPC Redshift yang ditingkatkan](enhanced-vpc-routing.md)
# Nama domain khusus untuk koneksi klien
Anda dapat membuat nama domain khusus, juga dikenal sebagai URL khusus, untuk klaster Amazon Redshift dan grup kerja Amazon Redshift Tanpa Server. Ini adalah catatan easy-to-read DNS yang merutekan koneksi klien SQL ke titik akhir Anda. Anda dapat mengonfigurasinya untuk cluster atau workgroup yang ada kapan saja. Ini memberikan beberapa manfaat:
+ Nama domain kustom adalah string yang lebih sederhana daripada URL default, yang biasanya mencakup nama cluster atau nama workgroup dan wilayah. Lebih mudah untuk mengingat dan menggunakan.
+ Anda dapat dengan cepat merutekan lalu lintas ke klaster atau grup kerja baru dalam kasus fail-over, misalnya. Ini membuatnya sehingga klien tidak perlu membuat perubahan konfigurasi ketika mereka terhubung kembali. Koneksi dapat dialihkan kembali secara terpusat, dengan gangguan minimal.
+ Anda dapat menghindari berbagi informasi pribadi seperti nama server di URL koneksi. Anda dapat menyembunyikannya di URL khusus.
Saat Anda menyiapkan nama domain khusus menggunakan CNAME, tidak ada biaya tambahan dari Amazon Redshift. Anda mungkin ditagih dari penyedia DNS Anda untuk nama domain, jika Anda membuat yang baru, tetapi biaya ini biasanya kecil.
# Mendaftarkan nama domain
Menyiapkan nama domain khusus terdiri dari beberapa tugas: Ini termasuk mendaftarkan nama domain dengan penyedia DNS Anda dan membuat sertifikat. Setelah Anda melakukan pekerjaan ini, Anda mengonfigurasi nama domain khusus di konsol Amazon Redshift, atau di konsol Amazon Redshift Tanpa Server, atau mengonfigurasinya dengan perintah. AWS CLI
Anda harus memiliki nama domain internet terdaftar untuk mengonfigurasi nama domain khusus di Amazon Redshift. Anda dapat mendaftarkan domain internet menggunakan Route 53, atau menggunakan penyedia pendaftaran domain pihak ketiga. Anda menyelesaikan tugas-tugas ini di luar konsol Amazon Redshift. Domain terdaftar adalah prasyarat untuk menyelesaikan prosedur yang tersisa untuk membuat domain khusus.
**catatan**
Jika Anda menggunakan klaster yang disediakan, sebelum melakukan langkah-langkah untuk mengonfigurasi nama domain kustom, klaster tersebut harus diaktifkan relokasi. Untuk informasi selengkapnya, lihat [Merelokasi cluster](managing-cluster-recovery.md). Langkah ini tidak diperlukan untuk Amazon Redshift Serverless.
Nama domain kustom biasanya mencakup domain root dan subdomain, seperti`mycluster.example.com`. Untuk mengkonfigurasinya, lakukan langkah-langkah berikut:
**Buat entri DNS CNAME untuk nama domain kustom Anda**
1. Daftarkan domain root, misalnya`example.com`. Secara opsional, Anda dapat menggunakan domain yang ada. Nama kustom Anda dapat dibatasi oleh pembatasan karakter tertentu, atau validasi penamaan lainnya. Untuk informasi selengkapnya tentang mendaftarkan domain dengan Route 53, lihat [Mendaftarkan domain baru](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html).
1. Tambahkan data CNAME DNS yang mengarahkan nama domain kustom Anda ke titik akhir Redshift untuk klaster atau grup kerja Anda. Anda dapat menemukan titik akhir di properti untuk klaster atau grup kerja, di konsol Redshift atau di konsol Amazon Redshift Tanpa Server. **Salin **URL JDBC** yang tersedia di properti klaster atau grup kerja, di bawah Informasi umum.** URLs Tampak seperti berikut ini:
+ Untuk cluster Amazon Redshift: `redshift-cluster-sample.abc123456.us-east-1.redshift.amazonaws.com`
+ Untuk grup kerja Amazon Redshift Tanpa Server: `endpoint-name.012345678901.us-east-1-dev.redshift-serverless-dev.amazonaws.com`
Jika URL memiliki awalan JDBC, hapus.
**catatan**
Catatan DNS tergantung pada ketersediaan, karena setiap nama harus unik dan tersedia untuk digunakan dalam organisasi Anda.
**Batasan**
Ada beberapa batasan terkait pembuatan catatan CNAME untuk domain khusus:
+ Membuat beberapa nama domain khusus untuk klaster yang disediakan atau grup kerja Amazon Redshift Tanpa Server yang sama tidak didukung. Anda hanya dapat mengaitkan satu catatan CNAME.
+ Mengaitkan catatan CNAME dengan lebih dari satu klaster atau grup kerja tidak didukung. CNAME untuk setiap sumber daya Redshift harus unik.
Setelah mendaftarkan domain dan membuat catatan CNAME, Anda memilih sertifikat baru atau yang sudah ada. Anda melakukan langkah ini menggunakan AWS Certificate Manager:
Kami menyarankan Anda membuat [sertifikat tervalidasi DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) yang memenuhi kelayakan untuk perpanjangan terkelola, yang tersedia dengan. AWS Certificate Manager Perpanjangan terkelola berarti ACM memperbarui sertifikat Anda secara otomatis atau mengirimi Anda pemberitahuan email saat kedaluwarsa mendekati. Untuk informasi selengkapnya, lihat [Perpanjangan terkelola untuk sertifikat ACM](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html).
# Meminta sertifikat untuk nama domain
Amazon Redshift atau Amazon Redshift Serverless memerlukan sertifikat Secure Sockets Layer (SSL) yang divalidasi untuk titik akhir kustom agar komunikasi tetap aman dan memverifikasi kepemilikan nama domain. Anda dapat menggunakan AWS Certificate Manager akun Anda dengan manajemen sertifikat AWS KMS key untuk aman. *Validasi keamanan mencakup verifikasi nama host lengkap (sslmode=verify-full).*
Perpanjangan sertifikat dikelola oleh Amazon Redshift hanya jika Anda memilih validasi DNS, bukan validasi email. Jika Anda menggunakan validasi email, Anda dapat menggunakan sertifikat, tetapi Anda harus melakukan pembaruan sendiri, sebelum kedaluwarsa. Kami menyarankan Anda memilih validasi DNS untuk sertifikat Anda. Anda dapat memantau tanggal kedaluwarsa sertifikat yang diimpor di. AWS Certificate Manager
**Meminta sertifikat dari ACM untuk nama domain**
1. Masuk ke Konsol Manajemen AWS dan buka konsol ACM di [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).
1. Pilih **Minta sertifikat**.
1. Masukkan nama domain kustom Anda di bidang **Nama domain**.
**catatan**
Anda dapat menentukan banyak awalan, selain domain sertifikat, untuk menggunakan satu sertifikat untuk beberapa catatan domain khusus. Untuk mengilustrasikan, Anda dapat menggunakan catatan tambahan seperti`one.example.com`,`two.example.com`, atau catatan DNS wildcard seperti `*.example.com` dengan sertifikat yang sama.
1. Pilih **Tinjau dan minta**.
1. Pilih **Konfirmasi dan minta**.
1. Untuk permintaan yang valid, pemilik domain internet yang terdaftar harus menyetujui permintaan tersebut sebelum ACM mengeluarkan sertifikat. Pastikan status muncul sebagai **Diterbitkan** di konsol ACM, setelah Anda selesai dengan langkah-langkahnya.
# Mengkonfigurasi domain kustom
Anda dapat menggunakan konsol Amazon Redshift atau Amazon Redshift Tanpa Server untuk membuat URL domain khusus Anda. Jika Anda belum mengonfigurasinya, properti **nama domain kustom** akan muncul sebagai tanda hubung (**-**) di bawah **Informasi umum**. Setelah membuat catatan CNAME dan sertifikat, Anda mengaitkan nama domain khusus untuk klaster atau grup kerja.
Untuk membuat asosiasi domain kustom, izin IAM berikut diperlukan:
+ `redshift:CreateCustomDomainAssociation`— Anda dapat membatasi izin ke cluster tertentu dengan menambahkan ARN-nya.
+ `redshiftServerless:CreateCustomDomainAssociation`— Anda dapat membatasi izin ke workgroup tertentu dengan menambahkan ARN nya.
+ `acm:DescribeCertificate`
Sebagai praktik terbaik, sebaiknya lampirkan kebijakan izin ke peran IAM dan kemudian menetapkannya ke pengguna dan grup sesuai kebutuhan. Untuk informasi selengkapnya, lihat [Manajemen identitas dan akses di Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
Anda menetapkan nama domain kustom dengan melakukan langkah-langkah berikut.
1. **Pilih klaster di konsol Redshift, atau workgroup di konsol Amazon Redshift Tanpa Server, dan pilih **Buat nama domain khusus** di bawah menu Tindakan.** Dialog muncul.
1. Masukkan nama domain kustom.
1. Pilih ARN dari AWS Certificate Manager untuk Sertifikat **ACM**. Konfirmasikan perubahan Anda. Sesuai panduan dalam langkah-langkah yang Anda ambil untuk membuat sertifikat, sebaiknya Anda memilih sertifikat tervalidasi DNS yang memenuhi syarat untuk perpanjangan terkelola. AWS Certificate Manager
1. Verifikasi di properti cluster bahwa **nama domain kustom** dan **sertifikat domain kustom ARN** diisi dengan entri Anda. **Tanggal kedaluwarsa sertifikat domain kustom** juga terdaftar.
Setelah domain kustom dikonfigurasi, menggunakan hanya `sslmode=verify-full` berfungsi untuk domain kustom baru. Itu tidak berfungsi untuk titik akhir default. Tetapi Anda masih dapat terhubung ke titik akhir default dengan menggunakan mode ssl lainnya, seperti. `sslmode=verify-ca`
**catatan**
Sebagai pengingat, [relokasi cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-cluster-recovery.html) bukanlah prasyarat untuk mengonfigurasi fitur jaringan Redshift tambahan. Anda tidak perlu menyalakannya untuk mengaktifkan yang berikut:
**Menghubungkan dari VPC lintas akun atau lintas wilayah ke Redshift** — Anda dapat terhubung dari satu AWS virtual private cloud (VPC) ke yang lain yang berisi database Redshift. Ini membuatnya lebih mudah untuk mengelola, misalnya, akses klien dari akun yang berbeda atau VPCs, tanpa harus menyediakan akses VPC lokal ke identitas yang terhubung ke database. Untuk informasi selengkapnya, lihat [Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir VPC Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html#serverless-cross-vpc) di akun atau wilayah lain.
**Menyiapkan nama domain khusus** — Anda dapat membuat nama domain khusus, seperti yang dijelaskan dalam topik ini, untuk membuat nama titik akhir lebih relevan dan sederhana.
# Menyambung ke klaster yang disediakan Amazon Redshift atau grup kerja Amazon Redshift Tanpa Server
Untuk terhubung dengan nama domain kustom, izin IAM berikut diperlukan untuk klaster yang disediakan:. `redshift:DescribeCustomDomainAssociations` Untuk Amazon Redshift Tanpa Server, Anda tidak perlu menambahkan izin.
Sebagai praktik terbaik, sebaiknya lampirkan kebijakan izin ke peran IAM dan kemudian menetapkannya ke pengguna dan grup sesuai kebutuhan. Untuk informasi selengkapnya, lihat [Manajemen identitas dan akses di Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
Setelah menyelesaikan langkah-langkah untuk membuat CNAME dan menetapkannya ke klaster atau grup kerja di konsol, Anda dapat memberikan URL kustom di properti koneksi klien SQL Anda. Perhatikan bahwa mungkin ada penundaan dari propagasi DNS segera setelah pembuatan catatan CNAME.
1. Buka klien SQL. Misalnya, Anda dapat menggunakan SQL/Workbench J. Buka properti untuk koneksi, dan tambahkan nama domain khusus untuk string koneksi. Misalnya, `jdbc:redshift://mycluster.example.com:5439/dev?sslmode=verify-full`. Dalam contoh ini, `dev` menentukan database default.
1. Tambahkan **Username** dan **Password** untuk pengguna database Anda.
1. Uji koneksi. Kemampuan Anda untuk menanyakan sumber daya database seperti tabel tertentu dapat bervariasi, berdasarkan izin yang diberikan kepada pengguna database atau diberikan ke peran database Amazon Redshift yang ditetapkan.
Perhatikan bahwa Anda mungkin harus menyetel klaster atau grup kerja agar dapat diakses publik untuk terhubung dengannya jika ada di VPC. Anda dapat mengubah pengaturan ini di properti jaringan.
**catatan**
Koneksi ke nama domain khusus didukung dengan driver JDBC, ODBC, dan Python.
# Mengganti nama cluster yang memiliki domain kustom yang ditetapkan
**catatan**
Rangkaian langkah ini tidak berlaku untuk workgroup Amazon Redshift Serverless. Anda tidak dapat mengubah nama workgroup.
Untuk mengganti nama cluster yang memiliki nama domain khusus, izin `acm:DescribeCertificate` IAM diperlukan.
1. Buka konsol Amazon Redshift dan pilih cluster yang namanya ingin Anda ubah. Pilih **Edit** untuk mengedit properti cluster.
1. Edit **pengenal Cluster**. Anda juga dapat mengubah properti lain untuk cluster. Lalu pilih **Simpan Perubahan**.
1. Setelah klaster diganti namanya, Anda harus memperbarui catatan DNS untuk mengubah entri CNAME untuk domain kustom untuk menunjuk ke titik akhir Amazon Redshift yang diperbarui.
# Menjelaskan asosiasi domain kustom
Gunakan perintah di bagian ini untuk mendapatkan daftar nama domain kustom yang terkait dengan klaster tertentu yang disediakan atau dengan workgroup Amazon Redshift Tanpa Server.
Anda memerlukan izin berikut:
+ Untuk klaster yang disediakan: `redshift:DescribeCustomDomainAssociations`
+ Untuk grup kerja Amazon Redshift Tanpa Server: `redshiftServerless:ListCnameAssociations`
Sebagai praktik terbaik, sebaiknya lampirkan kebijakan izin ke peran IAM dan kemudian menetapkannya ke pengguna dan grup sesuai kebutuhan. Untuk informasi selengkapnya, lihat [Manajemen identitas dan akses di Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
Berikut ini menunjukkan contoh perintah untuk mencantumkan nama domain kustom untuk klaster Amazon Redshift tertentu:
```
aws redshift describe-custom-domain-associations ––custom-domain-name customdomainname
```
Anda dapat menjalankan perintah ini ketika Anda memiliki nama domain kustom diaktifkan untuk menentukan nama domain kustom yang terkait dengan cluster. Untuk informasi selengkapnya tentang perintah CLI untuk menjelaskan asosiasi domain kustom, lihat. [describe-custom-domain-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/redshift/describe-custom-domain-associations.html)
Demikian pula, berikut ini menunjukkan contoh perintah untuk mencantumkan nama domain kustom untuk workgroup Amazon Redshift Serverless yang diberikan. Ada beberapa cara berbeda untuk melakukan ini. Anda hanya dapat memberikan nama domain khusus:
```
aws redshift-serverless list-custom-domain-associations ––custom-domain-name customdomainname
```
Anda juga bisa mendapatkan asosiasi dengan hanya memberikan sertifikat ARN:
```
aws redshift-serverless list-custom-domain-associations ––custom-domain-certificate-arn certificatearn
```
Anda dapat menjalankan perintah ini ketika Anda memiliki nama domain kustom diaktifkan untuk menentukan nama domain kustom yang terkait dengan workgroup. Anda juga dapat menjalankan perintah untuk mendapatkan properti dari asosiasi domain kustom. Untuk melakukan ini, Anda harus memberikan nama domain kustom dan nama workgroup sebagai parameter. Ini mengembalikan sertifikat ARN, nama workgroup, dan waktu kedaluwarsa sertifikat domain kustom:
```
aws redshift-serverless get-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname
```
[Untuk informasi selengkapnya tentang perintah referensi CLI yang tersedia untuk Amazon Redshift Tanpa Server, lihat redshift-serverless.](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/)
# Mengaitkan domain kustom dengan sertifikat yang berbeda
Untuk mengubah asosiasi sertifikat untuk nama domain kustom, izin IAM berikut diperlukan:
+ `redshift:ModifyCustomDomainAssociation`
+ `acm:DescribeCertificate`
Sebagai praktik terbaik, sebaiknya lampirkan kebijakan izin ke peran IAM dan kemudian menetapkannya ke pengguna dan grup sesuai kebutuhan. Untuk informasi selengkapnya, lihat [Manajemen identitas dan akses di Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
Gunakan perintah berikut untuk mengaitkan domain kustom dengan sertifikat yang berbeda. `custom-domain-certificate-arn`Argumen `––custom-domain-name` dan adalah wajib. ARN untuk sertifikat baru harus berbeda dari ARN yang ada.
```
aws redshift modify-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn
```
Contoh berikut menunjukkan cara mengaitkan domain kustom dengan sertifikat yang berbeda untuk workgroup Amazon Redshift Tanpa Server.
```
aws redshift-serverless modify-custom-domain-association ––workgroup-name redshiftworkgroup ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn
```
Ada penundaan maksimum 30 detik sebelum Anda dapat terhubung ke cluster. Bagian dari penundaan terjadi saat cluster Amazon Redshift memperbarui propertinya, dan ada beberapa penundaan tambahan saat DNS diperbarui. Untuk informasi selengkapnya tentang API dan setiap setelan properti, lihat [ModifyCustomDomainAssociation](https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyCustomDomainAssociation.html).
# Menghapus domain kustom
Untuk menghapus nama domain kustom, pengguna harus memiliki izin untuk tindakan berikut:
+ Untuk klaster yang disediakan: `redshift:DeleteCustomDomainAssociation`
+ Untuk grup kerja Amazon Redshift Tanpa Server: `redshiftServerless:DeleteCustomDomainAssociation`
**Di konsol**
Anda dapat menghapus nama domain kustom dengan memilih tombol **Tindakan** dan memilih **Hapus nama domain kustom**. Setelah Anda melakukan ini, Anda masih dapat terhubung ke server dengan memperbarui alat Anda untuk menggunakan titik akhir yang tercantum di konsol.
**Menggunakan perintah CLI**
Contoh berikut menunjukkan cara menghapus nama domain kustom. Operasi hapus mengharuskan Anda memberikan nama domain kustom yang ada untuk klaster.
```
aws redshift delete-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname
```
Contoh berikut menunjukkan cara menghapus nama domain kustom untuk workgroup Amazon Redshift Tanpa Server. Nama domain kustom adalah parameter yang diperlukan.
```
aws redshift-serverless delete-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname
```
Lihat informasi yang lebih lengkap di [DeleteCustomDomainAssociation](https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteCustomDomainAssociation.html).
# Titik akhir VPC yang dikelola Redshift
Secara default, klaster Amazon Redshift atau grup kerja Amazon Redshift Tanpa Server disediakan di cloud pribadi virtual (VPC). VPC dapat diakses dari VPC atau subnet lain ketika Anda mengizinkan akses publik atau mengatur gateway internet, perangkat NAT, atau AWS Direct Connect koneksi untuk mengarahkan lalu lintas ke sana. Anda juga dapat mengakses klaster atau workgroup dengan menyiapkan endpoint VPC yang dikelola RedShift (didukung oleh). AWS PrivateLink
Anda dapat mengatur endpoint VPC yang dikelola RedShift sebagai koneksi pribadi antara VPC yang berisi cluster atau workgroup dan VPC tempat alat klien berjalan. Jika cluster atau workgroup berada di akun lain, pemilik akun (pemberi) harus memberikan akses ke akun penghubung (penerima hibah). Dengan pendekatan ini, Anda dapat mengakses gudang data tanpa menggunakan alamat IP publik atau merutekan lalu lintas melalui internet.
Ini adalah alasan umum untuk mengizinkan akses menggunakan titik akhir VPC yang dikelola RedShift:
+ AWS akun A ingin mengizinkan VPC di AWS akun B memiliki akses ke cluster atau workgroup.
+ AWS akun A ingin mengizinkan VPC yang juga ada di AWS akun A untuk memiliki akses ke cluster atau workgroup.
+ AWS akun A ingin mengizinkan subnet yang berbeda di VPC AWS dalam akun A untuk memiliki akses ke cluster atau workgroup.
Alur kerja untuk menyiapkan titik akhir VPC yang dikelola RedShift untuk mengakses klaster atau grup kerja di akun lain adalah sebagai berikut:
1. Akun pemilik memberikan otorisasi akses ke akun lain dan menentukan ID akun dan AWS pengidentifikasi VPC (atau semua) penerima hibah. VPCs
1. Akun penerima hibah diberi tahu bahwa mereka memiliki izin untuk membuat titik akhir VPC yang dikelola RedShift.
1. Akun penerima hibah membuat titik akhir VPC yang dikelola RedShift.
1. Akun penerima hibah mengakses klaster atau grup kerja akun pemilik menggunakan titik akhir VPC yang dikelola RedShift.
Anda dapat melakukan ini menggunakan konsol Amazon Redshift, the AWS CLI, atau Amazon Redshift API.
## Pertimbangan saat menggunakan titik akhir VPC yang dikelola RedShift
**catatan**
Untuk membuat atau mengubah titik akhir VPC yang dikelola RedShift, Anda memerlukan `ec2:CreateVpcEndpoint` izin `ec2:ModifyVpcEndpoint` atau kebijakan IAM, selain izin lain yang ditentukan dalam kebijakan terkelola. AWS `AmazonRedshiftFullAccess`
Saat menggunakan titik akhir VPC yang dikelola RedShift, ingatlah hal berikut:
+ Jika Anda menggunakan cluster yang disediakan, itu harus memiliki tipe RA3 node. Workgroup Amazon Redshift Tanpa Server juga berfungsi untuk menyiapkan titik akhir VPC.
+ Untuk kluster yang disediakan, pastikan klaster diaktifkan untuk relokasi cluster atau multi-AZ. Untuk informasi tentang persyaratan untuk mengaktifkan relokasi klaster, lihat[Merelokasi cluster](managing-cluster-recovery.md). Untuk informasi tentang mengaktifkan Multi-AZ, lihat. [Menyiapkan Multi-AZ saat membuat cluster baru](create-cluster-multi-az.md)
+ Pastikan bahwa cluster atau workgroup untuk mengakses melalui grup keamanannya tersedia dalam rentang port yang valid 5431-5455 dan 8191-8215. Defaultnya adalah 5439.
+ Anda dapat memodifikasi grup keamanan VPC yang terkait dengan titik akhir VPC yang dikelola RedShift yang ada. Untuk mengubah pengaturan lain, hapus titik akhir VPC yang dikelola RedShift saat ini dan buat yang baru.
+ Jumlah endpoint VPC yang dikelola RedShift yang dapat Anda buat terbatas pada kuota endpoint VPC Anda.
+ Titik akhir VPC yang dikelola RedShift tidak dapat diakses dari internet. Titik akhir VPC yang dikelola RedShift hanya dapat diakses dalam VPC di mana titik akhir disediakan atau dari titik akhir mana pun yang VPCs diintip dengan VPC di mana titik akhir disediakan sebagaimana diizinkan oleh tabel rute dan grup keamanan.
+ Anda tidak dapat menggunakan konsol VPC Amazon untuk mengelola titik akhir VPC yang dikelola RedShift.
+ Saat Anda membuat endpoint VPC yang dikelola RedShift untuk klaster yang disediakan, VPC yang Anda pilih harus memiliki grup subnet. Untuk membuat grup subnet, lihat[Membuat grup subnet cluster](create-cluster-subnet-group.md).
+ Jika Availability Zone sedang down, Amazon Redshift tidak membuat elastic network interface baru di Availability Zone lainnya. Anda mungkin perlu membuat titik akhir baru dalam kasus ini.
Untuk informasi tentang kuota dan batasan penamaan, lihat. [Kuota dan batas di Amazon Redshift](amazon-redshift-limits.md)
Untuk informasi lebih lanjut tenngenai harga, lihat [harga AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/).
# Memberikan akses ke VPC
Jika VPC yang ingin Anda akses ke klaster atau grup kerja Anda ada di AWS akun lain, pastikan untuk mengotorisasinya dari akun pemilik (pemberi).
**Untuk mengizinkan VPC di AWS akun lain memiliki akses ke klaster atau grup kerja Anda**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Pada menu navigasi, pilih **Cluster**. **Untuk Amazon Redshift Tanpa Server, pilih dasbor Tanpa Server.**
1. Untuk klaster yang ingin Anda izinkan aksesnya, lihat detailnya dengan memilih nama cluster. Pilih tab **Properties** dari cluster.
Bagian **Akun yang Diberikan** menampilkan akun dan terkait VPCs yang memiliki akses ke klaster Anda. Untuk workgroup Amazon Redshift Tanpa Server, pilih workgroup. **Akun yang diberikan** tersedia di bawah tab **Akses data**.
1. Pilih **Berikan akses** untuk menampilkan formulir untuk memasukkan **informasi Penerima Hibah** untuk menambahkan akun.
1. Untuk **ID AWS akun**, masukkan ID akun yang Anda berikan akses. Anda dapat memberikan akses ke spesifik VPCs atau semua VPCs di akun yang ditentukan.
1. Pilih **Berikan akses** untuk memberikan akses.
# Membuat titik akhir VPC yang dikelola Redshift
Jika Anda memiliki klaster atau workgroup, atau Anda telah diberikan akses untuk mengelolanya, Anda dapat membuat endpoint VPC yang dikelola RedShift untuknya.
**Untuk membuat titik akhir VPC yang dikelola RedShift**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Pada menu navigasi, pilih **Konfigurasi.**
Halaman **Konfigurasi** menampilkan titik akhir VPC yang dikelola RedShift yang telah dibuat. Untuk melihat detail titik akhir, pilih namanya. Untuk Amazon Redshift Tanpa Server, titik akhir VPC berada di bawah tab **Akses data**, saat Anda memilih grup kerja.
1. Pilih **Buat titik akhir** untuk menampilkan formulir untuk memasukkan informasi tentang titik akhir yang akan ditambahkan.
1. **Masukkan nilai untuk **nama Endpoint**, **ID AWS akun** 12 digit, **Virtual Private Cloud (VPC)** tempat titik akhir berada, Subnet **dan** grup keamanan VPC.**
Subnet di **Subnet mendefinisikan subnet** dan alamat IP tempat Amazon Redshift menyebarkan titik akhir. Amazon Redshift memilih subnet yang memiliki alamat IP yang tersedia untuk antarmuka jaringan yang terkait dengan titik akhir.
Aturan grup keamanan dalam **grup keamanan VPC** menentukan port, protokol, dan sumber untuk lalu lintas masuk yang Anda otorisasi untuk titik akhir Anda. Anda mengizinkan akses ke port yang dipilih melalui grup keamanan atau rentang CIDR tempat beban kerja Anda berjalan.
1. Pilih **Buat titik akhir** untuk membuat titik akhir.
Setelah titik akhir dibuat, Anda dapat mengakses klaster atau grup kerja melalui URL yang ditampilkan di URL **Endpoint dalam pengaturan konfigurasi untuk titik akhir** VPC yang dikelola RedShift.
# Sumber daya Redshift dalam VPC
Anda dapat meluncurkan cluster Amazon Redshift atau workgroup Amazon Redshift Tanpa Server di VPC pada platform EC2-VPC berdasarkan layanan Amazon VPC. Untuk informasi selengkapnya, lihat [Gunakan EC2 untuk membuat cluster Anda](working-with-clusters.md#cluster-platforms).
**catatan**
Meluncurkan cluster dan grup kerja Tanpa Server ke dalam VPCs penyewaan khusus tidak didukung. Untuk informasi selengkapnya, lihat [Instans khusus](https://docs.aws.amazon.com/vpc/latest/userguide/dedicated-instance.html) di Panduan *Pengguna Amazon VPC*.
Saat menyediakan sumber daya dalam VPC, Anda harus melakukan hal berikut:
+ **Berikan informasi VPC.**
Saat membuat klaster yang disediakan di VPC, Anda harus memberikan informasi VPC Anda dengan membuat grup subnet klaster. Informasi ini mencakup ID VPC dan daftar subnet di VPC Anda. Saat Anda meluncurkan cluster, Anda menyediakan grup subnet sehingga Redshift dapat menyediakannya di salah satu subnet di VPC. Dengan Amazon Redshift Serverless, prosesnya serupa. Anda menetapkan subnet langsung ke grup kerja Tanpa Server Anda. Tetapi dalam kasus Tanpa Server Anda tidak membuat grup subnet. Untuk informasi selengkapnya tentang membuat grup subnet di Amazon Redshift, lihat. [Subnet untuk sumber daya Redshift](working-with-cluster-subnet-groups.md) Untuk informasi selengkapnya tentang pengaturan VPC, lihat [Memulai Amazon VPC di](https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/GetStarted.html) Panduan Memulai *VPC* Amazon.
+ **Secara opsional, konfigurasikan opsi aksesibilitas.**
Cluster yang disediakan dan grup kerja tanpa server di Amazon Redshift bersifat pribadi secara default. Jika Anda mengonfigurasi klaster yang disediakan atau grup kerja tanpa server agar dapat diakses publik, Amazon Redshift menggunakan alamat IP elastis untuk alamat IP eksternal. Alamat IP elastis adalah alamat IP statis. Dengan itu, Anda dapat mengubah konfigurasi dasar Anda tanpa mempengaruhi alamat IP yang digunakan klien untuk terhubung. Pendekatan ini dapat membantu untuk situasi seperti pemulihan setelah kegagalan. Apakah Anda membuat alamat IP elastis tergantung pada pengaturan relokasi zona ketersediaan Anda. Ada dua opsi:
1. Jika relokasi zona ketersediaan diaktifkan dan ingin mengaktifkan akses publik, Anda tidak menentukan alamat IP elastis. Alamat IP elastis yang dikelola oleh Amazon Redshift ditetapkan. Ini terkait dengan AWS akun Anda.
1. Jika relokasi zona ketersediaan dimatikan dan ingin mengaktifkan akses publik, Anda dapat memilih untuk membuat alamat IP elastis untuk VPC di Amazon EC2, sebelum meluncurkan klaster atau grup kerja Amazon Redshift Anda. Jika Anda tidak membuat alamat IP, Amazon Redshift menyediakan alamat IP elastis yang dikonfigurasi untuk digunakan untuk VPC. Alamat IP elastis ini dikelola oleh Amazon Redshift dan tidak terkait dengan akun Anda AWS .
Untuk informasi selengkapnya, lihat [Alamat IP Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) di *Panduan Pengguna Amazon EC2*.
Dalam beberapa kasus, Anda mungkin memiliki cluster yang dapat diakses publik di VPC dan Anda ingin menghubungkannya dengan menggunakan alamat IP pribadi dari dalam VPC. Jika demikian, atur parameter VPC berikut ke: `true`
+ `DNS resolution`
+ `DNS hostnames`
Perhatikan bahwa dengan Amazon Redshift Serverless, Anda tidak dapat terhubung dengan cara ini.
Misalkan Anda memiliki klaster penyediaan yang dapat diakses publik di VPC tetapi tidak menyetel parameter tersebut ke dalam VPC. `true` Dalam kasus ini, koneksi yang dibuat dari dalam VPC menyelesaikan ke alamat IP elastis sumber daya alih-alih alamat IP pribadi. Kami menyarankan Anda mengatur parameter ini `true` dan menggunakan alamat IP pribadi untuk cluster yang dapat diakses publik saat menghubungkan dari dalam VPC. Untuk informasi selengkapnya, lihat [Menggunakan DNS dengan VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) dalam *Panduan Pengguna Amazon VPC*.
**catatan**
Jika Anda memiliki klaster yang dapat diakses publik di VPC, koneksi dari dalam VPC terus menggunakan alamat IP elastis untuk menghubungkannya, hingga Anda mengubah ukurannya, jika itu adalah klaster yang disediakan. Hal ini terjadi bahkan dengan parameter sebelumnya ditetapkan. Setiap cluster baru yang dibuat mengikuti perilaku baru menggunakan alamat IP pribadi saat menghubungkan ke cluster yang dapat diakses publik dari dalam VPC yang sama.
Alamat IP elastis adalah alamat IP eksternal untuk mengakses sumber daya di luar VPC. Untuk klaster yang disediakan, ini tidak terkait dengan **alamat IP Publik dan alamat IP** **Pribadi** yang ditampilkan di konsol Amazon Redshift di **bawah** alamat IP Node. Alamat IP node cluster publik dan pribadi muncul terlepas dari apakah cluster dapat diakses publik atau tidak. Mereka hanya digunakan dalam keadaan tertentu untuk mengonfigurasi aturan masuk pada host jarak jauh. Keadaan ini terjadi saat Anda memuat data dari instans Amazon EC2 atau host jarak jauh lainnya menggunakan koneksi Secure Shell (SSH). Untuk informasi selengkapnya, lihat [Langkah 1: Ambil kunci publik klaster dan alamat IP node cluster](https://docs.aws.amazon.com/redshift/latest/dg/loading-data-from-remote-hosts.html#load-from-host-steps-retrieve-key-and-ips) di Panduan Pengembang *Database Amazon Redshift*.
**catatan**
Alamat IP node tidak berlaku untuk grup kerja Redshift Serverless.
Opsi untuk mengaitkan cluster yang disediakan dengan alamat IP elastis tersedia saat Anda membuat cluster atau memulihkan cluster dari snapshot. Dalam beberapa kasus, Anda mungkin ingin mengaitkan cluster dengan alamat IP elastis atau mengubah alamat IP elastis yang terkait dengan cluster. Untuk melampirkan alamat IP elastis setelah cluster dibuat, pertama-tama perbarui cluster sehingga tidak dapat diakses publik, kemudian membuatnya dapat diakses publik dan menambahkan alamat IP Elastis dalam operasi yang sama.
Untuk informasi selengkapnya tentang cara membuat klaster yang disediakan atau grup kerja Amazon Redshift Tanpa Server dapat diakses publik, dan memiliki alamat IP Elastis yang ditetapkan, [lihat Aksesibilitas publik](https://docs.aws.amazon.com/redshift/latest/mgmt/rs-security-group-public-private.html#rs-security-group-public-default) dengan konfigurasi grup keamanan default atau kustom.
+ **Kaitkan grup keamanan VPC.**
Anda memberikan akses masuk menggunakan grup keamanan VPC. Untuk informasi selengkapnya, lihat [Mengonfigurasi setelan komunikasi grup keamanan untuk klaster Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/rs-security-group-public-private.html), yang memberikan panduan tentang mengonfigurasi aturan masuk dan keluar antara klien dan klaster yang disediakan atau grup kerja Amazon Redshift Tanpa Server. Sumber daya lain yang membantu Anda memahami grup keamanan adalah [Keamanan di VPC Anda di Panduan](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html) Pengguna Amazon *VPC*
**Memulihkan snapshot dari klaster yang disediakan atau grup kerja Tanpa Server di VPC**
Cuplikan cluster atau grup kerja Tanpa Server di VPC hanya dapat dipulihkan di VPC, bukan di luar VPC. Anda dapat mengembalikannya di VPC yang sama atau VPC lain di akun Anda. Untuk informasi selengkapnya tentang snapshot, lihat[Cuplikan dan cadangan Amazon Redshift](working-with-snapshots.md).
# Membuat klaster yang disediakan Redshift atau workgroup Amazon Redshift Serverless di VPC
Berikut ini adalah langkah-langkah umum bagaimana Anda dapat menyebarkan cluster atau workgroup di virtual private cloud (VPC) Anda.
**Untuk membuat cluster atau grup kerja Tanpa Server di VPC**
1. Konfigurasikan VPC — Anda dapat membuat sumber daya Redshift baik di VPC default untuk akun Anda, jika akun Anda memilikinya, atau di VPC yang Anda buat. Untuk informasi selengkapnya, lihat [Gunakan EC2 untuk membuat cluster Anda](working-with-clusters.md#cluster-platforms). Untuk membuat VPC, lihat [Subnet untuk VPC Anda di Panduan Pengguna *Amazon* VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html). Catat pengenal VPC, subnet, dan Availability Zone subnet. Anda memerlukan informasi ini saat meluncurkan klaster atau grup kerja Anda.
**catatan**
Anda harus memiliki setidaknya satu subnet yang ditentukan dalam VPC Anda, sehingga Anda dapat menambahkannya ke grup subnet di langkah berikutnya. *Untuk informasi selengkapnya tentang menambahkan subnet ke VPC Anda, [lihat Menambahkan subnet ke VPC Anda di Panduan Pengguna Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html).*
1. Buat grup subnet klaster Amazon Redshift untuk menentukan subnet mana yang dapat digunakan cluster Amazon Redshift Anda di VPC. Untuk Redshift Serverless, Anda tidak membuat grup subnet, melainkan menetapkan kumpulan subnet ke workgroup Anda saat Anda membuatnya. Anda dapat melakukan ini di **dasbor Tanpa Server** saat membuat grup kerja.
Anda dapat membuat grup subnet menggunakan konsol Amazon Redshift atau secara terprogram. Untuk informasi selengkapnya, lihat [Subnet untuk sumber daya Redshift](working-with-cluster-subnet-groups.md).
1. Otorisasi akses untuk koneksi masuk dalam grup keamanan VPC yang Anda kaitkan dengan klaster atau grup kerja. Anda dapat mengaktifkan klien di luar VPC (di internet publik) untuk terhubung ke cluster. Untuk melakukan ini, Anda mengaitkan cluster dengan grup keamanan VPC yang memberikan akses masuk. Untuk informasi selengkapnya, lihat [Mengonfigurasi setelan komunikasi grup keamanan untuk klaster Amazon Redshift atau grup kerja Amazon Redshift Tanpa Server](rs-security-group-public-private.md).
1. Ikuti langkah-langkah untuk membuat klaster di konsol yang disediakan Redshift atau grup kerja atau di konsol Amazon Redshift Tanpa Server. Di **Jaringan dan keamanan**, tentukan grup keamanan **Virtual Private Cloud (VPC)**, **Cluster subnet, dan grup** **keamanan VPC** yang Anda atur.
*Untuk panduan yang menunjukkan langkah-langkah lebih mendetail untuk membuat klaster gudang data yang disediakan, lihat Memulai gudang data yang [disediakan Amazon Redshift di Panduan Memulai Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/new-user.html).* *Untuk informasi selengkapnya tentang membuat workgroup Amazon Redshift Tanpa Server, lihat Memulai [gudang data Amazon Redshift Tanpa Server di Panduan Memulai Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html).*
Anda dapat mengikuti langkah-langkah Memulai untuk menguji klaster atau workgroup dengan mengunggah data sampel dan mencoba contoh kueri. *Untuk informasi selengkapnya, lihat [Memulai gudang data Amazon Redshift Tanpa Server di Panduan Memulai Pergeseran](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-launch-sample-cluster.html) Merah Amazon.*
# Grup keamanan VPC
Saat Anda menyediakan klaster Amazon Redshift atau workgroup Amazon Redshift Tanpa Server, akses dibatasi secara default sehingga tidak ada yang memiliki akses ke sana. Untuk memberikan akses masuk kepada pengguna lain, Anda mengaitkannya dengan grup keamanan. Jika Anda menggunakan platform EC2-VPC, Anda dapat menggunakan grup keamanan Amazon VPC yang ada atau menentukan yang baru. Anda kemudian mengaitkannya dengan cluster atau workgroup seperti yang dijelaskan berikut. Jika Anda menggunakan platform EC2-Classic, Anda menentukan grup keamanan dan mengaitkannya dengan cluster atau workgroup Anda. Untuk informasi selengkapnya tentang penggunaan grup keamanan di platform EC2-Classic, lihat. [Grup keamanan Amazon Redshift](security-network-isolation.md#working-with-security-groups)
Grup keamanan VPC terdiri dari seperangkat aturan yang mengontrol akses ke instance di VPC, seperti cluster Anda. Aturan individu menetapkan akses berdasarkan rentang alamat IP atau pada grup keamanan VPC lainnya. Saat Anda mengaitkan grup keamanan VPC dengan klaster atau grup kerja, aturan yang ditentukan dalam akses kontrol grup keamanan VPC.
Setiap cluster yang Anda sediakan di platform EC2-VPC memiliki satu atau lebih grup keamanan Amazon VPC yang terkait dengannya. Amazon VPC menyediakan grup keamanan VPC yang disebut default, yang dibuat secara otomatis saat Anda membuat VPC. Setiap cluster yang Anda luncurkan di VPC secara otomatis dikaitkan dengan grup keamanan VPC default jika Anda tidak menentukan grup keamanan VPC yang berbeda saat sumber daya Redshift Anda. Anda dapat mengaitkan grup keamanan VPC dengan klaster saat membuat klaster, atau Anda dapat mengaitkan grup keamanan VPC nanti dengan memodifikasi klaster.
Tangkapan layar berikut menunjukkan aturan default untuk grup keamanan VPC default.
![\[Tabel menunjukkan aturan masuk dan keluar untuk grup keamanan. Setiap aturan memiliki sumber atau tujuan, protokol, rentang port, dan komentar.\]](http://docs.aws.amazon.com/id_id/redshift/latest/mgmt/images/security_groups.png)
Anda dapat mengubah aturan untuk grup keamanan VPC default sesuai kebutuhan.
Jika grup keamanan VPC default sudah cukup untuk Anda, Anda tidak perlu membuat lebih banyak. Namun, Anda dapat secara opsional membuat grup keamanan VPC tambahan untuk mengelola akses masuk dengan lebih baik. Misalnya, Anda menjalankan layanan di klaster Amazon Redshift atau grup kerja Tanpa Server, dan Anda memiliki beberapa tingkat layanan berbeda yang Anda berikan kepada pelanggan Anda. Jika Anda tidak ingin menyediakan akses yang sama di semua tingkat layanan, Anda mungkin ingin membuat grup keamanan VPC terpisah, satu untuk setiap tingkat layanan. Anda kemudian dapat mengaitkan grup keamanan VPC ini dengan klaster atau grup kerja Anda.
Anda dapat membuat hingga 100 grup keamanan VPC untuk VPC dan mengaitkan grup keamanan VPC dengan beberapa cluster dan grup kerja. Namun, perhatikan bahwa ada batasan jumlah grup keamanan VPC yang dapat Anda kaitkan dengan cluster atau workgroup.
Amazon Redshift segera menerapkan perubahan ke grup keamanan VPC. Jadi, jika Anda telah mengaitkan grup keamanan VPC dengan klaster, aturan akses cluster masuk dalam grup keamanan VPC yang diperbarui segera berlaku.
Anda dapat membuat dan memodifikasi grup keamanan VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Anda juga dapat mengelola grup keamanan VPC secara terprogram dengan menggunakan, AWS CLI Amazon EC2 CLI, dan file. AWS Tools for Windows PowerShell Untuk informasi selengkapnya tentang bekerja dengan grup keamanan VPC, lihat [Grup keamanan untuk VPC Anda di Panduan Pengguna](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) Amazon *VPC*.
# Mengonfigurasi setelan komunikasi grup keamanan untuk klaster Amazon Redshift atau grup kerja Amazon Redshift Tanpa Server
Topik ini membantu Anda mengonfigurasi grup keamanan untuk merutekan dan menerima lalu lintas jaringan dengan tepat. Berikut ini adalah beberapa kasus penggunaan umum:
+ Anda mengaktifkan aksesibilitas publik untuk klaster Amazon Redshift atau grup kerja Amazon Redshift Tanpa Server, tetapi tidak menerima lalu lintas. Untuk ini, Anda harus mengonfigurasi aturan masuk untuk memungkinkan lalu lintas mencapainya dari internet.
+ Cluster atau grup kerja Anda tidak dapat diakses publik, dan Anda menggunakan grup keamanan VPC default Redshift yang telah dikonfigurasi sebelumnya untuk mengizinkan lalu lintas masuk. Tetapi Anda memiliki persyaratan untuk menggunakan grup keamanan selain default, dan grup keamanan khusus ini tidak mengizinkan lalu lintas masuk. Anda harus mengkonfigurasinya untuk memungkinkan komunikasi.
Bagian berikut membantu Anda memilih respons yang benar untuk setiap kasus penggunaan dan menunjukkan cara mengonfigurasi lalu lintas jaringan sesuai kebutuhan Anda. Anda dapat secara opsional menggunakan langkah-langkah untuk mengatur komunikasi dari grup keamanan swasta lainnya.
**catatan**
Pengaturan lalu lintas jaringan dalam banyak kasus tidak dikonfigurasi secara otomatis di Amazon Redshift. Ini karena mereka dapat bervariasi pada tingkat granular, tergantung pada apakah sumber lalu lintas adalah internet atau grup keamanan swasta, dan karena persyaratan keamanan bervariasi.
## Aksesibilitas publik dengan konfigurasi grup keamanan default atau kustom
Jika Anda membuat atau Anda sudah memiliki cluster atau workgroup, lakukan langkah-langkah konfigurasi berikut untuk membuatnya dapat diakses publik. Ini berlaku baik ketika Anda memilih grup keamanan default atau grup keamanan khusus:
1. Temukan pengaturan jaringan:
+ **Untuk klaster Amazon Redshift yang disediakan, pilih tab Properties, lalu **di bawah Pengaturan jaringan dan keamanan**, pilih VPC untuk klaster Anda.**
+ **Untuk grup kerja Amazon Redshift Tanpa Server, pilih konfigurasi Workgroup.** Pilih workgroup dari daftar. Kemudian, di bawah **Akses data**, di panel **Jaringan dan keamanan**, pilih **edit**.
1. Konfigurasikan gateway Internet dan tabel rute untuk VPC Anda. Anda memulai konfigurasi dengan memilih VPC berdasarkan nama. Ini membuka dasbor VPC. Untuk terhubung ke cluster atau workgroup yang dapat diakses publik dari internet, gateway internet harus dilampirkan ke tabel rute. Anda dapat mengonfigurasinya dengan memilih **tabel Route** di dasbor VPC. Konfirmasikan bahwa target gateway internet ditetapkan dengan sumber 0.0.0.0/0 atau IP CIDR publik. Tabel rute harus dikaitkan dengan VPC tempat klaster Anda berada. Untuk informasi selengkapnya mengenai pengaturan akses internet untuk VPC, seperti yang dijelaskan di sini, lihat [Mengaktifkan akses internet di dokumentasi](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#vpc-igw-internet-access) Amazon VPC. Untuk informasi selengkapnya tentang mengonfigurasi tabel rute, lihat [Mengonfigurasi tabel rute](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html).
1. Setelah Anda mengkonfigurasi gateway internet dan tabel rute, kembali ke pengaturan jaringan untuk Redshift. Buka akses masuk dengan memilih grup keamanan dan kemudian memilih aturan **Inbound**. Pilih **Edit aturan masuk**.
1. Pilih **Protokol** dan **Port** untuk aturan masuk, atau aturan, sesuai kebutuhan Anda, untuk mengizinkan lalu lintas dari klien. Untuk RA3 cluster, pilih port dalam rentang 5431-5455 atau 8191-8215. Setelah selesai, simpan setiap aturan.
1. Edit pengaturan yang **dapat diakses publik** untuk mengaktifkannya. Anda dapat melakukan ini dari menu **Tindakan** klaster atau grup kerja Anda.
Saat Anda mengaktifkan pengaturan yang dapat diakses publik, Redshift membuat alamat IP Elastis. Ini adalah alamat IP statis yang terkait dengan AWS akun Anda. Klien di luar VPC dapat menggunakannya untuk terhubung.
Untuk informasi selengkapnya tentang mengonfigurasi grup keamanan Anda, lihat[Grup keamanan Amazon Redshift](security-network-isolation.md#working-with-security-groups).
Anda dapat menguji aturan Anda dengan menghubungkan dengan klien, lakukan hal berikut jika Anda terhubung ke Amazon Redshift Tanpa Server. Setelah Anda menyelesaikan konfigurasi jaringan, sambungkan dengan alat klien Anda, seperti [Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/rsql-query-tool.html) RSQL. Menggunakan domain Amazon Redshift Tanpa Server sebagai host, masukkan yang berikut ini:
```
rsql -h workgroup-name.account-id.region.amazonaws.com -U admin -d dev -p 5439
```
## Aksesibilitas pribadi dengan konfigurasi grup keamanan default atau kustom
Ketika Anda tidak berkomunikasi melalui internet ke cluster atau kelompok kerja Anda, itu disebut sebagai dapat diakses *secara pribadi*. Jika Anda memilih grup keamanan default saat membuatnya, grup keamanan menyertakan aturan komunikasi default berikut:
+ Aturan masuk yang memungkinkan lalu lintas dari semua sumber daya yang ditetapkan ke grup keamanan.
+ Aturan keluar yang memungkinkan semua lalu lintas keluar. Tujuan untuk aturan ini adalah 0.0.0.0/0. Dalam notasi routing antar domain tanpa kelas (CIDR), ini mewakili semua alamat IP yang mungkin.
Anda dapat melihat aturan di konsol dengan memilih grup keamanan untuk klaster atau grup kerja Anda.
Jika klaster atau grup kerja dan klien Anda menggunakan grup keamanan default, tidak ada konfigurasi tambahan yang diperlukan untuk mengizinkan lalu lintas jaringan. Tetapi jika Anda menghapus atau mengubah aturan apa pun di grup keamanan default untuk Redshift atau klien, ini tidak lagi berlaku. Dalam hal ini, Anda harus mengonfigurasi aturan untuk memungkinkan komunikasi masuk dan keluar. Konfigurasi grup keamanan umum adalah sebagai berikut:
+ Untuk instans Amazon EC2 klien:
+ Aturan inbound yang memungkinkan alamat IP klien.
+ Aturan keluar yang memungkinkan rentang alamat IP (blok CIDR) dari semua subnet yang disediakan untuk penggunaan Redshift. Atau Anda dapat menentukan 0.0.0.0/0, yang merupakan semua rentang alamat IP.
+ Untuk klaster atau grup kerja Redshift Anda:
+ Aturan masuk yang memungkinkan grup keamanan klien.
+ Aturan keluar yang memungkinkan lalu lintas ke 0.0.0.0/0. Biasanya, aturan keluar memungkinkan semua lalu lintas keluar. Secara opsional, Anda dapat menambahkan aturan keluar untuk mengizinkan lalu lintas ke grup keamanan klien. Dalam kasus opsional ini, aturan keluar tidak selalu diperlukan, karena lalu lintas respons untuk setiap permintaan diizinkan untuk mencapai instance. Untuk detail selengkapnya mengenai perilaku permintaan dan respons, lihat [Grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html) di panduan *pengguna Amazon VPC*.
Jika Anda mengubah konfigurasi untuk subnet atau grup keamanan yang ditentukan untuk penggunaan Redshift, Anda mungkin perlu mengubah aturan lalu lintas yang sesuai untuk menjaga komunikasi tetap terbuka. *Untuk informasi selengkapnya tentang membuat aturan masuk dan keluar, lihat [pemblokiran CIDR VPC di](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) panduan pengguna Amazon VPC.* Untuk informasi selengkapnya tentang menghubungkan ke Amazon Redshift dari klien, lihat [Mengonfigurasi koneksi di Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/configuring-connections.html).
# Subnet untuk sumber daya Redshift
Anda membuat grup subnet jika Anda membuat klaster yang disediakan di cloud pribadi virtual (VPC). Setiap VPC dapat memiliki satu atau lebih subnet, yang merupakan himpunan bagian dari alamat IP dalam VPC yang memungkinkan Anda mengelompokkan sumber daya berdasarkan kebutuhan keamanan dan operasi Anda. Anda membuat grup subnet untuk menentukan satu set subnet di VPC Anda saat Anda membuat klaster yang disediakan. **Di **dasbor klaster yang disediakan**, Anda dapat menemukan dan mengedit grup subnet cluster di bawah Konfigurasi.** Selama konfigurasi awal untuk klaster yang disediakan, Anda menentukan grup subnet dan Amazon Redshift membuat cluster di salah satu subnetnya. Untuk informasi selengkapnya tentang layanan VPC, lihat halaman detail produk Amazon [VPC](https://aws.amazon.com/vpc/).
Konfigurasi subnet untuk workgroup Amazon Redshift Serverless mirip dengan cluster yang disediakan, tetapi langkah-langkahnya sedikit berbeda. Saat Anda membuat dan menyiapkan grup kerja Tanpa Server, Anda menentukan subnet untuk grup kerja, dan mereka ditambahkan ke daftar. **Anda dapat melihat subnet untuk workgroup yang ada dengan memilih properti workgroup, di dasbor Tanpa Server.** Mereka tersedia di **Jaringan dan properti keamanan**. Untuk informasi selengkapnya, lihat [Membuat workgroup dengan namespace](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups-create-workgroup-wizard.html).
Untuk informasi selengkapnya tentang membuat VPC, buka dokumentasi Panduan Pengguna Amazon [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).
Setelah membuat grup subnet untuk klaster yang disediakan, atau memilih subnet untuk grup kerja Tanpa Server, dimungkinkan untuk menghapus subnet yang sebelumnya ditambahkan atau menambahkan lebih banyak. Anda dapat membuat perubahan ini menggunakan konsol, atau menggunakan operasi API. Untuk informasi selengkapnya mengenai operasi API untuk klaster yang disediakan, lihat. [ModifyClusterSubnetGroup](https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyClusterSubnetGroup.html) Untuk operasi API untuk workgroup Tanpa Server, lihat. [UpdateWorkgroup](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateWorkgroup.html)
Anda dapat menyediakan cluster di salah satu subnet di grup subnet. Grup subnet cluster memungkinkan Anda menentukan satu set subnet di virtual private cloud (VPC) Anda.
**Awas**
Selama operasi pemeliharaan klaster seperti pengubahan ukuran klasik, jeda dan lanjutkan, failover multi-AZ, atau peristiwa lainnya, node komputasi yang disediakan dapat dipindahkan ke subnet lain dalam grup subnet klaster Amazon Redshift Anda. Perhatikan bahwa semua subnet dalam grup subnet harus memiliki aturan masuk dan keluar ACL Jaringan yang sama dan rute tabel rute yang sama. Ini memastikan konektivitas ke dan dari sumber daya komputasi Amazon Redshift, sehingga mereka dapat berkomunikasi dan berfungsi secara optimal setelah peristiwa pemeliharaan tersebut. Hindari menambahkan subnet dengan berbagai konfigurasi ACL jaringan atau tabel rute ke grup subnet klaster Amazon Redshift yang sama.
Untuk informasi selengkapnya tentang mengonfigurasi subnet, lihat [Subnet untuk VPC Anda di panduan pengguna Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html). Untuk informasi selengkapnya tentang penerapan Redshift Multi-AZ, lihat di panduan manajemen Redshift[Deployment multi-AZ](managing-cluster-multi-az.md). [Mengubah ukuran cluster](resizing-cluster.md)juga tercakup dalam panduan manajemen Redshift.
# Membuat grup subnet cluster
Prosedur berikut memandu Anda melalui cara membuat grup subnet untuk klaster yang disediakan. Anda harus memiliki setidaknya satu grup subnet cluster yang ditentukan untuk menyediakan klaster di VPC.
**Untuk membuat grup subnet cluster untuk klaster yang disediakan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Pada menu navigasi, pilih **Konfigurasi**, lalu pilih Grup **subnet**. Daftar grup subnet ditampilkan.
1. Pilih **Buat grup subnet cluster** untuk menampilkan halaman buat.
1. Masukkan informasi untuk grup subnet, termasuk subnet mana yang akan ditambahkan.
1. Pilih **Buat grup subnet cluster** untuk membuat grup dengan subnet yang Anda pilih.
**catatan**
Untuk informasi tentang cara membuat workgroup Amazon Redshift Tanpa Server dengan kumpulan subnet, lihat [Membuat grup kerja dengan namespace atau Membuat subnet di Panduan](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups-create-workgroup-wizard.html) Pengguna Amazon [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html).
# Memodifikasi grup subnet cluster
Setelah membuat grup subnet, Anda dapat memodifikasi informasinya di konsol Amazon Redshift. Prosedur berikut memandu Anda melalui cara memodifikasi grup subnet untuk klaster yang disediakan.
**Untuk memodifikasi grup subnet klaster untuk klaster yang disediakan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Pada menu navigasi, pilih **Konfigurasi**, lalu pilih Grup **subnet**. Daftar grup subnet ditampilkan.
1. Pilih grup subnet untuk dimodifikasi.
1. Untuk **Tindakan**, pilih **Ubah** untuk menampilkan detail grup subnet.
1. Perbarui informasi untuk grup subnet.
1. Pilih **Simpan** untuk memodifikasi grup.
Untuk mengubah atau menghapus subnet dalam beberapa kasus memerlukan langkah tambahan. Misalnya, artikel Pusat AWS Pengetahuan ini, [Bagaimana cara memindahkan cluster Amazon Redshift saya yang disediakan ke](https://repost.aws//knowledge-center/redshift-move-subnet) subnet yang berbeda? , menjelaskan kasus penggunaan yang mencakup pemindahan cluster.
# Menghapus grup subnet cluster untuk klaster yang disediakan
Setelah selesai menggunakan grup subnet cluster, Anda harus membersihkan dengan menghapus grup. Prosedur berikut memandu Anda melalui langkah-langkah untuk menghapus grup subnet untuk klaster yang disediakan.
**Untuk menghapus grup subnet cluster**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Pada menu navigasi, pilih **Konfigurasi**, lalu pilih Grup **subnet**. Daftar grup subnet ditampilkan.
1. Pilih grup subnet yang akan dihapus, lalu pilih **Hapus**.
**catatan**
Anda tidak dapat menghapus grup subnet cluster yang digunakan oleh cluster.
# Memblokir akses publik ke VPCs dan subnet
VPC Block Public Access (BPA) adalah fitur keamanan terpusat yang dapat Anda gunakan untuk memblokir sumber daya di VPCs dan subnet yang Anda miliki di internet agar tidak menjangkau internet atau dijangkau Wilayah AWS dari internet melalui gateway internet dan gateway internet khusus egres. Jika Anda mengaktifkan fitur ini secara default Akun AWS, fitur ini akan berdampak pada VPC atau subnet apa pun yang digunakan Amazon Redshift. Ini berarti Amazon Redshift memblokir semua operasi ke publik.
Ketika Anda mengaktifkan VPC BPA dan ingin menggunakan Amazon Redshift API melalui internet publik, Anda harus menambahkan pengecualian untuk menggunakan Amazon APIs EC2 untuk VPC atau subnet Anda. Pengecualian dapat memiliki salah satu dari mode berikut:
+ **Dua arah**: Semua lalu lintas internet ke dan dari yang dikecualikan VPCs dan subnet diperbolehkan.
+ **Egress-only**: Lalu lintas internet keluar dari yang dikecualikan VPCs dan subnet diizinkan. Lalu lintas internet masuk ke yang dikecualikan VPCs dan subnet diblokir. Ini hanya berlaku ketika BPA diatur ke dua arah.
Pengecualian VPC BPA menetapkan seluruh VPC atau subnet tertentu dalam VPC sebagai kemampuan akses publik. Antarmuka jaringan dalam batas tersebut menghormati kontrol jaringan VPC reguler, seperti grup keamanan, tabel rute, dan jaringan ACLs, sehubungan dengan apakah antarmuka tersebut memiliki rute dan akses ke internet publik. Untuk informasi selengkapnya tentang menambahkan pengecualian, lihat [Membuat dan menghapus pengecualian di Panduan](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) Pengguna Amazon *VPC*.
**Cluster yang disediakan**
Grup subnet adalah kombinasi subnet dari VPC yang sama. Jika grup subnet untuk klaster yang disediakan berada di akun dengan VPC BPA diaktifkan, kemampuan berikut akan diblokir:
+ Membuat klaster publik
+ Memulihkan klaster publik
+ Memodifikasi klaster pribadi menjadi publik
+ Menambahkan subnet dengan VPC BPA diaktifkan ke grup subnet ketika setidaknya ada satu cluster publik dalam grup
**Cluster tanpa server**
Redshift Serverless tidak menggunakan grup subnet. Sebaliknya, setiap cluster memiliki set subnet sendiri. Jika grup kerja ada di akun dengan VPC BPA dihidupkan, kemampuan berikut diblokir:
+ Membuat workgroup akses publik
+ Memodifikasi grup kerja pribadi menjadi publik
+ Menambahkan subnet dengan VPC BPA dihidupkan ke workgroup saat workgroup bersifat publik
# Mengontrol lalu lintas jaringan dengan perutean VPC Redshift yang ditingkatkan
Saat Anda menggunakan perutean VPC Amazon Redshift yang disempurnakan, Amazon Redshift memaksa [semua](https://docs.aws.amazon.com/redshift/latest/dg/r_COPY.html) lalu lintas COPY [dan](https://docs.aws.amazon.com/redshift/latest/dg/r_UNLOAD.html) UNLOAD antara cluster dan repositori data Anda melalui virtual private cloud (VPC) berdasarkan layanan Amazon VPC. *Dengan menggunakan perutean VPC yang disempurnakan, Anda dapat menggunakan fitur VPC standar, seperti [grup keamanan VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html), [daftar kontrol akses jaringan (), titik akhir VPC, kebijakan titik akhir ACLs VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html)[, [gateway internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html),](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) [dan server Sistem Nama Domain](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) [(](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html)DNS), seperti yang dijelaskan dalam Panduan Pengguna Amazon VPC.* Anda menggunakan fitur ini untuk mengontrol aliran data antara cluster Amazon Redshift dan sumber daya lainnya. Saat Anda menggunakan perutean VPC yang disempurnakan untuk merutekan lalu lintas melalui VPC Anda, Anda juga dapat menggunakan [log aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) untuk memantau lalu lintas COPY dan UNLOAD.
Cluster Amazon Redshift dan workgroup Amazon Redshift Serverless keduanya mendukung peningkatan perutean VPC. Anda tidak dapat menggunakan perutean VPC yang disempurnakan dengan Redshift Spectrum. Untuk informasi selengkapnya, lihat [Mengakses bucket Amazon S3 dengan Redshift Spectrum](spectrum-enhanced-vpc.md).
Jika perutean VPC yang disempurnakan tidak diaktifkan, Amazon Redshift merutekan lalu lintas melalui internet, termasuk lalu lintas ke layanan lain di dalam jaringan. AWS
**penting**
Karena perutean VPC yang disempurnakan memengaruhi cara Amazon Redshift mengakses sumber daya lain, perintah COPY dan UNLOAD mungkin gagal kecuali Anda mengonfigurasi VPC dengan benar. Anda harus secara khusus membuat jalur jaringan antara VPC klaster Anda dan sumber daya data Anda, seperti yang dijelaskan berikut.
Saat Anda menjalankan perintah COPY atau UNLOAD di klaster dengan perutean VPC yang ditingkatkan diaktifkan, VPC Anda merutekan lalu lintas ke sumber daya yang ditentukan menggunakan jalur jaringan paling ketat, atau paling spesifik, *yang* tersedia.
Misalnya, Anda dapat mengonfigurasi jalur berikut di VPC Anda:
+ **Titik akhir VPC** — Untuk lalu lintas ke bucket Amazon S3 di AWS Wilayah yang sama dengan klaster atau grup kerja, Anda dapat membuat titik akhir VPC untuk mengarahkan lalu lintas langsung ke bucket. Saat menggunakan titik akhir VPC, Anda dapat melampirkan kebijakan titik akhir untuk mengelola akses ke Amazon S3. Untuk informasi selengkapnya tentang penggunaan titik akhir dengan Redshift, lihat. [Mengontrol lalu lintas database dengan titik akhir VPC](enhanced-vpc-working-with-endpoints.md) Jika Anda menggunakan Lake Formation, Anda dapat menemukan informasi lebih lanjut tentang membuat koneksi pribadi antara VPC dan AWS Lake Formation di [AWS Lake Formation dan antarmuka VPC endpoint](https://docs.aws.amazon.com/lake-formation/latest/dg/privatelink.html) ().AWS PrivateLink
**catatan**
Saat Anda menggunakan titik akhir VPC Redshift dengan titik akhir Amazon S3 VPC Gateway, Anda harus mengaktifkan perutean VPC yang disempurnakan di Redshift. Untuk informasi selengkapnya, lihat [Titik akhir gateway untuk Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html).
+ **Gateway NAT** - Anda dapat terhubung ke bucket Amazon S3 di Wilayah AWS lain, dan Anda dapat terhubung ke layanan lain dalam AWS jaringan. Anda juga dapat mengakses instance host di luar AWS jaringan. Untuk melakukannya, konfigurasikan [gateway terjemahan alamat jaringan (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), seperti yang dijelaskan dalam Panduan Pengguna *Amazon VPC*.
+ **Internet gateway** *— Untuk terhubung ke AWS layanan di luar VPC Anda, Anda dapat melampirkan [gateway internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) ke subnet VPC Anda, seperti yang dijelaskan dalam Panduan Pengguna Amazon VPC.* Untuk menggunakan gateway internet, cluster atau workgroup Anda harus dapat diakses publik untuk memungkinkan layanan lain mengkomunikasikannya.
Untuk informasi selengkapnya, lihat [Titik Akhir VPC di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) Pengguna Amazon VPC.
Tidak ada biaya tambahan untuk menggunakan perutean VPC yang disempurnakan. Anda mungkin dikenakan biaya transfer data tambahan untuk operasi tertentu. Ini termasuk operasi seperti UNLOAD ke Amazon S3 di Wilayah yang AWS berbeda. SALIN dari Amazon EMR, atau Secure Shell (SSH) dengan alamat IP publik. Untuk informasi selengkapnya tentang harga, lihat Harga [Amazon EC2](https://aws.amazon.com/ec2/pricing/).
**Topics**
+ [Mengontrol lalu lintas database dengan titik akhir VPC](enhanced-vpc-working-with-endpoints.md)
+ [Mengaktifkan perutean VPC yang disempurnakan](enhanced-vpc-enabling-cluster.md)
+ [Mengakses bucket Amazon S3 dengan Redshift Spectrum](spectrum-enhanced-vpc.md)
# Mengontrol lalu lintas database dengan titik akhir VPC
Anda dapat menggunakan titik akhir VPC untuk membuat koneksi terkelola antara cluster Amazon Redshift atau workgroup Tanpa Server di VPC dan Amazon Simple Storage Service (Amazon S3). Ketika Anda melakukannya, COPY dan BONGKAR lalu lintas antara database Anda dan data Anda di Amazon S3 tetap berada di Amazon VPC Anda. Anda dapat melampirkan kebijakan titik akhir ke titik akhir Anda untuk mengelola akses ke data Anda dengan lebih dekat. Misalnya, Anda dapat menambahkan kebijakan ke titik akhir VPC yang mengizinkan pembongkaran data hanya ke bucket Amazon S3 tertentu di akun Anda.
Untuk menggunakan titik akhir VPC, buat titik akhir VPC untuk VPC tempat gudang data Anda berada, lalu aktifkan perutean VPC yang disempurnakan. Anda dapat mengaktifkan perutean VPC yang disempurnakan saat membuat klaster atau grup kerja, atau Anda dapat memodifikasi klaster atau grup kerja di VPC untuk menggunakan perutean VPC yang disempurnakan.
Titik akhir VPC menggunakan tabel rute untuk mengontrol perutean lalu lintas antara cluster atau workgroup di VPC dan Amazon S3. Semua cluster dan workgroup dalam subnet yang terkait dengan tabel rute yang ditentukan secara otomatis menggunakan endpoint tersebut untuk mengakses layanan.
VPC Anda menggunakan rute paling spesifik, atau paling ketat, yang cocok dengan lalu lintas Anda untuk menentukan cara merutekan lalu lintas. Misalnya, Anda memiliki rute di tabel rute Anda untuk semua lalu lintas internet (0.0.0.0/0) yang menunjuk ke gateway internet dan titik akhir Amazon S3. Dalam hal ini, rute titik akhir diutamakan untuk semua lalu lintas yang ditujukan untuk Amazon S3. Ini karena rentang alamat IP untuk layanan Amazon S3 lebih spesifik daripada 0.0.0.0/0. Dalam contoh ini, semua lalu lintas internet lainnya masuk ke gateway internet Anda, termasuk lalu lintas yang ditujukan untuk ember Amazon S3 di tempat lain. Wilayah AWS
Untuk informasi selengkapnya tentang membuat titik akhir, lihat [Membuat titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan Pengguna *Amazon VPC*.
Anda menggunakan kebijakan titik akhir untuk mengontrol akses dari klaster atau grup kerja ke bucket Amazon S3 yang menyimpan file data Anda. Untuk kontrol yang lebih spesifik, Anda dapat melampirkan kebijakan endpoint kustom secara opsional. Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di *Panduan AWS PrivateLink *.
**catatan**
AWS Database Migration Service (AWS DMS) adalah layanan cloud yang memungkinkan untuk memigrasikan database relasional, gudang data, dan jenis penyimpanan data lainnya. Ini dapat terhubung ke AWS sumber atau basis data target apa pun, termasuk database Amazon Redshift yang diaktifkan VPC, dengan beberapa batasan konfigurasi. Mendukung titik akhir Amazon VPC memudahkan untuk menjaga keamanan end-to-end jaringan AWS DMS untuk tugas replikasi. *Untuk informasi selengkapnya tentang penggunaan Redshift with AWS DMS, lihat [Mengonfigurasi titik akhir VPC AWS DMS sebagai sumber dan titik akhir target](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_VPC_Endpoints.html) di Panduan Pengguna.AWS Database Migration Service *
Tidak ada biaya tambahan untuk menggunakan titik akhir. Biaya standar untuk transfer data dan penggunaan sumber daya berlaku. Untuk informasi selengkapnya tentang harga, lihat Harga [Amazon EC2](https://aws.amazon.com/redshift/pricing/#Data_Transfer).
# Mengaktifkan perutean VPC yang disempurnakan
Anda dapat mengaktifkan perutean VPC yang disempurnakan saat membuat atau memodifikasi klaster, dan saat Anda membuat atau memodifikasi grup kerja Amazon Redshift Tanpa Server.
Untuk bekerja dengan perutean VPC yang disempurnakan, klaster atau grup kerja Tanpa Server Anda harus memenuhi persyaratan dan kendala berikut:
+ Cluster Anda harus dalam VPC.
Jika Anda melampirkan titik akhir VPC Amazon S3, titik akhir VPC hanya digunakan untuk akses ke bucket Amazon S3 di Wilayah yang sama. AWS [Untuk mengakses bucket di AWS Wilayah lain (tidak menggunakan titik akhir VPC) atau untuk mengakses layanan AWS lain, buat klaster atau grup kerja Tanpa Server Anda dapat diakses publik atau gunakan gateway terjemahan alamat jaringan (NAT).](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) Untuk informasi selengkapnya, lihat [Membuat klaster yang disediakan Redshift atau workgroup Amazon Redshift Serverless di VPC](getting-started-cluster-in-vpc.md).
+ Anda harus mengaktifkan resolusi Domain Name Service (DNS) di VPC Anda. Atau, jika Anda menggunakan server DNS Anda sendiri, pastikan bahwa permintaan DNS ke Amazon S3 diselesaikan dengan benar ke alamat IP yang dikelola oleh. AWS Untuk informasi lebih lanjut, lihat [Menggunakan DNS dengan VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) di *Panduan Pengguna Amazon VPC*.
+ Nama host DNS harus diaktifkan di VPC Anda. Nama host DNS diaktifkan secara default.
+ Kebijakan titik akhir VPC Anda harus mengizinkan akses ke bucket Amazon S3 apa pun yang digunakan dengan panggilan COPY, UNLOAD, atau CREATE LIBRARY di Amazon Redshift, termasuk akses ke file manifes apa pun yang terlibat. Untuk COPY dari host jarak jauh, kebijakan endpoint Anda harus mengizinkan akses ke setiap mesin host. Untuk informasi selengkapnya, lihat [Izin IAM untuk COPY, UNLOAD, dan CREATE LIBRARY di Panduan Pengembang](https://docs.aws.amazon.com/redshift/latest/dg/copy-usage_notes-access-permissions.html#copy-usage_notes-iam-permissions) Database *Amazon Redshift*.
**Untuk mengaktifkan perutean VPC yang disempurnakan untuk klaster yang disediakan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Pada menu navigasi, pilih **Dasbor cluster yang disediakan**, lalu pilih **Buat klaster** dan masukkan properti detail **Cluster**.
1. Untuk menampilkan bagian **Konfigurasi tambahan**, pilih untuk **menonaktifkan Gunakan default**.
1. Arahkan ke bagian **Jaringan dan keamanan**.
1. Untuk mengaktifkan **perutean VPC yang Ditingkatkan**, pilih **Aktifkan** untuk memaksa lalu lintas cluster melalui VPC.
1. Pilih **Buat cluster** untuk membuat cluster. Cluster mungkin membutuhkan waktu beberapa menit untuk siap digunakan.
**Untuk mengaktifkan perutean VPC yang disempurnakan untuk Amazon Redshift Tanpa Server**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Pada menu navigasi, pilih **Dasbor tanpa server**, lalu pilih **Buat grup kerja dan masukkan properti untuk grup kerja** Anda.
1. Arahkan ke bagian **Jaringan dan keamanan**.
1. Pilih **Aktifkan perutean VPC yang disempurnakan untuk merutekan** lalu lintas jaringan melalui VPC.
1. Pilih **Berikutnya** dan selesai memasukkan properti workgroup Anda sampai Anda **membuat** workgroup.
# Mengakses bucket Amazon S3 dengan Redshift Spectrum
Secara umum, Amazon Redshift Spectrum tidak mendukung perutean VPC yang disempurnakan dengan kluster yang disediakan, meskipun kluster yang disediakan dapat menanyakan tabel eksternal dari Amazon S3 saat perutean VPC yang disempurnakan diaktifkan.
Perutean VPC Amazon Redshift yang disempurnakan mengirimkan lalu lintas tertentu melalui VPC Anda, yang berarti bahwa semua lalu lintas antara cluster Anda dan bucket Amazon S3 Anda terpaksa melewati VPC Amazon Anda. Karena Redshift Spectrum berjalan pada sumber daya AWS terkelola yang dimiliki oleh Amazon Redshift tetapi berada di luar VPC Anda, Redshift Spectrum tidak menggunakan perutean VPC yang disempurnakan.
Lalu lintas antara Redshift Spectrum dan Amazon S3 dirutekan dengan aman melalui jaringan pribadi, AWS di luar VPC Anda. Lalu lintas dalam penerbangan ditandatangani menggunakan protokol Amazon Signature Version 4 (SIGv4) dan dienkripsi menggunakan HTTPS. Lalu lintas ini diotorisasi berdasarkan peran IAM yang dilampirkan ke cluster Amazon Redshift Anda. Untuk mengelola lalu lintas Redshift Spectrum lebih lanjut, Anda dapat memodifikasi peran IAM klaster dan kebijakan yang dilampirkan ke bucket Amazon S3. Anda mungkin juga perlu mengonfigurasi VPC Anda untuk memungkinkan klaster Anda mengakses atau AWS Glue Athena, seperti yang dijelaskan berikut ini.
Perhatikan bahwa karena perutean VPC yang disempurnakan memengaruhi cara Amazon Redshift mengakses sumber daya lain, kueri mungkin gagal kecuali Anda mengonfigurasi VPC dengan benar. Untuk informasi selengkapnya, lihat[Mengontrol lalu lintas jaringan dengan perutean VPC Redshift yang ditingkatkan](enhanced-vpc-routing.md), yang membahas secara lebih rinci membuat titik akhir VPC, gateway NAT, dan sumber daya jaringan lainnya untuk mengarahkan lalu lintas ke bucket Amazon S3 Anda.
**catatan**
Amazon Redshift Serverless mendukung perutean VPC yang disempurnakan untuk kueri ke tabel eksternal di Amazon S3. Untuk informasi selengkapnya tentang konfigurasi, lihat [Memuat data dari Amazon S3 di Panduan](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html#serverless-load-data-from-s3) Memulai Tanpa Server Amazon Redshift.
## Konfigurasi kebijakan izin saat menggunakan Amazon Redshift Spectrum
Pertimbangkan hal berikut saat menggunakan Redshift Spectrum:
+ [Kebijakan akses bucket Amazon S3 dan peran IAM](#spectrum-enhanced-vpc-considerations-policies)
+ [Izin untuk mengasumsikan peran IAM](#spectrum-enhanced-vpc-considerations-cluster-role)
+ [Pencatatan dan audit akses Amazon S3](#spectrum-enhanced-vpc-considerations-logging-s3)
+ [Akses ke AWS Glue atau Amazon Athena](#spectrum-enhanced-vpc-considerations-glue-access)
### Kebijakan akses bucket Amazon S3 dan peran IAM
Anda dapat mengontrol akses ke data di bucket Amazon S3 dengan menggunakan kebijakan bucket yang dilampirkan ke bucket dan dengan menggunakan peran IAM yang dilampirkan ke klaster yang disediakan.
Redshift Spectrum pada kluster yang disediakan tidak dapat mengakses data yang disimpan di bucket Amazon S3 yang menggunakan kebijakan bucket yang membatasi akses hanya ke titik akhir VPC yang ditentukan. Sebagai gantinya, gunakan kebijakan bucket yang membatasi akses hanya ke prinsipal tertentu, seperti AWS akun tertentu atau pengguna tertentu.
Untuk peran IAM yang diberikan akses ke bucket, gunakan hubungan kepercayaan yang memungkinkan peran hanya diasumsikan oleh prinsipal layanan Amazon Redshift. Saat dilampirkan ke cluster Anda, peran hanya dapat digunakan dalam konteks Amazon Redshift dan tidak dapat dibagikan di luar cluster. Untuk informasi selengkapnya, lihat [Membatasi akses ke peran IAM](authorizing-redshift-service-database-users.md). *Kebijakan kontrol layanan (SCP) juga dapat digunakan untuk membatasi peran lebih lanjut, lihat [Mencegah pengguna IAM dan peran membuat perubahan tertentu, dengan pengecualian untuk peran admin tertentu dalam Panduan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-restricts-with-exception) Pengguna.AWS Organizations *
**catatan**
Untuk menggunakan Redshift Spectrum, tidak ada kebijakan IAM yang memblokir penggunaan Amazon S3 URLs presigned yang dapat diterapkan. Presigned URLs yang dihasilkan oleh Amazon Redshift Spectrum berlaku selama 1 jam sehingga Amazon Redshift memiliki cukup waktu untuk memuat semua file dari bucket Amazon S3. URL presigned unik dibuat untuk setiap file yang dipindai oleh Redshift Spectrum. Untuk kebijakan bucket yang menyertakan `s3:signatureAge` tindakan, pastikan untuk menetapkan nilainya setidaknya 3.600.000 milidetik.
Contoh kebijakan bucket berikut mengizinkan akses ke bucket tertentu yang dimiliki oleh AWS akun`123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BucketPolicyForSpectrum",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::123456789012:role/redshift"]
},
"Action": [
"s3:GetObject",
"s3:ListBucketVersions",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
### Izin untuk mengasumsikan peran IAM
Peran yang dilampirkan ke klaster Anda harus memiliki hubungan kepercayaan yang memungkinkannya diasumsikan hanya oleh layanan Amazon Redshift, seperti yang ditunjukkan berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "redshift.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Untuk informasi selengkapnya, lihat [Kebijakan IAM untuk Spektrum Pergeseran Merah](https://docs.aws.amazon.com/redshift/latest/dg/c-spectrum-iam-policies.html) di Panduan Pengembang Database *Amazon Redshift*.
### Pencatatan dan audit akses Amazon S3
Salah satu manfaat menggunakan perutean VPC Amazon Redshift yang disempurnakan adalah bahwa semua lalu lintas COPY dan UNLOAD dicatat di log aliran VPC. Lalu lintas yang berasal dari Redshift Spectrum ke Amazon S3 tidak melewati VPC Anda, jadi tidak masuk ke log aliran VPC. Saat Redshift Spectrum mengakses data di Amazon S3, ia melakukan operasi ini dalam konteks AWS akun dan hak istimewa peran masing-masing. Anda dapat mencatat dan mengaudit akses Amazon S3 menggunakan akses server masuk AWS CloudTrail dan Amazon S3.
Pastikan rentang IP S3 ditambahkan ke daftar izin Anda. Untuk mempelajari lebih lanjut tentang rentang IP S3 yang diperlukan, lihat [Isolasi jaringan](https://docs.aws.amazon.com//redshift/latest/mgmt/security-network-isolation.html#network-isolation).
**AWS CloudTrail Log**
Untuk melacak semua akses ke objek di Amazon S3, termasuk akses Redshift Spectrum, aktifkan pencatatan untuk objek CloudTrail Amazon S3.
Anda dapat menggunakan CloudTrail untuk melihat, mencari, mengunduh, mengarsipkan, menganalisis, dan menanggapi aktivitas akun di seluruh AWS infrastruktur Anda. Untuk informasi selengkapnya, lihat [Memulai dengan CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-getting-started.html).
Secara default, hanya CloudTrail melacak tindakan tingkat ember. Untuk melacak tindakan tingkat objek (seperti`GetObject`), aktifkan data dan peristiwa manajemen untuk setiap bucket yang dicatat.
**Pencatatan Log Akses Server Amazon S3**
Pencatatan akses server menyediakan catatan terperinci untuk permintaan yang dilakukan ke bucket. Informasi log akses dapat berguna dalam audit keamanan dan akses. Untuk informasi selengkapnya, lihat [Cara Mengaktifkan Pencatatan Akses Server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html#server-access-logging-overview) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.*
Untuk informasi selengkapnya, lihat posting blog AWS Keamanan [Cara Menggunakan Kebijakan Bucket dan Terapkan Defense-in-Depth untuk Membantu Mengamankan Data Amazon S3 Anda](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/).
### Akses ke AWS Glue atau Amazon Athena
Redshift Spectrum mengakses katalog data Anda di atau AWS Glue Athena. Pilihan lain adalah menggunakan metastore Hive khusus untuk katalog data Anda.
Untuk mengaktifkan akses ke AWS Glue atau Athena, konfigurasikan VPC Anda dengan gateway internet atau gateway NAT. Konfigurasikan grup keamanan VPC Anda untuk mengizinkan lalu lintas keluar ke titik akhir publik untuk dan Athena. AWS Glue Atau, Anda dapat mengonfigurasi titik akhir VPC antarmuka AWS Glue untuk mengakses. AWS Glue Data Catalog Saat Anda menggunakan titik akhir antarmuka VPC, komunikasi antara VPC Anda dan AWS Glue dilakukan di dalam jaringan. AWS Untuk informasi selengkapnya, lihat [Membuat Titik Akhir Antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).
Anda dapat mengonfigurasi jalur berikut di VPC Anda:
+ **Internet gateway** *—Untuk terhubung ke AWS layanan di luar VPC Anda, Anda dapat melampirkan gateway [internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) ke subnet VPC Anda, seperti yang dijelaskan dalam Panduan Pengguna Amazon VPC.* Untuk menggunakan gateway internet, cluster yang disediakan harus memiliki alamat IP publik untuk memungkinkan layanan lain berkomunikasi dengannya.
+ **Gateway NAT** —Untuk menyambung ke bucket Amazon S3 di Wilayah AWS lain atau ke layanan lain dalam AWS jaringan, konfigurasikan gateway [terjemahan alamat jaringan (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), seperti yang dijelaskan dalam Panduan Pengguna *Amazon* VPC. Gunakan konfigurasi ini juga untuk mengakses instance host di luar AWS jaringan.
Lihat informasi yang lebih lengkap di [Mengontrol lalu lintas jaringan dengan perutean VPC Redshift yang ditingkatkan](enhanced-vpc-routing.md).