Amazon Redshift non supporterà più la creazione di nuovi Python UDFs a partire dalla Patch 198. Python esistente UDFs continuerà a funzionare fino al 30 giugno 2026. Per ulteriori informazioni, consulta il [post del blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Attività di rete
Puoi eseguire attività di rete come la personalizzazione della connessione a un database Redshift. A tale scopo consigliamo di controllare il traffico per motivi di sicurezza o altro. Puoi anche eseguire attività relative al DNS, come la configurazione di un nome di dominio personalizzato per le risorse Redshift. Queste attività di configurazione sono disponibili se disponi di un cluster con provisioning Amazon Redshift o un gruppo di lavoro Amazon Redshift serverless.
**Topics**
+ [Nomi di dominio personalizzati per le connessioni client](connecting-connection-CNAME.md)
+ [Endpoint VPC gestiti da Redshift](managing-cluster-cross-vpc.md)
+ [Risorse Redshift in un VPC](managing-clusters-vpc.md)
+ [Controllo del traffico di rete con il routing VPC avanzato di Redshift](enhanced-vpc-routing.md)
# Nomi di dominio personalizzati per le connessioni client
Puoi creare un nome di dominio personalizzato, noto anche come URL personalizzato, per il cluster Amazon Redshift e il gruppo di lavoro Amazon Redshift serverless. È un record easy-to-read DNS che indirizza le connessioni client SQL al tuo endpoint. Puoi configurarlo in qualsiasi momento per un cluster o un gruppo di lavoro esistente. Fornisce diversi vantaggi:
+ Il nome di dominio personalizzato è una stringa più semplice dell'URL predefinito che in genere include il nome del cluster o il nome del gruppo di lavoro e la regione. È più facile da richiamare e utilizzare.
+ Puoi indirizzare rapidamente il traffico verso un nuovo cluster o un nuovo gruppo di lavoro, ad esempio in caso di failover. In questo modo i client non devono apportare modifiche alla configurazione quando si riconnettono. Le connessioni possono essere reindirizzate centralmente, con interruzioni minime.
+ È possibile evitare di condividere informazioni private come il nome di un server in un URL di connessione. Puoi nasconderlo in un URL personalizzato.
Quando configuri un nome di dominio personalizzato utilizzando CNAME, Amazon Redshift non prevede costi aggiuntivi. Potresti ricevere una fattura dal tuo provider DNS per un nome di dominio, se ne crei uno nuovo, ma questo costo è in genere basso.
# Registrazione di un nome di dominio
La configurazione del nome di dominio personalizzato include diverse attività, tra cui la registrazione del nome di dominio nel provider DNS e la creazione di un certificato. Dopo aver eseguito queste operazioni, configuri il nome di dominio personalizzato nella console Amazon Redshift o nella console Amazon Redshift Serverless oppure configuralo con i comandi. AWS CLI
Devi disporre di un nome di dominio Internet registrato per configurare un nome di dominio personalizzato in Amazon Redshift. Puoi registrare un dominio Internet usando Route 53 oppure un provider di registrazione di dominio di terze parti. Queste attività vengono eseguite all'esterno della console Amazon Redshift. Un dominio registrato è un prerequisito per completare le procedure rimanenti per la creazione di un dominio personalizzato.
**Nota**
Se utilizzi un cluster con provisioning, prima di eseguire i passaggi per configurare il nome di dominio personalizzato, è necessario abilitarne il trasferimento. Per ulteriori informazioni, consulta [Rilocazione di un cluster](managing-cluster-recovery.md). Questo passaggio non è necessario per Amazon Redshift serverless.
Il nome di dominio personalizzato include in genere il dominio root e un sottodominio, ad esempio `mycluster.example.com`. Per configurarlo, esegui la procedura seguente:
**Crea una voce DNS CNAME per il nome di dominio personalizzato**
1. Registra un dominio root, ad esempio `example.com`. Facoltativamente, puoi utilizzare un dominio esistente. Il nome personalizzato può essere limitato da restrizioni su caratteri particolari o da altre convalide dei nomi. Per ulteriori informazioni sulla registrazione di un dominio, con Route 53, consulta [Registering a new domain](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html) (Registrazione di un nuovo dominio).
1. Aggiungi un record DNS CNAME che indirizzi il nome di dominio personalizzato all'endpoint Redshift per il cluster o il gruppo di lavoro. L'endpoint è disponibile nelle proprietà del cluster o del gruppo di lavoro nella console Redshift o nella console Amazon Redshift Serverless. Copia l'**URL JDBC** disponibile nelle proprietà del cluster o del gruppo di lavoro in **Informazioni generali**. URLs Appaiono come segue:
+ Per un cluster Amazon Redshift: `redshift-cluster-sample.abc123456.us-east-1.redshift.amazonaws.com`
+ Per un gruppo di lavoro Amazon Redshift serverless: `endpoint-name.012345678901.us-east-1-dev.redshift-serverless-dev.amazonaws.com`
Se l'URL include un prefisso JDBC, rimuovilo.
**Nota**
I record DNS sono soggetti a disponibilità, poiché ogni nome deve essere univoco e disponibile per l'uso all'interno dell'organizzazione.
**Limitazioni**
Sono previste un paio di restrizioni relative alla creazione di record CNAME per un dominio personalizzato:
+ La creazione di più nomi di dominio personalizzato per lo stesso cluster con provisioning o lo stesso gruppo di lavoro Amazon Redshift serverless non è supportata. Puoi associare un solo record CNAME.
+ L'associazione di un record CNAME a più di un cluster o gruppo di lavoro non è supportata. Il record CNAME di ogni risorsa Redshift deve essere univoco.
Dopo aver registrato il dominio e creato il record CNAME, selezioni un certificato nuovo o esistente. Esegui questo passaggio utilizzando AWS Certificate Manager:
Ti consigliamo di creare un [certificato DNS convalidato](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) che soddisfi l'idoneità per il rinnovo gestito, disponibile con AWS Certificate Manager. Rinnovo gestito significa che ACM rinnova automaticamente i certificati o ti invia avvisi tramite e-mail quando si avvicina la scadenza. Per ulteriori informazioni, consulta [Rinnovo gestito per i certificati ACM](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html).
# Richiesta di un certificato per un nome di dominio
Amazon Redshift o Amazon Redshift serverless richiede un certificato SSL (Secure Sockets Layer) convalidato per un endpoint personalizzato per proteggere le comunicazioni e verificare la proprietà del nome di dominio. Puoi utilizzare il tuo AWS Certificate Manager account con un AWS KMS key per una gestione sicura dei certificati. La convalida della sicurezza include la verifica completa del nome host (*sslmode=verify-full*).
I rinnovi dei certificati sono gestiti da Amazon Redshift solo quando scegli la convalida DNS anziché la convalida via e-mail. Se utilizzi la convalida via e-mail, puoi utilizzare il certificato, ma è necessario effettuare personalmente il rinnovo prima della scadenza. Consigliamo di scegliere la convalida DNS per il certificato. Puoi monitorare le date di scadenza dei certificati importati in AWS Certificate Manager.
**Richiesta di un certificato fornito da ACM per un nome di dominio**
1. Accedi Console di gestione AWS e apri la console ACM all'indirizzo [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).
1. Scegli **Request a certificate** (Richiedi un certificato).
1. Immetti il nome del dominio personalizzato nel campo **Nome dominio**.
**Nota**
Puoi specificare molti prefissi, oltre al dominio del certificato, per utilizzare un singolo certificato per più record di dominio personalizzati. Per maggiore chiarezza, puoi utilizzare record aggiuntivi come `one.example.com` e `two.example.com` oppure un record DNS jolly come `*.example.com` con lo stesso certificato.
1. Seleziona **Review and request** (Riconsulta e richiedi).
1. Seleziona **Confirm and request** (Conferma e richiedi).
1. Per una richiesta valida, un proprietario registrato del dominio Internet deve accettare la richiesta prima che ACM emetta il certificato. Assicurati che lo stato appaia come **Emesso** nella console ACM, al termine delle fasi.
# Configurazione di un dominio personalizzato
Puoi utilizzare la console Amazon Redshift o Amazon Redshift serverless per creare l'URL del dominio personalizzato. Se non l'hai configurata, la proprietà **Nome dominio personalizzato** viene visualizzata come un trattino (**-**) in **Informazioni generali**. Dopo aver creato il record CNAME e il certificato, associ il nome del dominio personalizzato al cluster o al gruppo di lavoro.
Per creare un'associazione di dominio personalizzato, sono necessarie le seguenti autorizzazioni IAM:
+ `redshift:CreateCustomDomainAssociation`: è possibile limitare l'autorizzazione a un cluster specifico aggiungendo il relativo ARN.
+ `redshiftServerless:CreateCustomDomainAssociation`: è possibile limitare l'autorizzazione a un gruppo di lavoro specifico aggiungendo il relativo ARN.
+ `acm:DescribeCertificate`
Come best practice, consigliamo di collegare le policy di autorizzazioni a un ruolo IAM, che quindi viene assegnato a utenti e gruppi secondo le necessità. Per ulteriori informazioni, consulta [Identity and access management in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
Puoi assegnare il nome di dominio personalizzato eseguendo la procedura seguente.
1. Scegli il cluster nella console Redshift o il gruppo di lavoro nella console Amazon Redshift serverless, quindi seleziona **Crea nome dominio personalizzato** nel menu **Operazioni**. Viene visualizzata una finestra di dialogo.
1. Inserisci il nome di dominio personalizzato.
1. Seleziona il modulo ARN AWS Certificate Manager per il certificato **ACM**. Confermare le modifiche. In base alle indicazioni fornite nei passaggi che hai seguito per creare il certificato, ti consigliamo di scegliere un certificato DNS convalidato tramite cui sia idoneo al rinnovo gestito. AWS Certificate Manager
1. Verifica nelle proprietà del cluster che **Nome dominio personalizzato** e **ARN del certificato del nome dominio personalizzato** siano compilati con le tue immissioni. È inoltre elencata la **Data di scadenza del certificato del dominio personalizzato**.
Dopo la configurazione del dominio personalizzato, l'utilizzo di `sslmode=verify-full` funziona solo per il nuovo dominio personalizzato. Non funziona con l'endpoint predefinito. Ma puoi comunque connetterti all'endpoint predefinito utilizzando altre modalità SSL, ad esempio `sslmode=verify-ca`.
**Nota**
Tieni presente che la [rilocazione del cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-cluster-recovery.html) non è un prerequisito per la configurazione di ulteriori funzionalità di rete di Redshift. Non è necessario attivarlo per abilitare le seguenti attività:
**Connessione da un VPC multiaccount o interregionale a Redshift**: puoi connetterti da un cloud privato AWS virtuale (VPC) a un altro che contiene un database Redshift. Ciò semplifica la gestione, ad esempio, dell'accesso dei client da account diversi o VPCs, senza dover fornire l'accesso VPC locale alle identità che si connettono al database. Per ulteriori informazioni, consulta [Connessione ad Amazon Redshift serverless da un endpoint VPC Redshift di un altro account o un'altra regione](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html#serverless-cross-vpc).
**Configurazione di un nome di dominio personalizzato**: è possibile creare un nome di dominio personalizzato, come descritto in questo argomento, per rendere il nome dell'endpoint più pertinente e semplice.
# Connessione al cluster con provisioning Amazon Redshift o al gruppo di lavoro Amazon Redshift serverless
Per connetterti con un nome di dominio personalizzato, sono necessarie le seguenti autorizzazioni IAM per un cluster con provisioning: `redshift:DescribeCustomDomainAssociations`. Per Amazon Redshift serverless, non è necessario aggiungere autorizzazioni.
Come best practice, consigliamo di collegare le policy di autorizzazioni a un ruolo IAM, che quindi viene assegnato a utenti e gruppi secondo le necessità. Per ulteriori informazioni, consulta [Identity and access management in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
Dopo aver completato i passaggi per creare il CNAME e averlo assegnato al cluster o al gruppo di lavoro nella console, puoi fornire l'URL personalizzato nelle proprietà della connessione del client SQL. Tieni presente che può verificarsi un ritardo nella propagazione del DNS immediatamente dopo la creazione di un record CNAME.
1. Apertura di un client SQL. Ad esempio, puoi usare J. SQL/Workbench Aprire le proprietà di una connessione e aggiungere il nome di dominio personalizzato per la stringa di connessione. Ad esempio, `jdbc:redshift://mycluster.example.com:5439/dev?sslmode=verify-full`. In questo esempio, `dev` specifica il database predefinito.
1. Aggiungi il **Nome utente** e la **Password** per l'utente del database.
1. Esegui il test della connessione. La capacità di eseguire query sulle risorse del database, come tabelle specifiche, può variare in base alle autorizzazioni concesse all'utente del database o ai ruoli assegnati nel database Amazon Redshift.
Tieni presente che potresti dover configurare il cluster o il gruppo di lavoro in modo che sia accessibile pubblicamente per connetterti ad esso quando si trova in un VPC. È possibile modificare questa impostazione nelle proprietà di rete.
**Nota**
Le connessioni a un nome di dominio personalizzato sono supportate con i driver JDBC, ODBC e Python.
# Ridenominazione di un cluster a cui è assegnato un dominio personalizzato
**Nota**
Questa serie di passaggi non si applica a un gruppo di lavoro Amazon Redshift serverless. Non è possibile cambiare il nome del gruppo di lavoro.
Per rinominare un cluster con un nome di dominio personalizzato, è richiesta l'autorizzazione IAM `acm:DescribeCertificate`.
1. Vai alla console Amazon Redshift e scegli il cluster di cui desideri modificare il nome. Scegli **Modifica** per modificare le proprietà del cluster.
1. Modifica l'**Identificatore del cluster**. Puoi anche modificare altre proprietà del cluster. Selezionare quindi **Save changes (Salva modifiche)**.
1. Dopo aver rinominato il cluster, devi aggiornare il record DNS per modificare la voce CNAME del dominio personalizzato in modo che punti all'endpoint Amazon Redshift aggiornato.
# Descrizione delle associazioni di un dominio personalizzato
Usa i comandi descritti in questa sezione per ottenere l'elenco dei nomi di dominio personalizzato associati a uno specifico cluster con provisioning o a uno specifico gruppo di lavoro Amazon Redshift serverless.
Sono necessarie le seguenti autorizzazioni:
+ Per un cluster con provisioning: `redshift:DescribeCustomDomainAssociations`
+ Per un gruppo di lavoro Amazon Redshift serverless: `redshiftServerless:ListCnameAssociations`
Come best practice, consigliamo di collegare le policy di autorizzazioni a un ruolo IAM, che quindi viene assegnato a utenti e gruppi secondo le necessità. Per ulteriori informazioni, consulta [Identity and access management in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
Il seguente comando di esempio consente di elencare i nomi di dominio personalizzato per un cluster Amazon Redshift:
```
aws redshift describe-custom-domain-associations ––custom-domain-name customdomainname
```
Puoi eseguire questo comando quando hai abilitato un nome di dominio personalizzato per determinare i nomi di dominio personalizzato associati al cluster. Per ulteriori informazioni sul comando CLI per la descrizione delle associazioni di dominio personalizzate, vedere. [describe-custom-domain-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/redshift/describe-custom-domain-associations.html)
Analogamente, i seguenti comandi di esempio consentono di elencare i nomi di dominio personalizzato per un determinato gruppo di lavoro Amazon Redshift serverless. Esistono diversi modi per farlo. Puoi fornire solo il nome di dominio personalizzato:
```
aws redshift-serverless list-custom-domain-associations ––custom-domain-name customdomainname
```
Puoi anche ottenere le associazioni fornendo solo l'ARN del certificato:
```
aws redshift-serverless list-custom-domain-associations ––custom-domain-certificate-arn certificatearn
```
Puoi eseguire questi comandi quando hai abilitato un nome di dominio personalizzato per determinare i nomi di dominio personalizzato associati al gruppo di lavoro. È inoltre possibile eseguire un comando per ottenere le proprietà di un'associazione di dominio personalizzato. A tale scopo, è necessario fornire il nome di dominio personalizzato e il nome del gruppo di lavoro come parametri. Il comando restituisce l'ARN del certificato, il nome del gruppo di lavoro e l'ora di scadenza del certificato del dominio personalizzato:
```
aws redshift-serverless get-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname
```
Per ulteriori informazioni sui comandi di riferimento della CLI disponibili per Amazon Redshift serverless, consulta [redshift-serverless](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/).
# Associazione di un dominio personalizzato a un certificato diverso
Per modificare l'associazione del certificato per un nome di dominio personalizzato, sono necessarie le seguenti autorizzazioni IAM:
+ `redshift:ModifyCustomDomainAssociation`
+ `acm:DescribeCertificate`
Come best practice, consigliamo di collegare le policy di autorizzazioni a un ruolo IAM, che quindi viene assegnato a utenti e gruppi secondo le necessità. Per ulteriori informazioni, consulta [Identity and access management in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
Utilizza il comando seguente per associare il dominio personalizzato a un certificato diverso. Gli argomenti `––custom-domain-name` e `custom-domain-certificate-arn` sono obbligatori. L'ARN del nuovo certificato deve essere diverso dall'ARN esistente.
```
aws redshift modify-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn
```
L'esempio seguente mostra come associare il dominio personalizzato a un certificato diverso per un gruppo di lavoro Amazon Redshift serverless.
```
aws redshift-serverless modify-custom-domain-association ––workgroup-name redshiftworkgroup ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn
```
Si verifica un ritardo massimo di 30 secondi prima di poter eseguire la connessione al cluster. Parte del ritardo si verifica quando il cluster Amazon Redshift aggiorna le sue proprietà e si verifica un ulteriore ritardo con l'aggiornamento del DNS. Per ulteriori informazioni sull'API e su ciascuna impostazione di proprietà, vedere. [ModifyCustomDomainAssociation](https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyCustomDomainAssociation.html)
# Eliminazione di un dominio personalizzato
Per eliminare il nome di dominio personalizzato, l'utente deve disporre delle autorizzazioni per le seguenti operazioni:
+ Per un cluster con provisioning: `redshift:DeleteCustomDomainAssociation`
+ Per un gruppo di lavoro Amazon Redshift serverless: `redshiftServerless:DeleteCustomDomainAssociation`
**Con la console**
È possibile eliminare il nome di dominio personalizzato selezionando il pulsante **Operazioni** e scegliendo **Elimina nome di dominio personalizzato**. Dopo aver eseguito questa operazione, puoi connetterti al server aggiornando gli strumenti per utilizzare gli endpoint elencati nella console.
**Con un comando della CLI**
L'esempio seguente mostra come eliminare il nome di dominio personalizzato. L'operazione di eliminazione ti richiede di fornire il nome di dominio personalizzato esistente per il cluster.
```
aws redshift delete-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname
```
L'esempio seguente mostra come eliminare il nome di dominio personalizzato per un gruppo di lavoro Amazon Redshift serverless. Il nome di dominio personalizzato è un parametro obbligatorio.
```
aws redshift-serverless delete-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname
```
Per ulteriori informazioni, consulta [DeleteCustomDomainAssociation](https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteCustomDomainAssociation.html).
# Endpoint VPC gestiti da Redshift
Per impostazione predefinita, un cluster Amazon Redshift o un gruppo di lavoro Amazon Redshift serverless viene sottoposto a provisioning in un cloud privato virtuale (VPC). Puoi accedervi da un altro VPC o da un’altra sottorete quando consenti l’accesso pubblico o configuri un gateway Internet, un dispositivo NAT o una connessione AWS Direct Connect per instradare il traffico al cluster. Puoi anche accedere a un cluster o a un gruppo di lavoro configurando un endpoint VPC gestito da Redshift (con tecnologia). AWS PrivateLink
Puoi configurare un endpoint VPC gestito da Redshift come connessione privata tra un VPC che contiene un cluster o un gruppo di lavoro e un VPC che esegue uno strumento client. Se il cluster o il gruppo di lavoro si trova in un altro account, il proprietario dell’account (concedente) deve concedere l’accesso all’account che desidera stabilire una connessione (beneficiario). Con questo approccio puoi accedere al data warehouse senza utilizzare un indirizzo IP pubblico o senza instradare il traffico tramite Internet.
Questi sono i motivi comuni per consentire l’accesso utilizzando un endpoint VPC gestito da Redshift:
+ AWS l'account A desidera consentire a un VPC AWS dell'account B di accedere a un cluster o gruppo di lavoro.
+ AWS l'account A desidera consentire a un VPC che si trova anche nell' AWS account A di accedere a un cluster o gruppo di lavoro.
+ AWS l'account A desidera consentire a una sottorete diversa nel VPC all' AWS interno dell'account A di accedere a un cluster o gruppo di lavoro.
Il flusso di lavoro per configurare un endpoint VPC gestito da Redshift per l’accesso a un cluster o un gruppo di lavoro in un altro account è il seguente:
1. L'account proprietario concede l'autorizzazione di accesso a un altro account e specifica l'ID dell' AWS account e l'identificatore VPC (o tutti VPCs) del beneficiario.
1. All'account beneficiario viene notificato che dispone dell'autorizzazione per creare un endpoint VPC gestito da RedShift.
1. L'account beneficiario crea un endpoint VPC gestito da RedShift.
1. L’account beneficiario può ora accedere al cluster o al gruppo di lavoro dell’account proprietario utilizzando l’endpoint VPC gestito da Redshift.
Puoi farlo utilizzando la console Amazon Redshift AWS CLI, o l'API Amazon Redshift.
## Considerazioni sull'utilizzo degli endpoint VPC gestiti da RedShift
**Nota**
Per creare o modificare endpoint VPC gestiti da Redshift, è necessaria l'`ec2:CreateVpcEndpoint`autorizzazione `ec2:ModifyVpcEndpoint` o nella policy IAM, oltre alle altre autorizzazioni specificate nella policy gestita. AWS `AmazonRedshiftFullAccess`
Quando si utilizzano gli endpoint VPC gestiti da RedShift, tenere presente quanto riportato di seguito:
+ Se utilizzi un cluster fornito, deve avere il tipo di nodo. RA3 Un gruppo di lavoro Amazon Redshift serverless funziona anche per la configurazione di un endpoint VPC.
+ Per i cluster con provisioning, assicurati che il cluster sia abilitato per la rilocazione del cluster o Multi-AZ. Per informazioni sui requisiti per attivare la rilocazione del cluster, consultare [Rilocazione di un cluster](managing-cluster-recovery.md). Per ulteriori informazioni sull’abilitazione di Multi-AZ, consulta [Configurazione di implementazioni multi-AZ durante la creazione di un nuovo cluster](create-cluster-multi-az.md).
+ Assicurati che il cluster o il gruppo di lavoro a cui accedere attraverso il gruppo di sicurezza sia disponibile all’interno degli intervalli di porte validi 5431-5455 e 8191-8215. Il valore predefinito è 5439.
+ È possibile modificare i gruppi di sicurezza VPC associati a un endpoint VPC gestito da RedShift esistente. Per modificare altre impostazioni, eliminare l'endpoint VPC gestito da RedShift corrente e crearne uno nuovo.
+ Il numero di endpoint VPC gestiti da RedShift che è possibile creare è limitato alla quota di endpoint VPC.
+ Gli endpoint VPC gestiti da RedShift non sono accessibili da Internet. Un endpoint VPC gestito da Redshift è accessibile solo all'interno del VPC in cui viene fornito l'endpoint o da qualsiasi altro dispositivo collegato al VPC in cui viene fornito l'endpoint VPCs , come consentito dalle tabelle di routing e dai gruppi di sicurezza.
+ Non è possibile utilizzare la console Amazon VPC per gestire endpoint VPC gestiti da RedShift.
+ Quando crei un endpoint VPC gestito da Redshift per un cluster con provisioning, il VPC scelto deve avere un gruppo di sottoreti. Per creare un gruppo di sottoreti, consulta [Creazione di un gruppo di sottoreti del cluster](create-cluster-subnet-group.md).
+ Se una zona di disponibilità non è attiva, Amazon Redshift non crea una nuova interfaccia di rete elastica in un’altra zona di disponibilità. In questo caso potresti dover creare un nuovo endpoint.
Per informazioni sulle quote e sui vincoli di denominazione, consultare [Quote e limiti in Amazon Redshift](amazon-redshift-limits.md).
Per informazioni sui prezzi, consultare [Prezzi di AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/).
# Concessione dell’accesso a un VPC
Se il VPC che desideri acceda al cluster o al gruppo di lavoro si trova in un altro account AWS , assicurati di autorizzarlo dall’account del proprietario (concedente).
**Per consentire a un VPC di un altro AWS account di accedere al tuo cluster o gruppo di lavoro**
1. Accedi Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Dal menu di navigazione, scegliere **Clusters** (Cluster). Per Amazon Redshift serverless, scegli **Pannello di controllo serverless**.
1. Per il cluster a cui desideri consentire l’accesso, visualizza i dettagli scegliendo il nome del cluster. Scegliere la scheda **Proprietà** del cluster.
La sezione **Account concessi** mostra gli account e i corrispondenti VPCs che hanno accesso al cluster. Per un gruppo di lavoro Amazon Redshift serverless scegli il gruppo di lavoro. Gli **Account autorizzati** sono disponibili nella scheda **Accesso ai dati**.
1. Scegliere **Concedi accesso** per visualizzare un modulo in cui immettere le **informazioni del beneficiario** per aggiungere un account.
1. Per **ID account AWS **, inserire l'ID dell'account a cui si sta concedendo l'accesso. È possibile concedere l'accesso a un account specifico VPCs o VPCs a tutti gli account specificati.
1. Scegliere **Concedi accesso** per concedere l'accesso.
# Creazione di un endpoint VPC gestito da RedShift
Se possiedi un cluster o un gruppo di lavoro o se ti è stato concesso l’accesso per gestirlo, puoi creare un endpoint VPC gestito da Redshift corrispondente.
**Come creare un endpoint VPC gestito da RedShift**
1. Accedi Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Nel menu di navigazione, scegliere **Configurations** (Configurazioni).
La pagina **Configurazioni** riporta gli endpoint VPC gestiti da RedShift che sono stati creati. Per visualizzare i dettagli di un endpoint, sceglierne il nome. Per Amazon Redshift serverless, gli endpoint VPC si trovano nella scheda **Accesso ai dati**, quando scegli il gruppo di lavoro.
1. Scegliere **Crea endpoint** per visualizzare un modulo per immettere informazioni sull'endpoint da aggiungere.
1. Inserisci i valori per il **Nome dell’endpoint**, l’**ID account AWS ** a 12 cifre, il **Cloud privato virtuale (VPC)** dove si trova l’endpoint, la **Sottorete** e il **Gruppo di sicurezza VPC**.
La sottorete in **Sottorete**definisce le sottoreti e gli indirizzi IP in cui Amazon Redshift implementa l’endpoint. Amazon Redshift sceglie una sottorete con indirizzi IP disponibili per l'interfaccia di rete associata all'endpoint.
Le regole del gruppo di sicurezza in **Gruppo di sicurezza VPC** definiscono le porte, i protocolli e le origini per il traffico in entrata che stai autorizzando per l’endpoint. Consenti l’accesso alla porta selezionata tramite il gruppo di sicurezza o l’intervallo CIDR in cui vengono eseguiti i carichi di lavoro.
1. Per creare l'endpoint VPC, scegliere **Crea endpoint**.
Dopo avere creato l’endpoint, puoi accedere al cluster o al gruppo di lavoro tramite l’URL mostrato in **URL endpoint** nelle impostazioni di configurazione per l’endpoint VPC gestito da Redshift.
# Risorse Redshift in un VPC
Puoi avviare un cluster Amazon Redshift o un gruppo di lavoro Amazon Redshift serverless in un VPC sulla piattaforma EC2-VPC basata sul servizio Amazon VPC. Per ulteriori informazioni, consulta [Usare EC2 per creare il cluster](working-with-clusters.md#cluster-platforms).
**Nota**
L'avvio di cluster e gruppi di lavoro serverless in VPCs tenancy dedicata non è supportato. Per ulteriori informazioni, consultare [Istanze dedicate](https://docs.aws.amazon.com/vpc/latest/userguide/dedicated-instance.html) nella *Guida per l'utente di Amazon VPC*.
Quando effettui il provisioning di risorse in un VPC, segui la procedura descritta:
+ **Fornisci le informazioni sul VPC.**
Quando crei un cluster con provisioning nel VPC, devi fornire le informazioni sul VPC creando un gruppo di sottoreti del cluster. Tale informazione include l'ID del VPC e una lista di sottoreti nel tuo VPC. Quando avvii un cluster, fornisci il gruppo di sottoreti in modo che Redshift possa effettuarne il provisioning in una delle sottoreti nel VPC. Il processo è simile con Amazon Redshift serverless. Assegni le sottoreti direttamente al gruppo di lavoro serverless. Ma nel caso di serverless non crei un gruppo di sottoreti. Per ulteriori informazioni sulla creazione di gruppi di sottoreti in Amazon Redshift, consultare [Sottoreti per le risorse Redshift](working-with-cluster-subnet-groups.md). Per ulteriori informazioni sulla configurazione del VPC, consulta [Nozioni di base di Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/GetStarted.html) nella *Guida alle operazioni di base di Amazon VPC*.
+ **Facoltativamente configura le opzioni di accessibilità.**
I cluster con provisioning e i gruppi di lavoro serverless in Amazon Redshift sono privati per impostazione predefinita. Se configuri il cluster con provisioning o il gruppo di lavoro serverless in modo che sia accessibile pubblicamente, Amazon Redshift utilizza un indirizzo IP elastico per l’indirizzo IP esterno. Un indirizzo IP elastico è un indirizzo IP statico. Consente di modificare la configurazione sottostante senza influire sull’indirizzo IP che i client usano per la connessione. Questo approccio può essere utile in casi come il ripristino dopo un errore. La creazione di un indirizzo IP elastico dipende dall'impostazione di trasferimento della zona di disponibilità. Sono disponibili due opzioni:
1. Se hai attivato il trasferimento della zona di disponibilità e desideri abilitare l'accesso pubblico, non devi specificare un indirizzo IP elastico. Viene assegnato un indirizzo IP elastico gestito da Amazon Redshift. È associato al tuo account AWS .
1. Se la rilocazione della zona di disponibilità è disattivata e desideri abilitare l’accesso pubblico, puoi scegliere di creare un indirizzo IP elastico per il VPC in Amazon EC2 prima di avviare il cluster o il gruppo di lavoro Amazon Redshift. Se non crei un indirizzo IP, Amazon Redshift fornisce un indirizzo IP elastico configurato da utilizzare per il VPC. Questo indirizzo IP elastico è gestito da Amazon Redshift e non è associato al tuo AWS account.
Per ulteriori informazioni, consulta [Indirizzi IP elastici](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) nella *Guida per l’utente di Amazon EC2*.
In alcuni casi potresti avere un cluster accessibile pubblicamente in un VPC. Consigliamo di connetterti a esso usando l’indirizzo IP privato dall’interno del VPC. In questo caso imposta i seguenti parametri VPC sul valore `true`:
+ `DNS resolution`
+ `DNS hostnames`
Tieni presente che con Amazon Redshift serverless non puoi connetterti in questo modo.
Supponiamo di avere un cluster con provisioning accessibile pubblicamente in un VPC ma di non impostare tali parametri su `true` nel VPC. In questi casi, le connessioni effettuate dall’interno del VPC vengono risolte nell’indirizzo IP elastico della risorsa anziché nell’indirizzo IP privato. È consigliabile impostare questi parametri su `true` e usare l'indirizzo IP privato per un cluster accessibile pubblicamente quando la connessione avviene dall'interno del VPC. Per ulteriori informazioni, consultare [Utilizzo del DNS con VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) nella *Guida per l'utente di Amazon VPC*.
**Nota**
Se hai un cluster esistente accessibile pubblicamente in un VPC, le connessioni stabilite dall’interno del VPC continuano a utilizzare l’indirizzo IP elastico per connettersi a esso fino a quando non lo ridimensioni se è un cluster con provisioning. Ciò accade anche con il set di parametri precedente. Eventuali cluster nuovi seguono il nuovo comportamento che prevede l’utilizzo dell’indirizzo IP privato per la connessione a un cluster accessibile pubblicamente dall’interno dello stesso VPC.
L’indirizzo IP elastico è un indirizzo IP esterno per l’accesso a una risorsa all’esterno di un VPC. Per un cluster con provisioning, non è correlato agli **Indirizzi IP pubblici** e agli **Indirizzi IP privati** visualizzati nella console Amazon Redshift in **Indirizzi IP dei nodi**. Gli indirizzi IP privati e pubblici dei nodi del cluster vengono visualizzati indipendentemente dal fatto che il cluster sia o meno accessibile pubblicamente. Sono usati solo in specifiche circostanze per configurare le regole di accesso sull’host remoto. Queste circostanze si verificano quando si caricano i dati da un'istanza Amazon EC2 o da un altro host remoto che utilizza una connessione Secure Shell (SSH). Per ulteriori informazioni, consultare [Fase 1: recupero della chiave pubblica del cluster e degli indirizzi IP dei nodi del cluster](https://docs.aws.amazon.com/redshift/latest/dg/loading-data-from-remote-hosts.html#load-from-host-steps-retrieve-key-and-ips) nella *Guida per gli sviluppatori di database di Amazon Redshift*.
**Nota**
Gli indirizzi IP dei nodi non sono validi per un gruppo di lavoro Redshift serverless.
Puoi associare un cluster con provisioning a un indirizzo IP elastico quando crei il cluster o lo ripristini da uno snapshot. In alcuni casi, è possibile che si desideri associare il cluster a un indirizzo IP elastico o modificare un indirizzo IP elastico associato al cluster. Per collegare un indirizzo IP elastico dopo la creazione del cluster, aggiornare innanzitutto il cluster in modo che non sia accessibile pubblicamente, quindi renderlo accessibile pubblicamente e aggiungere un indirizzo IP elastico nella stessa operazione.
Per ulteriori informazioni su come rendere accessibile al pubblico un cluster con provisioning o un gruppo di lavoro Amazon Redshift serverless e su come assegnare un indirizzo IP elastico, consulta [Accessibilità pubblica con configurazione predefinita o personalizzata del gruppo di sicurezza](https://docs.aws.amazon.com/redshift/latest/mgmt/rs-security-group-public-private.html#rs-security-group-public-default).
+ **Associa un gruppo di sicurezza VPC.**
Concedi l’accesso in entrata usando un gruppo di sicurezza VPC. Per ulteriori informazioni, consulta [Configurazione delle impostazioni di comunicazione dei gruppi di sicurezza per i cluster Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/rs-security-group-public-private.html), che fornisce indicazioni sulla configurazione delle regole in entrata e in uscita tra un client e un cluster con provisioning o un gruppo di lavoro Amazon Redshift serverless. Un’altra risorsa che consente di comprendere i gruppi di sicurezza è [Sicurezza nel VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html) nella *Guida per l’utente di Amazon VPC*.
**Ripristino di uno snapshot di un cluster con provisioning o un gruppo di lavoro serverless in un VPC**
Uno snapshot di un cluster o un gruppo di lavoro serverless in un VPC può essere ripristinato solo all’interno di un VPC e non all’esterno. Puoi eseguire il ripristino nello stesso VPC o in un altro VPC nel tuo account. Per ulteriori informazioni sugli snapshot, consulta [Snapshot e backup di Amazon Redshift](working-with-snapshots.md).
# Creazione di un cluster con provisioning Redshift o un gruppo di lavoro Amazon Redshift serverless in un VPC
Di seguito sono illustrate le fasi generali per l’implementazione di un cluster o un gruppo di lavoro nel cloud privato virtuale (VPC).
**Come creare un cluster o un gruppo di lavoro serverless in un VPC**
1. Configura un VPC: puoi creare le risorse Redshift nel VPC predefinito per l’account, se presente, oppure in un VPC che hai creato. Per ulteriori informazioni, consulta [Usare EC2 per creare il cluster](working-with-clusters.md#cluster-platforms). Per ulteriori informazioni, consulta [Sottoreti per il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) nella *Guida per l’utente di Amazon VPC*. Prendere nota di identificatore, sottorete e zona di disponibilità della sottorete del VPC. Hai bisogno di queste informazioni quando avvii il cluster o il gruppo di lavoro.
**Nota**
Devi disporre di almeno una sottorete definita nel VPC per poterla aggiungere al gruppo di sottoreti nella fase successiva. Per maggiori informazioni sull'aggiunta di una sottorete al VPC, consultare [Aggiunta di una sottorete al VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html) nella *Guida per l'utente di Amazon VPC*.
1. Creare un gruppo di sottoreti del cluster Amazon Redshift per specificare quale sottorete il cluster Amazon Redshift può usare nel VPC. Per Redshift serverless non crei un gruppo di sottoreti, ma assegni una raccolta di sottoreti al gruppo di lavoro al momento della creazione. Puoi eseguire questa operazione nel **Pannello di controllo serverless** quando crei un gruppo di lavoro.
Puoi creare un gruppo di sottoreti usando la console Amazon Redshift o a livello di programmazione. Per ulteriori informazioni, consulta [Sottoreti per le risorse Redshift](working-with-cluster-subnet-groups.md).
1. Autorizza l’accesso delle connessioni in entrata in un gruppo di sicurezza VPC che associ al cluster o al gruppo di lavoro. È possibile abilitare un client esterno al VPC (attestato sulla Internet pubblica) affinché possa collegarsi al cluster. A tale scopo associ il cluster con un gruppo di sicurezza VPC che concede l’accesso in entrata. Per ulteriori informazioni, consulta [Configurazione delle impostazioni di comunicazione dei gruppi di sicurezza per i cluster Amazon Redshift o per un gruppo di lavoro di Amazon Redshift serverless](rs-security-group-public-private.md).
1. Segui la procedura per creare un cluster nella console con provisioning Redshift o un gruppo di lavoro nella console Amazon Redshift serverless. Nella sezione **Rete e sicurezza** specifica il **Cloud privato virtuale (VPC)**, il **Gruppo di sottoreti del cluster** e il **Gruppo di sicurezza VPC** configurati.
Per una spiegazione delle fasi più dettagliate per la creazione di un cluster di data warehouse con provisioning, consulta [Nozioni di base sui data warehouse con provisioning Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/new-user.html) nella *Guida alle operazioni di base di Amazon Redshift*. Per ulteriori informazioni sulla creazione di un gruppo di lavoro Amazon Redshift serverless, consulta [Nozioni di base sui data warehouse Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html) nella *Guida alle operazioni di base di Amazon Redshift*.
Puoi seguire la procedura per testare il cluster o il gruppo di lavoro caricando i dati di esempio e provando query di esempio. Per ulteriori informazioni, consulta [Nozioni di base sui data warehouse Amazon Redshift serverless](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-launch-sample-cluster.html) nella *Guida alle operazioni di base di Amazon Redshift*.
# Gruppi di sicurezza VPC
Quando esegui il provisioning di un cluster Amazon Redshift o un gruppo di lavoro Amazon Redshift serverless, l’accesso è limitato per impostazione predefinita affinché nessuno possa accedervi. Per concedere ad altri utenti l’accesso in entrata, associalo a un gruppo di sicurezza. Se si utilizza la piattaforma EC2-VPC, è possibile usare un gruppo di sicurezza Amazon VPC esistente o definirne uno nuovo. Quindi associalo a un cluster o un gruppo di lavoro come descritto di seguito. Se utilizzi la piattaforma EC2-Classic, devi definire un gruppo di sicurezza e associarlo al cluster o al gruppo di lavoro. Per ulteriori informazioni sull’uso dei gruppi di sicurezza sulla piattaforma EC2-Classic, consulta [Gruppo di sicurezza Amazon Redshift](security-network-isolation.md#working-with-security-groups).
Un gruppo di sicurezza VPC è costituto da un set di regole che controllano l'accesso a un'istanza nel VPC, ad esempio un cluster. Le singole regole definiscono l'accesso in base a intervalli di indirizzi IP oppure ad altri gruppi di sicurezza VPC. Quando associ un gruppo di sicurezza VPC a un cluster o un gruppo di lavoro, le regole definite nel gruppo di sicurezza VPC controllano l’accesso al cluster.
A ogni cluster di cui si effettua il provisioning nella piattaforma EC2-Classic sono associati uno o più gruppi di sicurezza di Amazon VPC. Amazon VPC fornisce un gruppo di sicurezza VPC di default, creato automaticamente al momento della creazione del VPC. Ogni cluster che avvii nel VPC viene associato automaticamente al gruppo di sicurezza VPC predefinito se non ne indichi uno diverso quando le risorse Redshift. Puoi associare un gruppo di sicurezza VPC a un cluster al momento della creazione del cluster oppure successivamente, modificando il cluster.
Lo screenshot seguente mostra le regole predefinite per il gruppo di sicurezza VPC predefinito.
![\[La tabella mostra le regole in entrata e in uscita per i gruppi di sicurezza. Ogni regola ha un’origine o una destinazione, un protocollo, un intervallo di porte e commenti.\]](http://docs.aws.amazon.com/it_it/redshift/latest/mgmt/images/security_groups.png)
Puoi modificare le regole per il gruppo di sicurezza VPC predefinito per il cluster in base alle esigenze.
Se il gruppo di sicurezza VPC predefinito è sufficiente, non è necessario crearne altri. Tuttavia puoi facoltativamente creare gruppi di sicurezza VPC aggiuntivi per gestire meglio l’accesso in entrata. Ad esempio, supponiamo di eseguire un servizio in un cluster Amazon Redshift o un gruppo di lavoro serverless e di fornire ai clienti diversi livelli di servizio. Se non desideri fornire lo stesso accesso a tutti i livelli di servizio, potresti creare gruppi di sicurezza VPC separati, uno per ogni livello di servizio. Puoi quindi associare questi gruppi di sicurezza VPC al cluster o ai gruppi di lavoro.
Puoi creare fino a 100 gruppi di sicurezza VPC per un VPC e associare un gruppo di sicurezza VPC a più cluster e gruppi di lavoro. Tuttavia tieni presente che esistono limiti al numero di gruppi di sicurezza VPC che puoi associare a un cluster o un gruppo di lavoro.
Amazon Redshift applica immediatamente le modifiche a un gruppo di sicurezza del VPC. Di conseguenza, se hai associato il gruppo di sicurezza VPC a un cluster, le regole di accesso in ingresso del cluster nel gruppo di sicurezza VPC aggiornato vengono applicate immediatamente.
Puoi creare e modificare gruppi di sicurezza VPC all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Puoi anche gestire i gruppi di sicurezza VPC in modo programmatico utilizzando la CLI di AWS CLI Amazon EC2 e la. AWS Tools for Windows PowerShell Per ulteriori informazioni sull'uso dei gruppi di sicurezza del VPC, consultare [Gruppi di sicurezza per il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) nella *Guida per l'utente di Amazon VPC*.
# Configurazione delle impostazioni di comunicazione dei gruppi di sicurezza per i cluster Amazon Redshift o per un gruppo di lavoro di Amazon Redshift serverless
Questo argomento consente di configurare i gruppi di sicurezza per indirizzare e ricevere il traffico di rete in modo appropriato. I seguenti sono alcuni casi d'uso comuni:
+ Attivi l'accessibilità pubblica per un cluster Amazon Redshift o per un gruppo di lavoro di Amazon Redshift serverless, ma non riceve traffico. È necessario configurare una regola in entrata per consentire al traffico di raggiungerlo da Internet.
+ Il cluster non è accessibile al pubblico e utilizzi il gruppo di sicurezza del VPC predefinito preconfigurato per consentire il traffico in entrata. Tuttavia, è necessario utilizzare un gruppo di sicurezza diverso da quello predefinito e questo gruppo di sicurezza personalizzato non consente il traffico in entrata. È necessario configurarlo per consentire la comunicazione.
Le sezioni seguenti aiutano a scegliere la risposta corretta per ogni caso d'uso e mostrano come configurare il traffico di rete in base alle tue esigenze. Facoltativamente, puoi utilizzare i passaggi per configurare la comunicazione da altri gruppi di sicurezza privati.
**Nota**
Nella maggior parte dei casi, le impostazioni del traffico di rete non vengono configurate automaticamente in Amazon Redshift. Questo perché possono variare a livello granulare, a seconda che l'origine del traffico sia Internet o un gruppo di sicurezza privato e perché i requisiti di sicurezza variano.
## Accessibilità pubblica con configurazione predefinita o personalizzata del gruppo di sicurezza
Se stai creando o hai già un cluster, esegui la seguente procedura di configurazione per rendere il cluster accessibile pubblicamente. Ciò si applica sia quando si sceglie il gruppo di sicurezza predefinito sia un gruppo di sicurezza personalizzato:
1. Trovare le impostazioni di rete:
+ Per un cluster Amazon Redshift con provisioning, scegli la scheda **Proprietà**, quindi in **Impostazioni di rete e sicurezza**, seleziona il VPC per il cluster.
+ Per un gruppo di lavoro Amazon Redshift serverless, scegli **Configurazione del gruppo di lavoro**. Scegli il gruppo di lavoro dall'elenco. Quindi in **Accesso ai dati**, nel pannello **Rete e sicurezza** scegli **Modifica**.
1. Configura il gateway Internet e la tabella di routing per il tuo VPC. Avvii la configurazione scegliendo il VPC in base al nome. Apre il pannello di controllo del VPC. Per connettersi a un cluster o a un gruppo di lavoro accessibile da Internet, è necessario collegare un gateway Internet alla tabella di routing. Puoi effettuare la configurazione scegliendo **Tabelle di routing** nel pannello di controllo del VPC. Verifica che la destinazione del gateway Internet sia impostata con l'origine 0.0.0.0/0 o un CIDR IP pubblico. La tabella di routing deve essere associata alla sottorete VPC in cui si trova il cluster. Per ulteriori informazioni sulla configurazione dell'accesso a Internet per un VPC, come descritto qui, consulta [Abilitazione dell'accesso a Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#vpc-igw-internet-access) nella documentazione di Amazon VPC. Per ulteriori informazioni sulle tabelle di routing, consulta [Configurare le tabelle di routing](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html).
1. Dopo aver configurato il gateway Internet e la tabella di routing, torna alle impostazioni di rete per Redshift. Apri l'accesso in entrata scegliendo il gruppo di sicurezza e quindi scegliendo le **Regole in entrata**. Sceglere **Edit inbound rules (Modifica regole in entrata)**.
1. Scegli **Protocollo** e **Porta** per la regola in entrata, in base alle tue esigenze, per consentire il traffico dai client. Per un RA3 cluster, seleziona una porta compresa negli intervalli 5431-5455 o 8191-8215. Al termine, salva ciascuna regola.
1. Modifica l'impostazione **Accessibile al pubblico** per abilitarlo. Puoi effettuare questa operazione dal menu **Operazioni** del cluster o del gruppo di lavoro.
Quando attivi l'impostazione accessibile al pubblico, Redshift crea un indirizzo IP elastico. È un indirizzo IP statico associato al tuo account. AWS I client esterni al VPC possono utilizzarlo per connettersi.
Per ulteriori informazioni sulle configurazioni per i gruppi di sicurezza, consultare [Gruppo di sicurezza Amazon Redshift](security-network-isolation.md#working-with-security-groups).
Puoi testare le regole connettendoti a un client. Esegui le seguenti operazioni se ti connetti ad Amazon Redshift serverless. Dopo aver completato la configurazione di rete, connettiti al tuo strumento client, ad esempio [Amazon Redshift RSQL](https://docs.aws.amazon.com/redshift/latest/mgmt/rsql-query-tool.html). Utilizzando il tuo dominio Amazon Redshift Serverless come host, inserisci quanto segue:
```
rsql -h workgroup-name.account-id.region.amazonaws.com -U admin -d dev -p 5439
```
## Accessibilità privata con configurazione predefinita o personalizzata del gruppo di sicurezza
Quando non comunichi tramite Internet con il cluster o gruppo di lavoro, si fa riferimento all'accesso *privato*. Se hai scelto il gruppo di sicurezza predefinito al momento della creazione, il gruppo di sicurezza include le seguenti regole di comunicazione predefinite:
+ Una regola in entrata che consente il traffico in entrata da tutte le risorse assegnate a questo gruppo di sicurezza.
+ Una regola in uscita che consente tutto il traffico in uscita. La destinazione di questa regola è 0.0.0.0/0. Nella notazione routing interdominio senza classi (CIDR), rappresenta tutti gli indirizzi IP possibili.
Puoi visualizzare le regole nella console selezionando il gruppo di sicurezza per il cluster o il gruppo di lavoro.
Se il cluster o il gruppo di lavoro e il client utilizzano entrambi il gruppo di sicurezza predefinito, non è necessaria alcuna configurazione aggiuntiva per consentire il traffico di rete. Tuttavia, se elimini o modifichi delle regole nel gruppo di sicurezza predefinito per Redshift o per il client, ciò non si applica più. In questo caso, è devi configurare le regole per consentire le comunicazioni in entrata e in uscita. Una configurazione comune dei gruppi di sicurezza è la seguente:
+ Per un'istanza client di Amazon EC2:
+ Una regola in entrata che consente l'indirizzo IP del client.
+ Una regola in uscita che consente l'intervallo di indirizzi IP (blocco CIDR) di tutte le sottoreti fornite per l'utilizzo di Redshift. Oppure puoi specificare 0.0.0.0/0, che rappresenta tutti gli intervalli di indirizzi IP.
+ Per il cluster o gruppo di lavoro Redshift:
+ Una regola in entrata che consente gruppo di sicurezza client.
+ Una regola in uscita che consente il traffico verso 0.0.0.0/0. In genere, la regola in uscita consente tutto il traffico in uscita. Facoltativamente, puoi aggiungere una regola in uscita per consentire il traffico verso il gruppo di sicurezza del client. In questo caso facoltativo, non è sempre necessaria una regola in uscita, poiché il traffico di risposta per ogni richiesta può raggiungere l'istanza. Per ulteriori dettagli sul comportamento di richiesta e risposta, consulta [Gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html) nella *Guida per l'utente di Amazon VPC*.
Se modifichi la configurazione per qualsiasi sottorete o gruppo di sicurezza specificati per l'utilizzo di Redshift, potrebbe essere necessario modificare le regole del traffico di conseguenza per mantenere aperta la comunicazione. Per ulteriori informazioni sulla creazione di regole in entrata e in uscita, consulta [Blocchi CIDR del VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) nella *Guida per l'utente di Amazon VPC*. Per informazioni sulla connessione ad Amazon Redshift da un client, consulta [Configurazione delle connessioni in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/configuring-connections.html).
# Sottoreti per le risorse Redshift
Se crei un cluster con provisioning in un cloud privato virtuale (VPC), formi un gruppo di sottoreti. Ogni VPC può avere una o più sottoreti, che sono i sottoinsiemi di indirizzi IP all’interno del VPC, che permettono di raggruppare le risorse in base alle esigenze di sicurezza e operative. Quando crei un cluster con provisioning, formi un gruppo di sottoreti per specificare un set di sottoreti nel VPC. Nel **Pannello di controllo dei cluster con provisioning** puoi trovare e modificare i gruppi di sottoreti del cluster in **Configurazioni**. Durante la configurazione iniziale per un cluster con provisioning, specifichi il gruppo di sottoreti e Amazon Redshift crea il cluster in una delle relative sottoreti. Per ulteriori informazioni sul servizio VPC, consulta la pagina dei dettagli del prodotto [Amazon VPC](https://aws.amazon.com/vpc/).
La configurazione della sottorete per un gruppo di lavoro Amazon Redshift serverless è simile a quella di un cluster con provisioning, ma le fasi sono leggermente diverse. Quando crei e configuri un gruppo di lavoro serverless, specifichi le sottoreti per il gruppo di lavoro e queste vengono aggiunte a un elenco. Puoi visualizzare le sottoreti per un gruppo di lavoro esistente selezionando le proprietà del gruppo di lavoro nel **Pannello di controllo serverless.** Sono disponibili nelle proprietà **Rete e sicurezza**. Per ulteriori informazioni, consulta [Creazione di un gruppo di lavoro con un namespace](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups-create-workgroup-wizard.html).
Per ulteriori informazioni sulla creazione di un VPC, consulta la [Guida per l’utente di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).
Dopo avere creato un gruppo di sottoreti per un cluster con provisioning o avere scelto le sottoreti per un gruppo di lavoro serverless, puoi rimuovere le sottoreti aggiunte in precedenza o aggiungerne altre. Puoi apportare queste modifiche tramite la console o utilizzando le operazioni API. Per ulteriori informazioni sulle operazioni API per un cluster con provisioning, vedere [ModifyClusterSubnetGroup](https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyClusterSubnetGroup.html). Per le operazioni API per un gruppo di lavoro Serverless, consulta. [UpdateWorkgroup](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateWorkgroup.html)
Puoi eseguire il provisioning di un cluster su una delle sottoreti nel gruppo di sottoreti. Un gruppo di sottoreti del cluster permette di specificare un set di sottoreti nel VPC.
**avvertimento**
Durante le operazioni di manutenzione del cluster, come il ridimensionamento classico, la pausa e la ripresa, i failover Multi-AZ o altri eventi, i nodi di calcolo con provisioning potrebbero essere spostati in un’altra sottorete all’interno del gruppo di sottoreti del cluster Amazon Redshift. Tieni presente che tutte le sottoreti di un gruppo di sottoreti devono avere le stesse regole della lista di controllo degli accessi di rete in entrata e in uscita e gli stessi percorsi della tabella di routing. Ciò garantisce la connettività da e verso le risorse di calcolo di Amazon Redshift in modo che possano comunicare e funzionare in modo ottimale dopo tali eventi di manutenzione. Evita di aggiungere sottoreti con diverse configurazioni della lista di controllo degli accessi di rete o delle tabelle di routing allo stesso gruppo di sottoreti del cluster Amazon Redshift.
Per ulteriori informazioni sulla configurazione delle sottoreti, consulta [Sottoreti per il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) nella Guida per l’utente di Amazon VPC. Per ulteriori informazioni sulle implementazioni multi-AZ di Redshift, consulta [Implementazione Multi-AZ](managing-cluster-multi-az.md) nella Guida alla gestione di Redshift. [Ridimensionamento di un cluster](resizing-cluster.md) è trattato anche nella Guida alla gestione di Redshift.
# Creazione di un gruppo di sottoreti del cluster
Nella procedura seguente viene illustrato come creare un gruppo di sottoreti per un cluster con provisioning. Per eseguire il provisioning di un cluster in un VPC, è necessario che sia definito almeno un gruppo di sottoreti del cluster.
**Come creare un gruppo di sottoreti del cluster per un cluster con provisioning**
1. Accedi a Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Dal menu di navigazione, scegliere **Configurations** (Configurazioni), quindi scegliere **Subnet groups** (Gruppi di sottoreti). Viene visualizzato l'elenco dei gruppi di sottoreti.
1. Scegli **Create cluster subnet group (Crea gruppo di sottoreti del cluster)** per visualizzare la pagina di creazione.
1. Inserisci le informazioni sul gruppo di sottoreti, incluse le sottoreti da aggiungere.
1. Scegli **Create cluster subnet group (Crea gruppo di sottoreti del cluster)** per creare il gruppo con le sottoreti prescelte.
**Nota**
Per informazioni su come creare un gruppo di lavoro Amazon Redshift serverless con una raccolta di sottoreti, consulta [Creazione di un gruppo di lavoro con un namespace](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups-create-workgroup-wizard.html) o [Creare una sottorete](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) nella Guida per l’utente di Amazon VPC.
# Modifica di un gruppo di sottoreti di cluster
Dopo avere creato un gruppo di sottoreti, puoi modificarne le informazioni sulla console Amazon Redshift. Nella procedura seguente viene illustrato come modificare un gruppo di sottoreti per un cluster con provisioning.
**Come modificare un gruppo di sottoreti del cluster per un cluster con provisioning**
1. Accedi a Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Dal menu di navigazione, scegliere **Configurations** (Configurazioni), quindi scegliere **Subnet groups** (Gruppi di sottoreti). Viene visualizzato l'elenco dei gruppi di sottoreti.
1. Scegli il gruppo di sottoreti da modificare.
1. Alla voce **Actions (Operazioni)**, scegli **Modify (Modifica)** per visualizzare i dettagli del gruppo di sottoreti.
1. Aggiorna le informazione del gruppo di sottoreti.
1. Scegli **Save (Salva)** per modificare il gruppo.
In alcuni casi, per la modifica o la rimozione delle sottoreti sono necessarie fasi aggiuntive. Ad esempio, questo articolo di AWS Knowledge Center, [How do I move my provisioned Amazon Redshift cluster into a different subnet?](https://repost.aws//knowledge-center/redshift-move-subnet) (Come posso spostare il mio cluster Amazon Redshift con provisioning in una sottorete diversa?), descrive un caso d'uso che riguarda lo spostamento di un cluster.
# Eliminazione di un gruppo di sottoreti del cluster per un cluster con provisioning
Quando hai finito di usare un gruppo di sottoreti del cluster, dovresti eliminare il gruppo. Nella procedura seguente vengono illustrate le fasi per eliminare un gruppo di sottoreti per un cluster con provisioning.
**Per eliminare un gruppo di sottoreti del cluster**
1. Accedi a Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Dal menu di navigazione, scegliere **Configurations** (Configurazioni), quindi scegliere **Subnet groups** (Gruppi di sottoreti). Viene visualizzato l'elenco dei gruppi di sottoreti.
1. Scegli il gruppo di sottoreti da eliminare, scegli quindi **Delete (Elimina)**.
**Nota**
Non è possibile eliminare un gruppo di sottoreti utilizzato da un cluster.
# Blocco dell'accesso pubblico alle sottoreti VPCs e alle sottoreti
VPC Block Public Access (BPA) è una funzionalità di sicurezza centralizzata che puoi utilizzare per impedire alle risorse VPCs e alle sottoreti di tua proprietà di raggiungere Internet o essere raggiunte Regione AWS da Internet tramite gateway Internet e gateway Internet solo in uscita. Se attivi questa funzionalità in un file Account AWS, per impostazione predefinita avrà un impatto su qualsiasi VPC o sottorete utilizzato da Amazon Redshift. Ciò significa che Amazon Redshift blocca tutte le operazioni al pubblico.
Quando hai attivato VPC BPA e desideri utilizzare le API di Amazon Redshift su Internet pubblico, devi aggiungere un'esclusione per l'utilizzo di Amazon EC2 per il tuo VPC o sottorete. APIs Le esclusioni possono avere una delle seguenti modalità:
+ **Bidirezionale**: è consentito tutto il traffico Internet da e verso le sottoreti e le sottoreti escluse. VPCs
+ **Solo in uscita: è consentito il traffico Internet in uscita dalle sottoreti** e dalle sottoreti escluse. VPCs Il traffico Internet in entrata verso le sottoreti e le sottoreti escluse è bloccato. VPCs Questo vale solo quando BPA è impostato su Bidirezionale.
Le esclusioni di VPC BPA designano un intero VPC o una sottorete specifica all’interno di un VPC come abilitati per l’accesso pubblico. Le interfacce di rete all'interno di tale limite rispettano i normali controlli di rete VPC, come i gruppi di sicurezza, le tabelle di routing e la rete ACLs, per quanto riguarda il fatto che tale interfaccia abbia un percorso e l'accesso alla rete Internet pubblica. Per ulteriori informazioni sull’aggiunta di esclusioni, consulta [Creare ed eliminare esclusioni](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) nella *Guida per l’utente di Amazon VPC*.
**Cluster con provisioning**
Una sottorete è una combinazione di sottoreti dallo stesso VPC. Se un gruppo di sottoreti per un cluster con provisioning si trova in un account con VPC BPA attivato, le funzionalità seguenti sono bloccate:
+ Creazione di un cluster pubblico
+ Ripristino di un cluster pubblico
+ Modifica di un cluster privato in pubblico
+ Aggiunta di una sottorete con VPC BPA attivato per il gruppo di sottoreti quando è presente almeno un cluster pubblico all’interno del gruppo
**Cluster serverless**
Redshift serverless non utilizza gruppi di sottoreti. Ogni cluster ha invece il proprio set di sottoreti. Se un gruppo di lavoro si trova in un account con VPC BPA attivato, le funzionalità seguenti sono bloccate:
+ Creazione di un gruppo di lavoro ad accesso pubblico
+ Modifica di un gruppo di lavoro privato in pubblico
+ Aggiunta di una sottorete con VPC BPA attivato per il gruppo di lavoro quando il gruppo di lavoro è pubblico
# Controllo del traffico di rete con il routing VPC avanzato di Redshift
Quando si utilizza il routing VPC avanzato di Amazon Redshift, Amazon Redshift forza il passaggio di tutto il traffico dei comandi [COPY](https://docs.aws.amazon.com/redshift/latest/dg/r_COPY.html) e [UNLOAD](https://docs.aws.amazon.com/redshift/latest/dg/r_UNLOAD.html) tra il cluster e i repository di dati attraverso il Virtual Private Cloud (VPC) basato sul servizio Amazon VPC. *Utilizzando il routing VPC avanzato, puoi utilizzare funzionalità VPC standard, come [gruppi di sicurezza VPC, liste di controllo degli accessi alla rete (), endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)[, policy degli endpoint ACLs VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html)[,](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) [[gateway Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) e server [DNS (Domain Name System)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html), come descritto nella Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) User Guide.* Utilizza queste funzionalità per controllare il flusso di dati tra il cluster Amazon Redshift e altre risorse. Quando si utilizza il routing VPC avanzato per instradare il traffico nel VPC, è possibile usare anche i [log di flusso VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) per monitorare il traffico di COPY e UNLOAD.
I cluster Amazon Redshift e i gruppi di lavoro Amazon Redshift serverless supportano entrambi il routing VPC avanzato. Non è possibile utilizzare il routing VPC avanzato con Amazon Redshift Spectrum. Per ulteriori informazioni, consulta [Accesso ai bucket Amazon S3 con Redshift Spectrum](spectrum-enhanced-vpc.md).
Se il routing VPC avanzato non è attivato, Amazon Redshift indirizza il traffico attraverso Internet, incluso il traffico verso altri servizi all'interno della rete. AWS
**Importante**
Poiché il routing VPC avanzato influisce sul modo in cui Amazon Redshift accede alle altre risorse, se il VPC non viene configurato correttamente i comandi COPY e UNLOAD potrebbero avere esito negativo. È necessario creare un percorso di rete tra il VPC del cluster e le risorse di dati, come descritto di seguito.
Quando si esegue un comando COPY o UNLOAD in un cluster in cui è attivato il routing VPC avanzato, il VPC instrada il traffico verso la risorsa specificata usando il percorso di rete *più restrittivo* o più specifico disponibile.
Puoi ad esempio configurare i percorsi seguenti nel VPC:
+ **Endpoint VPC**: per il traffico verso un bucket Amazon S3 nella stessa AWS regione del cluster o del gruppo di lavoro, puoi creare un endpoint VPC per indirizzare il traffico direttamente al bucket. Quando si utilizzano gli endpoint VPC, è possibile collegare una policy dell'endpoint per gestire l'accesso ad Amazon S3. Per ulteriori informazioni sull’utilizzo di endpoint con Amazon Redshift, consulta [Controllo del traffico del database con gli endpoint VPC](enhanced-vpc-working-with-endpoints.md). Se utilizzi Lake Formation, puoi trovare ulteriori informazioni su come stabilire una connessione privata tra il tuo VPC e AWS Lake Formation at [AWS Lake Formation e interfacciare gli endpoint VPC (](https://docs.aws.amazon.com/lake-formation/latest/dg/privatelink.html)).AWS PrivateLink
**Nota**
Quando utilizzi gli endpoint VPC di Redshift con gli endpoint VPC gateway di Amazon S3, devi abilitare il routing VPC avanzato in Redshift. Per ulteriori informazioni, consulta [Endpoint gateway per Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html).
+ **Gateway NAT**: puoi connetterti a un bucket Amazon S3 in AWS un'altra regione e puoi connetterti a un altro servizio all'interno della rete. AWS Puoi anche accedere a un'istanza host all'esterno della rete. AWS A tal fine, configurare un [gateway NAT (network address translation)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), come descritto nella *Guida per l'utente di Amazon VPC*.
+ **Gateway Internet**: per connettersi ai servizi AWS al di fuori del VPC, è possibile collegare un [gateway Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) alla sottorete VPC, come descritto nella *Guida per l'utente di Amazon VPC*. Per utilizzare un gateway Internet, il cluster o il gruppo di lavoro deve essere pubblicamente accessibile per consentire la comunicazione di altri servizi con il cluster.
Per ulteriori informazioni, consultare [Endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) nella Guida per l'utente di Amazon VPC.
L'uso del routing VPC avanzato non comporta costi aggiuntivi. Potrebbero essere applicati costi aggiuntivi di trasferimento dei dati per alcune operazioni. Queste includono operazioni come UNLOAD su Amazon S3 in una AWS regione diversa. COPY da Amazon EMR o Secure Shell (SSH) con indirizzi IP pubblici. Per ulteriori informazioni sui prezzi, consultare [Prezzi di Amazon EC2](https://aws.amazon.com/ec2/pricing/).
**Topics**
+ [Controllo del traffico del database con gli endpoint VPC](enhanced-vpc-working-with-endpoints.md)
+ [Attivazione del routing VPC avanzato](enhanced-vpc-enabling-cluster.md)
+ [Accesso ai bucket Amazon S3 con Redshift Spectrum](spectrum-enhanced-vpc.md)
# Controllo del traffico del database con gli endpoint VPC
Puoi utilizzare un endpoint VPC per creare una connessione gestita tra il cluster Amazon Redshift o un gruppo di lavoro serverless in un VPC e Amazon Simple Storage Service (Amazon S3). In tal caso, il traffico dei comandi COPY e UNLOAD tra il database e i dati in Amazon S3 rimane nell'Amazon VPC. Puoi collegare una policy a un endpoint per gestire in modo più rigoroso l'accesso ai dati. Ad esempio è possibile aggiungere una policy all'endpoint VPC che permette di scaricare i dati solo in un bucket Amazon S3 specifico nel proprio account.
Per utilizzare gli endpoint VPC, crea un endpoint VPC per il VPC in cui si trova il data warehouse e attiva il routing VPC avanzato per il cluster. È possibile attivare il routing VPC avanzato al momento della creazione del cluster o del gruppo di lavoro oppure modificare un cluster o un gruppo di lavoro in un VPC per l'uso del routing VPC avanzato.
Un endpoint VPC usa tabelle di instradamento per controllare il routing del traffico tra un cluster o un gruppo di lavoro nel VPC ed Amazon S3. Tutti i cluster e i gruppi di lavoro nelle sottoreti associate alle tabelle di instradamento specificate utilizzano automaticamente tale endpoint per accedere al servizio.
Il VPC utilizza la route più specifica, o più restrittiva, corrispondente al traffico per determinare come instradare il traffico. Ad esempio, si supponga di disporre di una route nella tabella di routing per tutto il traffico Internet (0.0.0.0/0) che fa riferimento a un gateway Internet e un endpoint Amazon S3. In tal caso, la route dell'endpoint ha la precedenza su tutto il traffico destinato ad Amazon S3. Questo perché l'intervallo di indirizzi IP per il servizio Amazon S3 è più specifico di 0.0.0.0/0. In questo esempio, tutto il resto del traffico Internet passa nel gateway Internet, incluso il traffico destinato ai bucket Amazon S3 in altre Regioni AWS.
Per ulteriori informazioni sulla creazione degli endpoint, consulta [Creazione di un Endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella *Guida per l'utente di Amazon VPC*.
Le policy degli endpoint possono essere utilizzate per controllare l'accesso dal cluster o dal gruppo di lavoro ai bucket Amazon S3 contenenti i file di dati. Per un controllo più specifico, puoi collegare una policy dell'endpoint personalizzata. Per ulteriori informazioni, consulta la sezione [Controllo dell'accesso ai servizi con policy di endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida di AWS PrivateLink *.
**Nota**
AWS Database Migration Service (AWS DMS) è un servizio cloud che consente di migrare database relazionali, data warehouse e altri tipi di archivi dati. Può connettersi a qualsiasi database di AWS origine o di destinazione, incluso un database Amazon Redshift abilitato per VPC, con alcune restrizioni di configurazione. Il supporto degli endpoint Amazon VPC semplifica il mantenimento della sicurezza di end-to-end rete AWS DMS per le attività di replica. *Per ulteriori informazioni sull'utilizzo di Redshift con AWS DMS, consulta [Configurazione degli endpoint VPC AWS DMS come endpoint di origine e di destinazione](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_VPC_Endpoints.html) nella Guida per l'utente.AWS Database Migration Service *
L'uso di endpoint non comporta costi aggiuntivi. Vengono applicati i costi standard per il trasferimento dei dati e l'utilizzo delle risorse. Per ulteriori informazioni sui prezzi, consultare [Prezzi di Amazon EC2](https://aws.amazon.com/redshift/pricing/#Data_Transfer).
# Attivazione del routing VPC avanzato
Puoi attivare il routing VPC avanzato quando crei o modifichi un cluster e quando crei o modifichi un gruppo di lavoro Amazon Redshift serverless.
Per l’utilizzo del routing VPC avanzato, il cluster o il gruppo di lavoro serverless deve soddisfare i requisiti e i vincoli seguenti:
+ Il cluster deve trovarsi in un VPC.
Se colleghi un endpoint VPC Amazon S3, l'endpoint VPC viene utilizzato solo per accedere ai bucket Amazon S3 nella stessa regione. AWS Per accedere ai bucket in un'altra AWS regione (senza utilizzare l'endpoint VPC) o per accedere ad AWS altri servizi, rendi il cluster o il gruppo di lavoro Serverless accessibile al pubblico o utilizza [un gateway NAT (Network Address](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) Translation). Per ulteriori informazioni, consulta [Creazione di un cluster con provisioning Redshift o un gruppo di lavoro Amazon Redshift serverless in un VPC](getting-started-cluster-in-vpc.md).
+ È necessario abilitare la risoluzione DNS (Domain Name Service) nel VPC. In alternativa, se si utilizza un server DNS, assicurarsi che le richieste DNS ad Amazon S3 vengano risolte correttamente negli indirizzi IP gestiti da AWS. Per ulteriori informazioni, consultare [Utilizzo del DNS con i VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) nella *Guida per l'utente di Amazon VPC*.
+ I nomi host DNS devono essere abilitati nel VPC. Gli hostname DNS sono abilitati per impostazione predefinita.
+ Le policy dell'endpoint VPC devono consentire l'accesso ai bucket Amazon S3 usati con le chiamate a COPY, UNLOAD o CREATE LIBRARY in Amazon Redshift, incluso l'accesso ai file manifest interessati. Per il comando COPY dagli host remoti, le policy dell'endpoint devono permettere l'accesso a ogni computer host. Per ulteriori informazioni, consultare [Autorizzazioni IAM per COPY, UNLOAD e CREATE LIBRARY](https://docs.aws.amazon.com/redshift/latest/dg/copy-usage_notes-access-permissions.html#copy-usage_notes-iam-permissions) nella *Guida per gli sviluppatori di database di Amazon Redshift*.
**Come attivare il routing VPC avanzato per un cluster con provisioning**
1. Accedi Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Dal menu di navigazione, scegli **Provisioned clusters dashboard** (Pannello di controllo del cluster con provisioning), quindi seleziona **Create cluster** (Crea cluster) e inserisci le proprietà **Cluster details** (Dettagli cluster).
1. Per visualizzare la sezione **Additional configurations (Configurazioni aggiuntive)**, scegli di disattivare la voce **Use defaults (Utilizza le impostazioni predefinite)**.
1. Vai alla sezione **Network and security** (Rete e sicurezza).
1. Per attivare l'opzione **Enhanced VPC routing** (Routing VPC avanzato) seleziona **Turn on** (Attiva) per forzare l'instradamento del traffico del cluster attraverso il VPC.
1. Per creare il cluster, scegli **Create cluster (Crea cluster)**. Potrebbero essere necessari diversi minuti prima che il cluster sia pronto per l'utilizzo.
**Come attivare il routing VPC avanzato per Amazon Redshift serverless**
1. Accedi Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Nel menu di navigazione, scegli **serverless dashboard** (Pannello di controllo serverless), quindi seleziona **Create workgroup** (Crea gruppo di lavoro) e inserisci le proprietà del gruppo di lavoro.
1. Vai alla sezione **Network and security** (Rete e sicurezza).
1. Seleziona **Turn on enhanced VPC routing** (Attiva il routing VPC avanzato) per instradare il traffico di rete attraverso il VPC.
1. Scegli **Next** (Avanti) e inserisci le proprietà del gruppo di lavoro fino ad arrivare a **Create** (Crea), la cui selezione consente di creare il gruppo di lavoro.
# Accesso ai bucket Amazon S3 con Redshift Spectrum
In generale Amazon Redshift Spectrum non supporta il routing VPC avanzato con cluster con provisioning, anche se un cluster con provisioning può eseguire query sulle tabelle esterne di Amazon S3 quando è abilitato il routing VPC avanzato.
Il routing VPC avanzato di Amazon Redshift invia traffico specifico attraverso il VPC, il che significa che tutto il traffico tra il cluster e i bucket Amazon S3 è costretto a passare attraverso il VPC Amazon. Poiché Redshift Spectrum viene eseguito su risorse AWS gestite di proprietà di Amazon Redshift ma esterne al tuo VPC, Redshift Spectrum non utilizza il routing VPC avanzato.
Il traffico tra Redshift Spectrum e Amazon S3 viene instradato in modo sicuro attraverso AWS la rete privata, all'esterno del tuo VPC. Il traffico in volo viene firmato utilizzando il protocollo Amazon Signature versione 4 (SIGv4) e crittografato tramite HTTPS. Questo traffico è autorizzato in base al ruolo IAM che è associato al cluster Amazon Redshift. Per gestire ulteriormente il traffico di Redshift Spectrum, è possibile modificare il ruolo IAM del cluster e la policy collegata al bucket Amazon S3. Potrebbe inoltre essere necessario configurare il VPC per consentire l'accesso al cluster o ad AWS Glue Athena, come descritto di seguito.
Si noti che poiché il routing VPC avanzato influisce sul modo in cui Amazon Redshift accede alle altre risorse, se il VPC non viene configurato correttamente, le query potrebbero restituire degli errori. Per ulteriori informazioni, consulta [Controllo del traffico di rete con il routing VPC avanzato di Redshift](enhanced-vpc-routing.md), che illustra più nel dettaglio la creazione di un endpoint VPC, un gateway NAT e altre risorse di rete per indirizzare il traffico verso i bucket Amazon S3.
**Nota**
Amazon Redshift serverless supporta il routing VPC avanzato per le query verso tabelle esterne su Amazon S3. Per ulteriori informazioni sulla configurazione, consulta [Caricamento di dati da Amazon S3](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html#serverless-load-data-from-s3) nella Guida alle operazioni di base di Amazon Redshift serverless.
## Configurazione delle policy delle autorizzazioni durante l’utilizzo di Amazon Redshift Spectrum
Quando utilizzi Redshift Spectrum, considera quanto segue:
+ [Policy di accesso ai bucket Amazon S3 e ruoli IAM](#spectrum-enhanced-vpc-considerations-policies)
+ [Autorizzazioni per l’assunzione del ruolo IAM](#spectrum-enhanced-vpc-considerations-cluster-role)
+ [Registrazione e verifica dell'accesso ad Amazon S3](#spectrum-enhanced-vpc-considerations-logging-s3)
+ [Accesso al nostro AWS Glue Amazon Athena](#spectrum-enhanced-vpc-considerations-glue-access)
### Policy di accesso ai bucket Amazon S3 e ruoli IAM
Puoi controllare l’accesso ai dati nei bucket Amazon S3 utilizzando una policy di bucket collegata al bucket e un ruolo IAM collegato al cluster con provisioning.
Redshift Spectrum sui cluster con provisioning non può accedere ai dati archiviati nei bucket Amazon S3 che utilizzano una policy per bucket che limita l'accesso solo a specifici endpoint VPC. Utilizza invece una policy bucket che limiti l'accesso solo a principali specifici, come un account specifico o utenti specifici AWS .
Per il ruolo IAM a cui viene concesso l'accesso al bucket, utilizzare una relazione di trust che consente al ruolo di essere assegnato solo al principale di servizio Amazon Redshift. Se collegato al cluster, il ruolo può essere utilizzato solo nel contesto di Amazon Redshift e non può essere condiviso esternamente al cluster. Per ulteriori informazioni, consulta [Limitazione dell'accesso a ruoli IAM](authorizing-redshift-service-database-users.md). È possibile utilizzare anche una policy di controllo dei servizi (SCP) per limitare ulteriormente il ruolo. Vedi [Impedire agli utenti e ai ruoli IAM di apportare modifiche specifiche, con un'eccezione per un ruolo di amministratore specificato](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-restricts-with-exception) nella *Guida per l'utente AWS Organizations *.
**Nota**
Per utilizzare Redshift Spectrum, non è possibile adottare politiche IAM che blocchino l'uso di Amazon S3 URLs presigned. I URLs prefirmati generati da Amazon Redshift Spectrum sono validi per 1 ora, in modo che Amazon Redshift abbia abbastanza tempo per caricare tutti i file dal bucket Amazon S3. Per ogni file scansionato da Redshift Spectrum viene generato un URL prefirmato univoco. Per le policy di bucket che includono un’azione `s3:signatureAge`, assicurati di impostare il valore su almeno 3.600.000 millisecondi.
Il seguente esempio di bucket policy consente l'accesso al bucket specificato di proprietà dell'account. AWS `123456789012`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BucketPolicyForSpectrum",
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::123456789012:role/redshift"]
},
"Action": [
"s3:GetObject",
"s3:ListBucketVersions",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
### Autorizzazioni per l’assunzione del ruolo IAM
Il ruolo collegato al cluster deve avere una relazione di trust che gli consenta di essere assunto solo dal servizio Amazon Redshift, come illustrato di seguito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "redshift.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Per ulteriori informazioni, consulta [Policy IAM per Amazon Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-spectrum-iam-policies.html) nella *Guida per gli sviluppatori di database di Amazon Redshift*.
### Registrazione e verifica dell'accesso ad Amazon S3
Un vantaggio dell'utilizzo del routing VPC avanzato di Amazon Redshift consiste nel fatto che tutto il traffico COPY e UNLOAD è registrato nei log di flusso VPC. Il traffico originato da Redshift Spectrum ad Amazon S3 non passa attraverso il VPC, perciò non effettua l'accesso nei log di flusso VPC. Quando Redshift Spectrum accede ai dati in Amazon S3, esegue queste operazioni nel contesto dell' AWS account e dei rispettivi privilegi di ruolo. È possibile registrare e controllare l'accesso ad Amazon S3 utilizzando la registrazione degli accessi al server in AWS CloudTrail e Amazon S3.
Assicurati che gli intervalli IP S3 siano aggiunti all'elenco di indirizzi consentiti. Per ulteriori informazioni sugli intervalli IP S3 richiesti, consulta [Isolamento di rete](https://docs.aws.amazon.com//redshift/latest/mgmt/security-network-isolation.html#network-isolation).
**AWS CloudTrail Log**
Per tracciare tutti gli accessi agli oggetti in Amazon S3, incluso l'accesso a Redshift Spectrum, abilita la registrazione CloudTrail per gli oggetti Amazon S3.
Puoi utilizzarlo CloudTrail per visualizzare, cercare, scaricare, archiviare, analizzare e rispondere alle attività dell'account nell'intera infrastruttura. AWS Per ulteriori informazioni, consulta [Getting Started with CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-getting-started.html).
Per impostazione predefinita, CloudTrail tiene traccia solo delle azioni a livello di bucket. Per tracciare le operazioni a livello di oggetto (come `GetObject`), abilitare gli eventi di dati e gestione per ciascun bucket registrato.
**Registrazione degli accessi al server Amazon S3**
La registrazione degli accessi al server fornisce record dettagliati per le richieste che sono effettuate a un bucket. Il log di accesso può essere utile nei controlli di accesso e di sicurezza. Per ulteriori informazioni, consultare [Come abilitare la registrazione degli accessi al server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html#server-access-logging-overview) nella *Guida per l'utente di Amazon Simple Storage Service*.
Per ulteriori informazioni, consulta il post del blog AWS sulla sicurezza [How to Use Bucket Policies and Apply Defense-in-Depth to Help Secure Your Amazon S3](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/) Data.
### Accesso al nostro AWS Glue Amazon Athena
Redshift Spectrum accede al tuo catalogo di dati in o AWS Glue Athena. Un'altra opzione consiste nell'utilizzare un Hive Metastore dedicato per il catalogo dati.
Per abilitare l'accesso a AWS Glue o Athena, configura il tuo VPC con un gateway Internet o un gateway NAT. Configura i tuoi gruppi di sicurezza VPC per consentire il traffico in uscita verso gli endpoint pubblici di e Athena. AWS Glue In alternativa, puoi configurare un endpoint VPC di interfaccia per accedere AWS Glue al tuo. AWS Glue Data Catalog Quando utilizzi un endpoint di interfaccia VPC, la comunicazione tra il tuo VPC e il tuo VPC AWS Glue viene condotta all'interno della rete. AWS Per ulteriori informazioni, consultare [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).
È possibile configurare i percorsi seguenti nel VPC:
+ **Gateway Internet***: per connetterti a AWS servizi esterni al tuo VPC, puoi collegare [un gateway Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) alla tua sottorete VPC, come descritto nella Amazon VPC User Guide.* Per usare un gateway Internet, un cluster con provisioning deve avere un indirizzo IP pubblico per permettere la comunicazione di altri servizi con il cluster.
+ **Gateway NAT***: per connetterti a un bucket Amazon S3 in AWS un'altra regione o a un altro servizio all'interno AWS della rete, configura [un gateway NAT (Network Address Translation), come descritto](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) nella Amazon VPC User Guide.* Utilizzare questa configurazione anche per effettuare l'accesso a un'istanza host al di fuori dalla rete AWS .
Per ulteriori informazioni, consultare [Controllo del traffico di rete con il routing VPC avanzato di Redshift](enhanced-vpc-routing.md).