VPC とサブネットへのパブリックアクセスをブロックする

VPC ブロックパブリックアクセス (BPA) は、AWS リージョンで所有している VPC とサブネットのリソースが、インターネットゲートウェイおよび送信専用 (Egress-Only) のインターネットゲートウェイを通じてインターネットに到達したり、インターネットから到達されたりしないよう一元的にブロックできるセキュリティ機能です。AWS アカウントでこの機能を有効にすると、デフォルトでは、Amazon Redshift が使用するすべての VPC またはサブネットに影響します。つまり、Amazon Redshift でパブリックオペレーションがすべて阻止されます。

VPC BPA を有効にしていて、パブリックインターネット経由で Amazon Redshift API を使用する場合は、VPC またはサブネットに対して Amazon EC2 API を使用するための除外を追加する必要があります。除外では、次のいずれかのモードを使用できます:

VPC BPA の除外設定では、VPC 全体または VPC 内の特定のサブネットをパブリックアクセス可能として指定します。その境界内のネットワークインターフェイスでは、パブリックインターネットへのルートとアクセス権の有無に関して、セキュリティグループ、ルートテーブル、ネットワーク ACL など、通常の VPC ネットワークコントロールが尊重されます。除外の追加の詳細については、「Amazon VPC ユーザーガイド」の「除外を作成および削除する」を参照してください。

プロビジョニング済みクラスター

サブネットグループとは、同じ VPC からの複数のサブネットを組み合わせたものです。プロビジョニング済みクラスターのサブネットグループが、VPC BPA が有効なアカウントにある場合、次の機能はブロックされます。

Serverless クラスター

Redshift Serverless はサブネットグループを使用しません。代わりに、各クラスターに独自のサブネットセットがあります。VPC BPA が有効なアカウントにワークグループがある場合、次の機能はブロックされます。