O Amazon Redshift não permitirá mais a criação de UDFs do Python a partir do Patch 198. As UDFs do Python existentes continuarão a funcionar normalmente até 30 de junho de 2026. Para ter mais informações, consulte a [publicação de blog ](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). 

# Tarefas de rede
<a name="networking-tasks"></a>

Você pode realizar tarefas de rede, como personalizar sua conexão com um banco de dados do Redshift. Talvez você queira fazer isso para controlar o tráfego devido à segurança ou outros fins. Também é possível executar tarefas relacionadas ao DNS, como configurar um nome de domínio personalizado para recursos do Redshift. Essas tarefas de configuração são disponibilizadas quando você tem um cluster provisionado pelo Amazon Redshift ou com um grupo de trabalho do Amazon Redshift sem servidor.

**Topics**
+ [Usar nomes de domínio personalizados para conexões de clientes](connecting-connection-CNAME.md)
+ [Endpoints da VPC gerenciados pelo Redshift](managing-cluster-cross-vpc.md)
+ [Recursos do Redshift em uma VPC](managing-clusters-vpc.md)
+ [Controlar o tráfego de rede com o roteamento de VPC avançado do Redshift](enhanced-vpc-routing.md)

# Usar nomes de domínio personalizados para conexões de clientes
<a name="connecting-connection-CNAME"></a>

 Você pode criar um nome de domínio personalizado, também conhecido como URL personalizado, tanto para o cluster do Amazon Redshift quanto para o grupo de trabalho do Amazon Redshift sem servidor. Trata-se de um registro DNS fácil de ler que roteia conexões do cliente SQL para o endpoint. Você pode configurá-lo para um cluster ou grupo de trabalho existente a qualquer momento. Ele oferece vários benefícios:
+ O nome de domínio personalizado é uma string mais simples do que o URL padrão, que normalmente inclui o nome do cluster ou o nome do grupo de trabalho e a região. É mais fácil de lembrar e usar.
+ Você pode rotear rapidamente o tráfego para um novo cluster ou grupo de trabalho em um caso de failover, por exemplo. Dessa forma, os clientes não precisam fazer alterações na configuração ao se reconectarem. As conexões podem ser redirecionadas centralmente, com o mínimo de interrupção. 
+ Você pode evitar o compartilhamento de informações privadas, como o nome de um servidor em um URL de conexão. Você pode ocultá-las em um URL personalizado.

Ao configurar um nome de domínio personalizado usando um CNAME, não há cobrança adicional do Amazon Redshift. Você poderá receber uma cobrança do provedor de DNS por um nome de domínio, se criar um, mas esse custo geralmente é baixo. 

# Registrar um nome de domínio
<a name="connecting-connection-CNAME-certificates"></a>

 A configuração do nome de domínio personalizado consiste em diversas tarefas: entre elas está o registro do nome de domínio com o provedor DNS e a criação de um certificado. Depois de realizar essas partes do trabalho, você vai configurar o nome de domínio personalizado no console do Amazon Redshift ou no console do Amazon Redshift sem servidor ou configurá-lo com comandos AWS CLI. 

É necessário ter um nome de domínio da internet registrado para configurar um nome de domínio personalizado no Amazon Redshift. Você pode registrar um domínio da internet usando o Route 53 ou um provedor de registro de domínios de terceiros. Você conclui essas tarefas fora do console do Amazon Redshift. Domínio registrado é um pré-requisito para concluir os procedimentos restantes a fim de criar um domínio personalizado.

**nota**  
Se você estiver usando um cluster provisionado, antes de realizar as etapas para configurar o nome de domínio personalizado, ele deverá ter a realocação habilitada. Para obter mais informações, consulte [Realocar um cluster](managing-cluster-recovery.md). Esta etapa não é necessária para o Amazon Redshift sem servidor.

O nome de domínio personalizado geralmente inclui o domínio raiz e um subdomínio, como  `mycluster.example.com`. Para configurá-lo, execute as seguintes etapas:

**Crie uma entrada DNS CNAME para o nome de domínio personalizado**

1. Registre um domínio raiz, por exemplo  `example.com`. Se preferir, use um domínio em vigor. O nome personalizado pode ser limitado por restrições de caracteres específicos ou por outras validações de nomenclatura. Para obter mais informações sobre como registrar um domínio com o Route 53, consulte [Registrar um novo domínio](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html).

1. Adicione um registro DNS CNAME apontando o nome de domínio personalizado para o endpoint do Redshift para o cluster ou o grupo de trabalho. Você pode encontrar o endpoint nas propriedades do cluster ou do grupo de trabalho, no console do Redshift ou no console do Amazon Redshift sem servidor. Copie o **URL do JDBC** disponível nas propriedades do cluster ou do grupo de trabalho, em **Informações gerais**. Os URLs têm a seguinte aparência:
   + Para um cluster do Amazon Redshift: `redshift-cluster-sample.abc123456.us-east-1.redshift.amazonaws.com`
   + Para um grupo de trabalho do Amazon Redshift sem servidor: `endpoint-name.012345678901.us-east-1-dev.redshift-serverless-dev.amazonaws.com`

   Se o URL tiver um prefixo JDBC, remova-o.
**nota**  
Os registros DNS estão sujeitos à disponibilidade, pois cada nome deve ser exclusivo e estar disponível para uso na organização.

**Limitações**

Existem algumas restrições em relação à criação de registros CNAME para um domínio personalizado:
+ A criação de vários nomes de domínio personalizados para o mesmo cluster provisionado ou o grupo de trabalho do Amazon Redshift sem servidor não é compatível. Você só pode associar um registro CNAME.
+ A associação de um registro CNAME com mais de um cluster ou grupo de trabalho não é compatível. O CNAME de cada recurso do Redshift deve ser exclusivo.

Depois de registrar o domínio e criar o registro CNAME, você seleciona um certificado novo ou em vigor. Você executa essa etapa usando o AWS Certificate Manager:

É recomendável criar um [certificado validado por DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) que atenda à elegibilidade para renovação gerenciada, disponível com AWS Certificate Manager. Renovação gerenciada indica que o ACM vai renovar automaticamente os certificados ou enviar avisos por e-mail quando a expiração da validade estiver se aproximando. Para obter mais informações, consulte [Managed renewal for ACM certificates](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html).

# Solicitar um certificado para um nome de domínio
<a name="connecting-connection-CNAME-security"></a>

O Amazon Redshift ou o Amazon Redshift sem servidor exige um certificado Secure Sockets Layer (SSL) validado para um endpoint personalizado a fim de manter a segurança da comunicação e verificar a propriedade do nome do domínio. É possível usar sua conta do AWS Certificate Manager com uma AWS KMS key para gerenciamento seguro de certificados. A validação de segurança inclui a verificação completa do nome do host (*sslmode=verify-full*).

As renovações de certificado são gerenciadas pelo Amazon Redshift somente quando você escolhe a validação de DNS, em vez da validação por e-mail. Se você usar a validação por e-mail, poderá usar o certificado, mas deverá realizar a renovação por conta própria, antes da expiração. Recomendamos que você escolha a validação de DNS para o certificado. É possível monitorar as datas de expiração dos certificados importados no AWS Certificate Manager.

**Solicitar um certificado do ACM para um nome de domínio**

1. Faça login no Console de gerenciamento da AWS e abra o console do ACM em [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. Selecione **Request a certificate**.

1. Insira o nome de domínio personalizado no campo **Nome de domínio**.
**nota**  
É possível especificar vários prefixos, além do domínio do certificado, a fim de usar um único certificado para vários registros de domínio personalizado. Para ilustrar, você pode usar registros adicionais, como `one.example.com`, `two.example.com`, ou um registro DNS curinga como `*.example.com`, com o mesmo certificado.

1. Escolha **Review and request**.

1. Escolha **Confirm and request**.

1. Para uma solicitação válida, um proprietário registrado do domínio da Internet deve concordar com a solicitação antes que o ACM emita o certificado. O status deve aparecer como **Emitido** no console do ACM quando você concluir as etapas.

# Configurar um domínio personalizado
<a name="connecting-connection-CNAME-create-custom-domain"></a>

Você pode usar o console do Amazon Redshift ou do Amazon Redshift sem servidor para criar o URL de domínio personalizado. Se você não o configurou, a propriedade de **Nome de domínio personalizado** aparece como um traço (**–**) em **Informações gerais**. Depois de criar o registro CNAME e o certificado, você vai atribuir o nome de domínio personalizado para o cluster ou o grupo de trabalho.

Para criar uma associação de domínio personalizada, as seguintes permissões do IAM são obrigatórias:
+ `redshift:CreateCustomDomainAssociation`: é possível restringir a permissão a um cluster específico adicionando seu ARN.
+ `redshiftServerless:CreateCustomDomainAssociation`: você pode restringir a permissão a um grupo de trabalho específico adicionando o ARN.
+ `acm:DescribeCertificate`

Como prática recomendada, anexe políticas de permissões a um perfil do IAM e, depois, atribua-as a usuários e grupos, conforme necessário. Para obter mais informações, consulte [Gerenciamento de identidade e acesso no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).

Você atribui o nome de domínio personalizado executando as etapas a seguir.

1. Escolha o cluster no console do Redshift ou o grupo de trabalho no console do Amazon Redshift sem servidor e escolha **Criar nome de domínio personalizado** no menu **Ação**. Uma caixa de diálogo é exibida.

1. Digite o nome de domínio personalizado.

1. Selecione o ARN do AWS Certificate Manager para o **certificado do ACM**. Confirme as alterações. De acordo com as orientações nas etapas que você seguiu para criar o certificado, é recomendável escolher um certificado validado por DNS que seja elegível para renovação gerenciada por meio do AWS Certificate Manager.

1. Verifique nas propriedades do cluster se o **Nome de domínio personalizado** e o **ARN do certificado de domínio personalizado** estão preenchidos com seus dados. A **Data de validade do certificado de domínio personalizado** também está listada.

Depois que o domínio personalizado for configurado, o uso de `sslmode=verify-full` só vai funcionar para o novo domínio personalizado. Não funciona para o endpoint padrão. No entanto, você ainda pode se conectar ao endpoint padrão usando outros modos ssl, como `sslmode=verify-ca`.

**nota**  
A título de lembrete, a [realocação do cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-cluster-recovery.html) não é um pré-requisito para configurar recursos de rede adicionais do Redshift. Você não precisa ativá-la para permitir o seguinte:  
**Conexão de uma VPC entre contas ou regiões ao Redshift**: você pode se conectar a partir de uma nuvem privada virtual (VPC) da AWS a outra que contenha um banco de dados do Redshift. Isso facilita o gerenciamento, por exemplo, do acesso do cliente a partir de contas ou VPCs diferentes, sem precisar dar acesso local à VPC para identidades conectadas ao banco de dados. Para obter mais informações, consulte [Connecting to Amazon Redshift Serverless from a Redshift VPC endpoint in another account or region](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html#serverless-cross-vpc).
**Configuração de um nome de domínio personalizado**: você pode criar um nome de domínio personalizado, conforme descrito neste tópico, para deixar o nome do endpoint mais relevante e simples.

# Estabelecer conexão com o cluster provisionado do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor
<a name="connecting-connection-CNAME-client"></a>

Para se conectar a um nome de domínio personalizado, a seguinte permissão do IAM é obrigatória para um cluster provisionado: `redshift:DescribeCustomDomainAssociations`. Para o Amazon Redshift sem servidor, você não precisa adicionar permissões.

Como prática recomendada, anexe políticas de permissões a um perfil do IAM e, depois, atribua-as a usuários e grupos, conforme necessário. Para obter mais informações, consulte [Gerenciamento de identidade e acesso no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).

Depois de concluir as etapas para criar o CNAME e atribuí-lo ao cluster ou ao grupo de trabalho no console, você poderá fornecer o URL personalizado nas propriedades de conexão do cliente SQL. Pode haver um atraso na propagação do DNS imediatamente após a criação de um registro CNAME.

1. Abra um cliente SQL. Por exemplo, você pode usar SQL/Workbench J. Abra as propriedades de uma conexão e adicione o nome de domínio personalizado para a string de conexão. Por exemplo, `jdbc:redshift://mycluster.example.com:5439/dev?sslmode=verify-full`. Neste exemplo, `dev` especifica o banco de dados padrão.

1. Adicione o **Nome de usuário** e a **Senha** do usuário do banco de dados.

1. Teste a conexão. A possibilidade de consultar recursos do banco de dados, como tabelas específicas, pode variar com base nas permissões concedidas ao usuário do banco de dados ou às funções de banco de dados do Amazon Redshift atribuídas.

   Talvez você precise definir o cluster ou o grupo de trabalho como acessível publicamente para se conectar a ele, caso ele esteja em uma VPC. É possível alterar essa configuração nas propriedades da rede.

**nota**  
As conexões com um nome de domínio personalizado são compatíveis com drivers JDBC, ODBC e Python.

# Renomear um cluster que tem um domínio personalizado atribuído
<a name="connecting-connection-CNAME-rename-cluster"></a>

**nota**  
Essa série de etapas não se aplica a um grupo de trabalho do Amazon Redshift sem servidor. Você não pode alterar o nome do grupo de trabalho.

Para renomear um cluster que tenha um nome de domínio personalizado, é necessária a permissão `acm:DescribeCertificate` do IAM.

1. Acesse o console do Amazon Redshift e escolha o cluster cujo nome você deseja alterar. Escolha **Editar** para editar as propriedades do cluster.

1. Edite o **Identificador do cluster**. Também é possível alterar outras propriedades do cluster. Em seguida, escolha **Salvar alterações**.

1. Depois de renomear o cluster, você precisará atualizar o registro DNS para alterar a entrada CNAME do domínio personalizado e apontar para o endpoint atualizado do Amazon Redshift.

# Descrever associações de domínio personalizadas
<a name="connecting-connection-CNAME-describe-api"></a>

Use os comandos nesta seção para obter uma lista de nomes de domínio personalizados associados a um cluster provisionado específico ou a um grupo de trabalho do Amazon Redshift sem servidor.

Você precisa das seguintes permissões:
+ Para um cluster provisionado: `redshift:DescribeCustomDomainAssociations`
+ Para um grupo de trabalho do Amazon Redshift sem servidor: `redshiftServerless:ListCnameAssociations`

Como prática recomendada, anexe políticas de permissões a um perfil do IAM e, depois, atribua-as a usuários e grupos, conforme necessário. Para obter mais informações, consulte [Gerenciamento de identidade e acesso no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).

Este é um comando de exemplo para listar os nomes de domínio personalizados para um determinado cluster do Amazon Redshift:

```
aws redshift describe-custom-domain-associations ––custom-domain-name customdomainname
```

Você poderá executar esse comando quando tiver um nome de domínio personalizado habilitado para determinar os nomes de domínio personalizados associados ao cluster. Para obter mais informações sobre o comando CLI para descrever associações de domínio personalizadas, consulte [describe-custom-domain-association](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/redshift/describe-custom-domain-associations.html).

Da mesma forma, este é um comando de exemplo para listar os nomes de domínio personalizados para um determinado grupo de trabalho do Amazon Redshift sem servidor: Existem algumas maneiras diferentes de fazer isso. Você só pode fornecer o nome de domínio personalizado:

```
aws redshift-serverless list-custom-domain-associations ––custom-domain-name customdomainname
```

Você também pode obter as associações fornecendo apenas o ARN do certificado:

```
aws redshift-serverless list-custom-domain-associations ––custom-domain-certificate-arn certificatearn
```

Você poderá executar esses comandos quando tiver um nome de domínio personalizado habilitado para determinar os nomes de domínio personalizados associados ao grupo de trabalho. Você também pode executar um comando para obter as propriedades de uma associação de domínio personalizada. Para isso, você deve fornecer o nome de domínio personalizado e o nome do grupo de trabalho como parâmetros. Ele retorna o ARN do certificado, o nome do grupo de trabalho e o tempo de expiração do certificado do domínio personalizado:

```
aws redshift-serverless get-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname
```

Para obter mais informações sobre comandos de referência da CLI disponíveis para o Amazon Redshift sem servidor, consulte [redshift-serverless](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/).

# Associar um domínio personalizado a um certificado diferente
<a name="connecting-connection-CNAME-change-api"></a>

Para criar a associação de certificado para um nome de domínio personalizado, as seguintes permissões do IAM são obrigatórias:
+ `redshift:ModifyCustomDomainAssociation`
+ `acm:DescribeCertificate`

Como prática recomendada, anexe políticas de permissões a um perfil do IAM e, depois, atribua-as a usuários e grupos, conforme necessário. Para obter mais informações, consulte [Gerenciamento de identidade e acesso no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).

Use o comando a seguir para associar o domínio personalizado a um certificado diferente. Os argumentos `custom-domain-certificate-arn` e `––custom-domain-name` são obrigatórios. O ARN do novo certificado deve ser diferente do ARN existente.

```
aws redshift modify-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn
```

O exemplo a seguir mostra como associar o domínio personalizado a um certificado diferente para um grupo de trabalho do Amazon Redshift sem servidor.

```
aws redshift-serverless modify-custom-domain-association ––workgroup-name redshiftworkgroup ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn
```

Há um atraso máximo de 30 segundos até você conseguir se conectar ao cluster. Parte desse atraso ocorre quando o cluster do Amazon Redshift atualiza suas propriedades, e há um atraso adicional à medida que o DNS é atualizado. Para obter mais informações sobre a API e cada configuração de propriedade, consulte [ModifyCustomDomainAssociation](https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyCustomDomainAssociation.html).

# Excluir um domínio personalizado
<a name="connecting-connection-CNAME-delete-api"></a>

Para excluir o nome de domínio personalizado, o usuário deve ter permissões para as seguintes ações:
+ Para um cluster provisionado: `redshift:DeleteCustomDomainAssociation`
+ Para um grupo de trabalho do Amazon Redshift sem servidor: `redshiftServerless:DeleteCustomDomainAssociation`

**No console**

Você pode excluir o nome de domínio personalizado selecionando o botão **Ações** e escolhendo **Excluir nome de domínio personalizado**. Depois de fazer isso, você ainda conseguirá se conectar ao servidor atualizando as ferramentas para usar os endpoints listados no console.

**Uso de um comando da CLI**

O exemplo a seguir mostra como excluir o nome de domínio personalizado. A operação de exclusão exige que você forneça o nome de domínio personalizado existente para o cluster.

```
aws redshift delete-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname
```

O exemplo a seguir mostra como excluir o nome de domínio personalizado para um grupo de trabalho do Amazon Redshift sem servidor. O nome de domínio personalizado é um parâmetro obrigatório.

```
aws redshift-serverless delete-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname
```

Para obter mais informações, consulte [DeleteCustomDomainAssociation](https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteCustomDomainAssociation.html).

# Endpoints da VPC gerenciados pelo Redshift
<a name="managing-cluster-cross-vpc"></a>

Por padrão, um cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor é provisionado em uma nuvem privada virtual (VPC). A VPC pode ser acessada por meio de outra VPC ou sub-rede quando você permite acesso público ou configura um gateway da internet, um dispositivo NAT ou uma conexão do AWS Direct Connect para rotear o tráfego para ela. Ou você pode acessar um cluster ou grupo de trabalho configurando um endpoint da VPC gerenciado pelo Redshift (habilitado pelo AWS PrivateLink). 

É possível configurar um endpoint da VPC gerenciado pelo Redshift como uma conexão privada entre uma VPC que contém um cluster ou grupo de trabalho e uma VPC em que uma ferramenta cliente está sendo executada. Se o cluster ou grupo de trabalho estiver em outra conta, o proprietário da conta (concessor) precisará conceder acesso à conta que está estabelecendo conexão (favorecida). Com essa abordagem, você pode acessar o data warehouse sem usar um endereço IP público ou rotear tráfego pela internet.

Estes são os motivos comuns para permitir o acesso usando um endpoint da VPC gerenciado pelo Redshift:
+ Uma conta A da AWS deseja permitir que uma VPC em uma conta B da AWS tenha acesso a um cluster ou grupo de trabalho.
+ Uma conta A da AWS deseja permitir que uma VPC que também está na conta A da AWS tenha acesso a um cluster ou grupo de trabalho.
+ A conta A da AWS deseja permitir que uma sub-rede diferente na VPC dentro da conta A da AWS tenha acesso a um cluster ou grupo de trabalho.

O fluxo de trabalho para configurar um endpoint da VPC gerenciado pelo Redshift para acessar um cluster ou grupo de trabalho em outra conta é o seguinte: 

1. A conta de proprietário concede autorização de acesso a outra conta e especifica o ID da conta da AWS e o identificador da VPC (ou de todas as VPCs) do favorecido. 

1. A conta do favorecido é notificada de que eles têm permissão para criar um endpoint da VPC gerenciado por Redshift.

1. A conta do favorecido cria um endpoint da VPC gerenciado por Redshift.

1. A conta do favorecido acessa o cluster ou grupo de trabalho da conta do proprietário usando o endpoint da VPC gerenciado pelo Redshift.

É possível fazer isso usando o console do Amazon Redshift, a AWS CLI ou a API do Amazon Redshift. 

## Considerações ao usar endpoints da VPC gerenciados por Redshift
<a name="managing-cluster-cross-vpc-considerations"></a>

**nota**  
Para criar ou modificar endpoints da gerenciados pelo Redshift, você precisa da permissão `ec2:CreateVpcEndpoint` ou `ec2:ModifyVpcEndpoint` na política do IAM, além de outras permissões especificadas na política `AmazonRedshiftFullAccess` gerenciada pela AWS.

Ao usar endpoints da VPC gerenciados pelo Redshift, lembre-se do seguinte: 
+ Se você estiver usando um cluster provisionado, ele deverá ter o tipo de nó RA3. Um grupo de trabalho do Amazon Redshift sem servidor também funciona para configurar um endpoint da VPC. 
+ Para clusters provisionados, verifique se o cluster está habilitado para realocação de cluster ou multi-AZ. Para obter informações sobre os requisitos para ativar a realocação de cluster, consulte [Realocar um cluster](managing-cluster-recovery.md). Para ter informações sobre como habilitar multi-AZ, consulte [Configurar multi-AZ ao criar um cluster](create-cluster-multi-az.md). 
+ Verifique se o cluster ou grupo de trabalho a ser acessado por meio do respectivo grupo de segurança está disponível nos intervalos de portas válidos 5431-5455 e 8191-8215. O padrão é 5439.
+ Você pode modificar os grupos de segurança da VPC associados a um endpoint da VPC gerenciado por Redshift existente. Para modificar outras configurações, exclua o endpoint da VPC gerenciado pelo Redshift atual e crie um novo.
+ O número de endpoints da VPC gerenciados por Redshift que você pode criar está limitado à cota de endpoint da VPC.
+ Os endpoints da VPC gerenciados por Redshift não são acessíveis pela Internet. Um endpoint da VPC gerenciado pelo Redshift é acessível somente dentro da VPC em que o endpoint é provisionado ou de qualquer VPC emparelhada com a VPC em que o endpoint é provisionado conforme permitido pelas tabelas de rotas e pelos grupos de segurança.
+ Você não pode usar o console da Amazon VPC para gerenciar endpoints da VPC gerenciados pelo Redshift.
+ Quando você cria um endpoint da VPC gerenciado pelo Redshift para um cluster provisionado, a VPC escolhida deve ter um grupo de sub-redes. Para criar um grupo de sub-redes, consulte [Criação de um grupo de sub-redes de clusters](create-cluster-subnet-group.md).
+ Se uma zona de disponibilidade estiver inativa, o Amazon Redshift não criará uma interface de rede elástica em outra zona de disponibilidade. Nesse caso, talvez seja necessário criar um endpoint.

Para obter informações sobre cotas e restrições de nomeação, consulte [Cotas e limites no Amazon Redshift](amazon-redshift-limits.md). 

Para obter mais informações sobre preços, consulte [Preços do AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/).

# Conceder acesso a uma VPC
<a name="managing-cluster-cross-vpc-console-grantor"></a>

Se a VPC pela qual você deseja acessar seu cluster ou grupo de trabalho estiver em outra conta da AWS, você deve autorizá-la por meio da conta do proprietário (concessor).

**Como permitir que uma VPC em outra conta da AWS tenha acesso ao seu cluster ou grupo de trabalho**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. No menu de navegação, escolha **Clusters**. Para o Amazon Redshift sem servidor, escolha **Painel da tecnologia sem servidor**.

1. Para um cluster ao qual você deseja permitir acesso, visualize os detalhes escolhendo o nome do cluster. Escolha a guia **Propriedades** do cluster. 

   A seção **Contas concedidas** exibe as contas e as VPCs correspondentes que têm acesso ao cluster. Para um grupo de trabalho do Amazon Redshift sem servidor, escolha o grupo de trabalho. As **contas concedidas** estão disponíveis na guia **Acesso a dados**.

1. Selecione **Conceder acesso** para exibir um formulário para inserir **Informações do favorecido** para adicionar uma conta. 

1. Para o **ID da conta da AWS**, insira o ID da conta que você está concedendo acesso. Você pode conceder acesso a VPCs específicas ou a todas as VPCs na conta especificada. 

1. Selecione **Conceder acesso** para conceder acesso.

# Criar um endpoint da VPC gerenciado por Redshift
<a name="managing-cluster-cross-vpc-console-grantee"></a>

Se você possui um cluster ou grupo de trabalho ou recebeu acesso para gerenciá-lo, poderá criar um endpoint da VPC gerenciado pelo Redshift para ele. 

**Para criar um endpoint da VPC gerenciado por Redshift**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. No menu de navegação, escolha **Configurations** (Configurações). 

   A página **Configurações** exibe os endpoints da VPC gerenciados por Redshift que foram criados. Para exibir detalhes de um endpoint, escolha seu nome. Para o Amazon Redshift sem servidor, os endpoints da VPC estão na guia **Acesso a dados** quando você escolhe o grupo de trabalho.

1. Selecione **Criar endpoint** para exibir um formulário para inserir informações sobre o endpoint a ser adicionado.

1. Insira valores para **Nome do endpoint**, **AWSID da conta** de 12 dígitos, **Nuvem privada virtual (VPC)** em que o endpoint está localizado, **Sub-rede** e **Grupo de segurança da VPC**.

   A sub-rede em **Sub-rede** define as sub-redes e os endereços IP em que o Amazon Redshift implanta o endpoint. O Amazon Redshift escolhe uma sub-rede que tenha endereços IP disponíveis para a interface de rede associada ao endpoint. 

   As regras de grupo de segurança em **Grupo de segurança da VPC** definem portas, protocolos e fontes para o tráfego de entrada que você está autorizando para o endpoint. O acesso à porta selecionada é permitido por meio do grupo de segurança ou do intervalo CIDR em que as workloads são executadas.

1. Selecione **Criar endpoint** para criar o endpoint. 

Depois que o endpoint for criado, você poderá acessar o cluster ou grupo de trabalho por meio do URL mostrado em **URL do endpoint** nas definições de configuração para o endpoint da VPC gerenciado pelo Redshift.

# Recursos do Redshift em uma VPC
<a name="managing-clusters-vpc"></a>

É possível iniciar um cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor em uma VPC na plataforma EC2-VPC baseada no serviço da Amazon VPC. Para obter mais informações, consulte [Usar o EC2 para criar um cluster](working-with-clusters.md#cluster-platforms).

**nota**  
Não é permitido iniciar clusters e grupos de trabalho de tecnologia sem servidor em VPCs de locação dedicadas. Para obter mais informações, consulte [Instâncias dedicadas](https://docs.aws.amazon.com/vpc/latest/userguide/dedicated-instance.html) no *Manual do usuário do Amazon VPC*.

Ao provisionar recursos em uma VPC, você deve fazer o seguinte:
+ **Fornecer informações sobre a VPC.**

  Ao criar um cluster provisionado na VPC, você deve fornecer as informações sobre a VPC criando um grupo de sub-redes do cluster. Essas informações incluem o ID da VPC e uma lista de sub-redes em sua VPC. Ao iniciar um cluster, você fornece o grupo de sub-redes para que o Redshift possa provisioná-lo em uma das sub-redes na VPC. O processo é semelhante com o Amazon Redshift sem servidor. Você atribui sub-redes diretamente ao grupo de trabalho de tecnologia sem servidor. Mas, no caso da tecnologia sem servidor, você não cria um grupo de sub-redes. Para obter mais informações sobre como criar grupos de sub-redes no Amazon Redshift, consulte [Sub-redes para recursos do Redshift](working-with-cluster-subnet-groups.md). Para obter mais informações sobre como configurar o VPC, consulte [Conceitos básicos do Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/GetStarted.html) no *Guia de conceitos básicos do Amazon VPC*.
+  **Se preferir, configure as opções de acessibilidade.** 

  Clusters provisionados e workgroups sem servidor no Amazon Redshift são privados por padrão. Se você configurar o cluster provisionado ou o grupo de trabalho sem servidor para ser acessível publicamente, o Amazon Redshift usará um endereço IP elástico como endereço IP externo. Um endereço IP elástico é um endereço IP estático. Com ele, é possível alterar a configuração subjacente sem afetar o endereço IP usado pelos clientes para se conectarem. Essa abordagem pode ser útil em situações como uma recuperação depois de uma falha. A criação de um endereço IP elástico depende da sua configuração de realocação de zona de disponibilidade. Existem duas opções:

  1. Se você tiver a realocação de zona de disponibilidade ativada e quiser habilitar o acesso público, não especifique um endereço IP elástico. Um endereço IP elástico gerenciado pelo Amazon Redshift será atribuído. Estará associado à sua conta da AWS.

  1. Se a realocação de zona de disponibilidade estiver desativada e você quiser habilitar o acesso público, poderá optar por criar um endereço IP elástico para a VPC no Amazon EC2 antes de iniciar o cluster ou grupo de trabalho do Amazon Redshift. Se você não criar um endereço IP, o Amazon Redshift fornecerá um endereço IP elástico para a VPC. Esse endereço IP elástico será gerenciado pelo Amazon Redshift e não estará associado à sua conta da AWS.

  Para obter mais informações, consulte [Endereços IP elásticos](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) no *Guia do usuário do Amazon EC2*.

  Em alguns casos, você pode ter um cluster acessível publicamente em uma VPC e desejar conectar-se a ele usando o endereço IP privado de dentro da VPC. nesse caso, defina os seguintes parâmetros da VPC como `true`: 
  +  `DNS resolution` 
  +  `DNS hostnames` 

  Observe que, com o Amazon Redshift sem servidor, não é possível se conectar dessa maneira.

  Suponha que você tenha um cluster provisionado acessível publicamente em uma VPC, mas que não defina esses parâmetros como `true` na VPC. Nesses casos, as conexões feitas de dentro da VPC são resolvidas para o endereço IP elástico do recurso e não para endereço IP privado. Recomendamos definir esses parâmetros como `true` e usamos o endereço IP privado para um cluster acessível publicamente durante a conexão internamente na VPC. Para obter mais informações, consulte [Usar DNS com a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) no *Guia do usuário da Amazon VPC*. 
**nota**  
Se houver um cluster acessível publicamente em uma VPC, as conexões de dentro da VPC continuarão a usar o endereço IP elástico para conectar-se a ele até que você o redimensione, caso seja um cluster provisionado. Isso ocorre mesmo com os parâmetros anteriores definidos. Todos os clusters criados seguirão o novo comportamento de usar o endereço IP privado ao conectar-se a um cluster acessível publicamente de dentro da mesma VPC.

   O endereço IP elástico é um endereço IP externo para acesso a um recurso de fora de uma VPC. Para um cluster provisionado, não há relação com os **Endereços IP públicos** e **Endereços IP privados** exibidos no console do Amazon Redshift em **Endereços IP do nó**. Os endereços IP de nó do cluster públicos e privados são exibidos, independentemente de um cluster ser acessível publicamente ou não. Eles só são usados em determinadas circunstâncias para configurar regras de entrada no host remoto. Essas circunstâncias ocorrem quando você carrega dados de uma instância do Amazon EC2 ou outro host remoto usando uma conexão Secure Shell (SSH). Para obter mais informações, consulte [Etapa 1: Recuperar a chave pública do cluster e os endereços IP do nó do cluster](https://docs.aws.amazon.com/redshift/latest/dg/loading-data-from-remote-hosts.html#load-from-host-steps-retrieve-key-and-ips), no *Guia do desenvolvedor de banco de dados do Amazon Redshift.* 
**nota**  
Os endereços IP dos nós não se aplicam a um grupo de trabalho do Redshift sem servidor.

   A opção de associar um cluster provisionado a um endereço IP elástico fica disponível quando você cria o cluster ou restaura-o de um snapshot. Em alguns casos, você pode desejar associar o cluster a um endereço IP elástico ou alterar um endereço IP elástico que está associado ao cluster. Para anexar um endereço de IP elástico após a criação do cluster, primeiro atualize o cluster para que não seja publicamente acessível e, em seguida, torne-o publicamente acessível e adicione um endereço de IP elástico na mesma operação.

  Consulte mais informações sobre como tornar um cluster provisionado ou um grupo de trabalho do Amazon Redshift sem servidor acessível publicamente e ter um endereço IP elástico atribuído em [Acessibilidade pública com configuração de grupo de segurança padrão ou personalizado](https://docs.aws.amazon.com/redshift/latest/mgmt/rs-security-group-public-private.html#rs-security-group-public-default).
+ **Associe um security group da VPC.**

  Você concede acesso de entrada usando um grupo de segurança da VPC. Para obter mais informações, consulte [Definir as configurações de comunicação do grupo de segurança para clusters do Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/rs-security-group-public-private.html), que fornece orientação sobre a configuração de regras de entrada e saída entre um cliente e um cluster provisionado ou um grupo de trabalho do Amazon Redshift sem servidor. Outro recurso que ajuda você a entender os grupos de segurança é [Security in your VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html) no *Manual do usuário da Amazon VPC*.

**Restauração de um snapshot de um cluster provisionado ou grupo de trabalho de tecnologia sem servidor em uma VPC**  
Um snapshot de um cluster ou grupo de trabalho de tecnologia sem servidor na VPC pode ser restaurado somente em uma VPC, e não fora dela. Você pode restaurá-lo na mesma VPC ou em outra VPC na conta. Para obter mais informações sobre snapshots do , consulte [Snapshots e backups do Amazon Redshift](working-with-snapshots.md).

# Criar um cluster provisionado do Redshift ou um grupo de trabalho do Amazon Redshift sem servidor em uma VPC
<a name="getting-started-cluster-in-vpc"></a>

Veja a seguir as etapas gerais de como implantar um cluster ou grupo de trabalho na nuvem privada virtual (VPC). 

**Como criar um cluster ou grupo de trabalho de tecnologia sem servidor em uma VPC**

1. Configure uma VPC: é possível criar recursos do Redshift na VPC padrão da conta, caso a conta tenha uma, ou em uma VPC criada por você. Para obter mais informações, consulte [Usar o EC2 para criar um cluster](working-with-clusters.md#cluster-platforms). Para obter mais informações, consulte [Sub-rede para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) no *Manual do usuário da Amazon VPC*. Anote o identificador da VPC, a sub-rede e a zona de disponibilidade da sub-rede. Você precisará dessas informações ao iniciar o cluster ou grupo de trabalho.
**nota**  
Você deve ter pelo menos uma sub-rede definida na VPC, de maneira que possa adicioná-la ao grupo de sub-redes na próxima etapa. Para obter mais informações sobre como adicionar sub-redes à sua VPC, consulte [Adição de uma sub-rede à VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html) no *Manual do usuário do Amazon VPC*.

1. Crie um grupo de sub-redes de clusters do Amazon Redshift para especificar qual sub-rede o cluster do Amazon Redshift pode usar na VPC. Para o Redshift sem servidor, você não cria um grupo de sub-redes, mas atribui uma coleção de sub-redes ao grupo de trabalho ao criá-lo. É possível fazer isso no **Painel de tecnologia sem servidor** ao criar um grupo de trabalho.

   É possível criar um grupo de sub-redes usando o console do Amazon Redshift ou programaticamente. Para obter mais informações, consulte [Sub-redes para recursos do Redshift](working-with-cluster-subnet-groups.md).

1. Autorize o acesso de conexões de entrada em um grupo de segurança da VPC que você associa ao cluster ou grupo de trabalho. É possível habilitar um cliente fora da VPC (na Internet púbica) para conectar-se ao cluster. Para fazer isso, associe o cluster a um grupo de segurança da VPC que concede acesso de entrada. Para obter mais informações, consulte [Definir as configurações de comunicação do grupo de segurança para um cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor](rs-security-group-public-private.md). 

1. Siga as etapas para criar um cluster no console provisionado do Redshift ou em um grupo de trabalho ou no console do Amazon Redshift sem servidor. Em **Rede e segurança**, especifique a **Nuvem privada virtual (VPC)**, o **Grupo de sub-rede do cluster** e o **Grupo de segurança da VPC** que você configurou. 

   

   Consulte uma demonstração com etapas mais detalhadas de como criar um cluster de data warehouse provisionado em [Clusters provisionados do Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/new-user.html) no *Guia de conceitos básicos do Amazon Redshift*. Consulte mais informações sobre como criar um grupo de trabalho do Amazon Redshift sem servidor em [Clusters provisionados do Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html) no *Guia de conceitos básicos do Amazon Redshift*.

Você pode seguir as etapas de Conceitos básicos para testar o cluster ou grupo de trabalho fazendo upload dos dados de exemplo e testando consultas de exemplo. Para obter mais informações, consulte [Conceitos básicos de data warehouses provisionados do Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-launch-sample-cluster.html) no *Guia de conceitos básicos do Amazon Redshift*.

# Grupos de segurança da VPC
<a name="managing-vpc-security-groups"></a>

Quando você provisiona um cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor, o acesso é restrito por padrão para que ninguém tenha acesso a ele. Para conceder acesso de entrada a outros usuários, associe o cluster a um grupo de segurança. Se você estiver na plataforma EC2-VPC, poderá usar um grupo de segurança do Amazon VPC existente ou definir um novo. Depois, você o associa a um cluster ou grupo de trabalho, conforme descrito a seguir. Se estiver na plataforma EC2-Classic, defina um grupo de segurança e associe-o ao cluster ou grupo de trabalho. Consulte mais informações sobre como usar grupos de segurança na plataforma EC2-Classic em [Grupos de segurança do Amazon Redshift](security-network-isolation.md#working-with-security-groups).

Um security group da VPC consiste em um conjunto de regras que controlam o acesso a uma instância na VPC, como o cluster. Acesso ao conjunto de regras individuais baseado em intervalos de endereços IP ou em outros security groups da VPC. Quando você associa um grupo de segurança da VPC a um cluster ou grupo de trabalho, as regras definidas no grupo de segurança da VPC controlam o acesso. 

Cada cluster que você provisiona na plataforma EC2-VPC tem um ou mais grupos de segurança do Amazon VPC associados a ele. O Amazon VPC fornece um grupo de segurança da VPC chamado padrão, criado automaticamente quando você cria a VPC. Cada cluster iniciado por você na VPC será associado automaticamente ao grupo de segurança da VPC padrão se você não especificar um grupo de segurança da VPC diferente para os recursos do Redshift. Você pode associar um security group da VPC a um cluster ao criar um cluster ou associar um security group da VPC depois modificando o cluster.

A captura de tela a seguir descreve as regras padrão do grupo de segurança da VPC padrão.

![\[A tabela mostra regras de entrada e saída de grupos de segurança. Cada regra tem uma origem ou destino, um protocolo, um intervalo de portas e comentários.\]](http://docs.aws.amazon.com/pt_br/redshift/latest/mgmt/images/security_groups.png)


É possível alterar as regras do grupo de segurança da VPC padrão conforme necessário.

Se o grupo de segurança da VPC padrão for suficiente, você não precisará criar mais. Porém, você também pode criar grupos de segurança da VPC adicionais para gerenciar melhor o acesso de entrada. Por exemplo, suponha que você esteja executando um serviço em um cluster do Amazon Redshift ou grupo de segurança de tecnologia sem servidor e tenha vários níveis de serviço diferentes que fornece aos seus clientes. Se não quiser conceder o mesmo acesso em todos os níveis de serviço, você poderá criar grupos de segurança da VPC separados, um para cada nível de serviço. Depois, você poderá associar esses grupos de segurança da VPC ao cluster ou aos grupos de trabalho.

É possível criar até 100 grupos de segurança para uma VPC e associar um grupo de segurança da VPC a vários clusters e grupos de trabalho. No entanto, observe que há limites para o número de grupos de segurança da VPC que você pode associar a um cluster ou grupo de trabalho.

O Amazon Redshift aplica as alterações a um grupo de segurança da VPC imediatamente. Assim, se você tiver associado o security group da VPC a um cluster, as regras de acesso ao cluster de entrada no security group da VPC atualizadas serão aplicadas imediatamente.

Você pode criar e modificar grupos de segurança da VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Você também pode gerenciar grupos de segurança da VPC programaticamente usando a AWS CLI, a CLI do Amazon EC2 e o AWS Tools for Windows PowerShell. Para obter mais informações sobre como trabalhar com grupos de segurança da VPC, consulte [Grupos de segurança para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) no *Manual do usuário do Amazon VPC*.

# Definir as configurações de comunicação do grupo de segurança para um cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor
<a name="rs-security-group-public-private"></a>

Este tópico ajuda você a configurar grupos de segurança para rotear e receber o tráfego de rede adequadamente. Veja abaixo alguns casos de uso comuns:
+ Você ativa a acessibilidade pública para um cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshfit sem servidor, mas ele não está recebendo tráfego. Para isso, é necessário configurar uma regra de entrada para permitir que o tráfego chegue pela internet.
+ O cluster ou o grupo de trabalho não está acessível ao público e você usa o grupo de segurança da VPC padrão pré-configurado do Redshift a fim de permitir tráfego de entrada. No entanto, você precisa usar um grupo de segurança diferente do padrão, e esse grupo de segurança personalizado não permite tráfego de entrada. É necessário configurá-lo para permitir a comunicação.

 As seções a seguir ajudam você a escolher a resposta correta para cada caso de uso e mostra como configurar o tráfego de rede de acordo com seus requisitos. Opcionalmente, você pode usar as etapas para configurar a comunicação de outros grupos de segurança privados.



**nota**  
Na maioria dos casos, as configurações de tráfego de rede não são definidas automaticamente no Amazon Redshift. Isso ocorre porque eles podem variar consideravelmente, dependendo se a origem do tráfego é a internet ou um grupo de segurança privado, e porque os requisitos de segurança variam.

## Acessibilidade pública com configuração de grupo de segurança padrão ou personalizado
<a name="rs-security-group-public-default"></a>

Se você estiver criando ou já tiver um cluster ou grupo de trabalho, execute as etapas de configuração a seguir para torná-lo acessível ao público. Isso se aplica tanto quando você escolhe o grupo de segurança padrão quanto um grupo de segurança personalizado:

1. Encontre as configurações de rede:
   + Para um cluster provisionado do Amazon Redshift, escolha a guia **Propriedades** e, em **Configurações de rede e segurança**, selecione a VPC para o cluster.
   + Para um grupo de trabalho do Amazon Redshift sem servidor, escolha **Configuração do grupo de trabalho**. Escolha o grupo de trabalho na lista. Em seguida, em **Acesso a dados**, no painel **Rede e segurança**, escolha **Editar**.

1. Configure o gateway da Internet e a tabela de rotas para a VPC. Você inicia a configuração escolhendo a VPC pelo nome. O painel da VPC é aberto. Para se conectar a um cluster ou um grupo de trabalho acessível ao público pela internet, um gateway da Internet deve estar associado à tabela de rotas. Você pode configurar isso escolhendo **Tabelas de rotas** no painel da VPC. Confirme se o destino do gateway da Internet está definido com a origem 0.0.0.0/0 ou um CIDR de IP público. A tabela de rotas deve estar associada à VPC em que o cluster reside. Para obter mais informações sobre como configurar o acesso à internet para uma VPC, conforme descrito aqui, consulte [Habilitar acesso à Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#vpc-igw-internet-access) na documentação da Amazon VPC. Para obter mais informações sobre como configurar uma tabela de rotas, consulte [Configurar tabelas de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html).

1. Depois de configurar o gateway da Internet e a tabela de rotas, retorne às configurações de rede do Redshift. Abra o acesso de entrada escolhendo o grupo de segurança e, em seguida, selecionando as **Regras de entrada**. Escolha **Editar regras de entrada**.

1. Escolha o **Protocolo** e a **Porta** para a regra de entrada, de acordo com seus requisitos, para permitir o tráfego de clientes. Para um cluster RA3, selecione uma porta dentro dos intervalos 5431-5455 ou 8191-8215. Quando terminar, salve cada regra.

1. Edite a configuração **Publicamente acessível** para habilitá-la. É possível fazer isso pelo menu **Ações** do cluster ou do grupo de trabalho.

Quando você ativa a configuração de acesso público, o Redshift cria um endereço IP elástico. É um endereço IP estático associado à sua conta da AWS. Clientes fora da VPC podem usá-lo para se conectar.

Para obter mais informações sobre como configurar o grupo de segurança, consulte [Grupos de segurança do Amazon Redshift](security-network-isolation.md#working-with-security-groups).

Você pode testar suas regras conectando-se a um cliente. Faça o que está descrito a seguir se estiver se conectando ao Amazon Redshift sem servidor. Depois de concluir a configuração da rede, conecte-se à ferramenta do cliente, como o [Amazon Redshift RSQL](https://docs.aws.amazon.com/redshift/latest/mgmt/rsql-query-tool.html). Usando seu domínio do Amazon Redshift Serverless como host, insira o seguinte:



```
rsql -h workgroup-name.account-id.region.amazonaws.com -U admin -d dev -p 5439
```

## Acessibilidade privada com configuração de grupo de segurança padrão ou personalizado
<a name="rs-security-group-private"></a>

 Quando você não se comunica pela internet com o cluster ou grupo de trabalho, isso é chamado de *acesso privado*. Se você escolheu o grupo de segurança padrão ao criá-lo, o grupo de segurança inclui as seguintes regras de comunicação padrão:
+ Uma regra de entrada que permite tráfego de todos os recursos atribuídos a esse grupo de segurança.
+ Uma regra de saída que permite todo tráfego de saída. O destino dessa regra é 0.0.0.0/0. Na notação de Encaminhamento Entre Domínios Sem Classificação (CIDR), ele representa todos os endereços IP possíveis.

Você pode visualizar as regras no console selecionando o grupo de segurança para o cluster ou grupo de trabalho.

Se o cluster, o grupo de trabalho e o cliente usarem o grupo de segurança padrão, não será necessária nenhuma configuração adicional para permitir o tráfego de rede. Mas, se você excluir ou alterar alguma regra no grupo de segurança padrão do Redshift ou do cliente, isso não se aplicará mais. Nesse caso, você deve configurar regras para permitir a comunicação de entrada e saída. Uma configuração de grupo de segurança comum é a seguinte:
+ Para uma instância do Amazon EC2 do cliente:
  + Uma regra de entrada que permite o endereço IP do cliente.
  + Uma regra de saída que permite o intervalo de endereços IP (bloco CIDR) de todas as sub-redes fornecidas para uso do Redshift. Ou você pode especificar 0.0.0.0/0, que são todos os intervalos de endereços IP.
+ Para o cluster ou grupo de trabalho do Redshift:
  + Uma regra de entrada que permite o grupo de segurança do cliente.
  + Uma regra de saída que permite tráfego para 0.0.0.0/0. Normalmente, uma regra de saída permite todo tráfego de saída. Opcionalmente, você pode adicionar uma regra de saída para permitir o tráfego para o grupo de segurança do cliente. Nesse caso opcional, uma regra de saída nem sempre é necessária, porque o tráfego de resposta de cada solicitação pode chegar à instância. Para obter mais detalhes sobre o comportamento de solicitações e respostas, consulte [Grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html) no *Manual do usuário do Amazon VPC*.

Se você alterar a configuração de qualquer sub-rede ou grupo de segurança especificado para uso do Redshift, talvez seja necessário alterar as regras de tráfego adequadamente para manter a comunicação aberta. Para acessar mais informações sobre a criação de regras de entrada e saída, consulte [Blocos CIDR da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) no *Manual do usuário da Amazon VPC*. Para obter informações sobre como se conectar ao Amazon Redshift sem servidor, consulte [Configurar conexões no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/configuring-connections.html).

# Sub-redes para recursos do Redshift
<a name="working-with-cluster-subnet-groups"></a>

Crie um grupo de sub-redes se estiver criando um cluster provisionado em uma nuvem privada virtual (VPC). Cada VPC pode ter uma ou mais sub-redes, que são subconjuntos de endereços IP dentro da VPC, que permite o agrupamento de recursos com base nas necessidades operacionais e de segurança. Crie um grupo de sub-redes para especificar um conjunto de sub-redes na VPC ao criar um cluster provisionado. No **Painel de clusters provisionados**, é possível encontrar e editar grupos de sub-redes do cluster em **Configurações**. Durante a configuração inicial de um cluster provisionado, você especifica o grupo de sub-redes e o Amazon Redshift cria o cluster em uma de suas sub-redes. Consulte mais informações sobre o serviço de VPC na página de detalhes do produto [Amazon VPC](https://aws.amazon.com/vpc/).

A configuração de sub-rede de um grupo de trabalho do Amazon Redshift sem servidor é semelhante à de um cluster provisionado, mas as etapas são um pouco diferentes. Ao criar e configurar um grupo de trabalho de tecnologia sem servidor, você especifica sub-redes para o grupo de trabalho e elas são adicionadas a uma lista. Você pode visualizar as sub-redes de um grupo de trabalho existente selecionando as propriedades do grupo de trabalho no **Painel da tecnologia sem servidor**. Eles estão disponíveis nas propriedades **Rede e segurança**. Consulte mais informações em [Criar um grupo de trabalho com um namespace](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups-create-workgroup-wizard.html).

Consulte mais informações sobre como criar uma VPC na documentação do [Guia do usuário da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).

Depois de criar um grupo de sub-redes para um cluster provisionado ou escolher sub-redes para um grupo de trabalho de tecnologia sem servidor, é possível remover sub-redes adicionadas anteriormente ou adicionar mais. É possível fazer essas alterações usando o console ou as operações de API. Consulte mais informações sobre as operações de API para um cluster provisionado em [ModifyClusterSubnetGroup](https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyClusterSubnetGroup.html). Para operações de API para um grupo de trabalho de tecnologia sem servidor, consulte [UpdateWorkgroup](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateWorkgroup.html).



É possível provisionar um cluster em uma das sub-redes no grupo de sub-redes. O grupo de sub-redes do cluster permite que você especifique um conjunto de sub-redes em sua nuvem privada virtual (VPC).

**Atenção**  
Durante as operações de manutenção do cluster, como redimensionamento clássico, pausa e retomada, failovers multi-AZ ou outros eventos, os nós de computação provisionados podem ser movidos para outra sub-rede dentro do grupo de sub-redes do cluster do Amazon Redshift. Observe que todas as sub-redes em um grupo de sub-redes devem ter as mesmas regras de entrada e saída da ACL de rede e as mesmas rotas da tabela de rotas. Isso garante a conectividade com os recursos de computação do Amazon Redshift, para que eles possam se comunicar e funcionar de forma ideal após esses eventos de manutenção. Evite adicionar sub-redes com configurações variáveis de ACL de rede ou tabela de rotas ao mesmo grupo de sub-redes do cluster do Amazon Redshift.  
Consulte mais informações sobre a configuração de sub-redes em [Sub-redes para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) no Guia do usuário da Amazon VPC. Consulte mais informações sobre as implantações multi-AZ do Redshift em [Multi-AZ deployment (Implantação multi-AZ)](managing-cluster-multi-az.md) no Guia de gerenciamento do Redshift. [Redimensionamento de um cluster](resizing-cluster.md) também é abordado no Guia de gerenciamento do Redshift.

# Criação de um grupo de sub-redes de clusters
<a name="create-cluster-subnet-group"></a>

O procedimento a seguir explica como criar um grupo de sub-redes para um cluster provisionado. É preciso ter pelo menos um grupo de sub-redes de clusters definido para disponibilizar um cluster em uma VPC.

**Como criar um grupo de sub-redes do cluster para um cluster provisionado**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. No menu de navegação, escolha **Configurations** (Configurações) e **Subnet groups** (Grupos de sub-redes). A lista de grupos de sub-redes é exibida. 

1. Choose **Create cluster subnet group (Criar grupo de sub-redes do cluster)** para exibir a página de criação. 

1. Insira informações para o grupo de sub-redes incluindo as sub-redes a serem adicionadas. 

1. Escolha **Create cluster subnet group (Criar grupo de sub-redes do cluster)** para criar o grupo com a sub-redes escolhidas. 

**nota**  
Consulte informações sobre como criar um grupo de trabalho do Amazon Redshift sem servidor com uma coleção de sub-grupos em [Criar um grupo de trabalho com um namespace](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups-create-workgroup-wizard.html) ou [Criar uma sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) no Guia do usuário da Amazon VPC.

# Modificação de um grupo de sub-redes de clusters
<a name="modify-cluster-subnet-group"></a>

Depois de criar um grupo de sub-redes, você pode modificar suas informações no console do Amazon Redshift. O procedimento a seguir explica como modificar um grupo de sub-redes para um cluster provisionado. 

**Como modificar um grupo de sub-redes do cluster para um cluster provisionado**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. No menu de navegação, escolha **Configurations** (Configurações) e **Subnet groups** (Grupos de sub-redes). A lista de grupos de sub-redes é exibida. 

1. Escolha o grupo de sub-redes a ser modificado. 

1. Em **Actions (Ações)**, escolha **Modify (Modificar)** para exibir os detalhes do grupo de sub-redes. 

1. Atualize as informações do grupo de sub-redes. 

1. Escolha **Save (Salvar)** para modificar o grupo. 

Em alguns casos, são necessárias etapas adicionais para alterar ou remover sub-redes. Por exemplo, o artigo [Como faço para mover um cluster provisionado do Amazon Redshift para uma sub-rede diferente?](https://repost.aws//knowledge-center/redshift-move-subnet) do Centro de Conhecimentos da AWS descreve um caso de uso que abrange a movimentação de um cluster.

# Excluir um grupo de sub-redes do cluster para um cluster provisionado
<a name="delete-cluster-subnet-group"></a>

Ao terminar de usar um grupo de sub-redes de cluster, para limpar, você deve excluir o grupo. O procedimento a seguir explica as etapas para excluir um grupo de sub-rede para um cluster provisionado.

**Para excluir um grupo de sub-redes de clusters**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. No menu de navegação, escolha **Configurations** (Configurações) e **Subnet groups** (Grupos de sub-redes). A lista de grupos de sub-redes é exibida. 

1. Escolha o grupo de sub-redes a ser excluído e escolha **Delete (Excluir)**. 

**nota**  
Não é possível excluir um grupo de sub-redes de cluster que esteja sendo usado por um cluster.

# Bloquear o acesso público a VPCs e sub-redes
<a name="block-public-access"></a>

O Bloqueio de Acesso Público (BPA) da VPC é um recurso de segurança centralizado que pode ser usado para impedir que recursos em VPCs e sub-redes que você tem na Região da AWS acessem ou sejam acessados ​​pela internet por meio de gateways da internet e de gateways da internet somente de saída. Se você ativar esse recurso em uma Conta da AWS, ele afetará, por padrão, qualquer VPC ou sub-rede usada pelo Amazon Redshift. Isso significa que o Amazon Redshift impede todas as operações ao público. 

Quando o BPA da VPC está ativado e você deseja usar as APIs do Amazon Redshift pela internet pública, é necessário adicionar uma exclusão para usar as APIs do Amazon EC2 para sua VPC ou sub-rede. As exclusões podem ter um dos seguintes modos: 
+ **Bidirecional**: todo o tráfego de Internet para ou das VPCs e sub-redes excluídas é permitido.
+ **Somente de saída**: o tráfego de Internet de saída das VPCs e sub-redes excluídas é permitido. O tráfego de Internet de entrada para as VPCs e sub-redes excluídas é bloqueado. Isso só se aplica quando o BPA está definido como bidirecional.

As exclusões do BPA da VPC designam uma VPC inteira ou uma sub-rede específica dentro de uma VPC como apta para acesso público. As interfaces de rede dentro desse limite respeitam os controles de rede regulares da VPC, como grupos de segurança, tabelas de rotas e ACLs de rede, no que diz respeito a se essa interface tem uma rota e acesso à internet pública. Para obter mais informações sobre como adicionar exclusões, consulte [Criar e excluir exclusões](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) no *Manual do usuário da Amazon VPC*.

**Clusters provisionados**

Um grupo de sub-redes é uma combinação de sub-redes da mesma VPC. Se um grupo de sub-redes de um cluster provisionado estiver em uma conta com BPA da VPC ativado, os seguintes recursos serão bloqueados:
+ Criação de um cluster público
+ Restauração de um cluster público
+ Modificação de um cluster privado para ser público
+ Adição de uma sub-rede com BPA da VPC ativado ao grupo de sub-redes quando há pelo menos um cluster público dentro do grupo

 **Clusters sem servidor**

O Redshift sem servidor não usa grupos de sub-redes. Em vez disso, cada cluster tem um conjunto de sub-redes próprio. Se um grupo de trabalho estiver em uma conta com BPA da VPC ativado, os seguintes recursos serão bloqueados: 
+ Criação um grupo de trabalho de acesso público
+ Modificação de um grupo de trabalho privado para público
+ Adição de uma sub-rede com BPA da VPC ativado ao grupo de trabalho quando o grupo de trabalho é público

# Controlar o tráfego de rede com o roteamento de VPC avançado do Redshift
<a name="enhanced-vpc-routing"></a>

Quando você usa o roteamento VPC aprimorado do Amazon Redshift, o Amazon Redshift força todo o tráfego [COPY](https://docs.aws.amazon.com/redshift/latest/dg/r_COPY.html) e [UNLOAD](https://docs.aws.amazon.com/redshift/latest/dg/r_UNLOAD.html) entre seu cluster e seus repositórios de dados por meio de sua Virtual Private Cloud (VPC) com base no serviço Amazon VPC. Ao usar o roteamento VPC aprimorado, você pode usar recursos VPC padrão, como [grupos de segurança da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html), [listas de controle de acesso à rede (ACLs)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html), [endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html), [políticas de endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3), [gateways da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) e servidores [Sistema de Nomes de Domínio (DNS)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html), conforme descrito no *Manual do usuário do Amazon VPC*. Você usa esses recursos para controlar o fluxo de dados entre o cluster do Amazon Redshift e outros recursos. Ao usar o roteamento aprimorado de VPC para rotear tráfego pela VPC, também é possível usar [logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) para monitorar o tráfego de COPY e UNLOAD.

 Tanto os clusters do Amazon Redshift como os grupos de trabalho do Amazon Redshift sem servidor são compatíveis com o roteamento de VPC aprimorado. Não é possível usar o roteamento aprimorado de VPC com o Redshift Spectrum. Para obter mais informações, consulte [Acessar buckets do S3 com o Redshift Spectrum](spectrum-enhanced-vpc.md).

Se o roteamento aprimorado de VPC não estiver ativado, o Amazon Redshift roteará o tráfego pela Internet, incluindo o tráfego para outros serviços na rede da AWS.

**Importante**  
Como o roteamento VPC aprimorado afeta a maneira como o Amazon Redshift acessa outros recursos, os comandos COPY e UNLOAD podem falhar, a menos que você configure seu VPC corretamente. Você deve criar especificamente um caminho de rede entre a VPC do cluster e os recursos de dados, conforme descrito a seguir.

Quando você executa um comando COPY ou UNLOAD em um cluster com o roteamento aprimorado de VPC ativado, a VPC roteia o tráfego para o recurso especificado usando o caminho de rede *mais rígido*, ou mais específico, disponível. 

Por exemplo, você pode configurar os seguintes percursos na VPC:
+ **Endpoints da VPC**: para o tráfego para um bucket do Amazon S3 na mesma Região da AWS do cluster ou grupo de trabalho, você pode criar um endpoint da VPC para direcionar o tráfego diretamente ao bucket. Ao usar endpoints da VPC, você pode anexar uma política de endpoint para gerenciar o acesso ao Amazon S3. Consulte mais informações sobre como usar endpoints com o Redshift em [Controlar o tráfego de rede com endpoints da VPC](enhanced-vpc-working-with-endpoints.md). Se você usa o Lake Formation, pode encontrar mais informações sobre como estabelecer uma conexão privada entre a VPC e o AWS Lake Formation em [AWS Lake Formation e endpoints da VPC de interface (AWS PrivateLink)](https://docs.aws.amazon.com/lake-formation/latest/dg/privatelink.html).
**nota**  
Ao usar os endpoints da VPC do Redshift com os endpoints de gateway da VPC do Amazon S3, é necessário habilitar o roteamento de VPC aprimorado no Redshift. Para obter mais informações, consulte [Endpoints de gateway para o Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html).
+ **Gateway NAT** – Você pode se conectar a um bucket do Amazon S3 em outra região da AWS, e você pode se conectar a outro serviço dentro da rede da AWS. Você também pode acessar uma instância de host fora da rede da AWS. Para fazer isso, configure um [gateway de conversão de endereços de rede (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), conforme descrito no *Manual do usuário do Amazon VPC*.
+ **Gateway da Internet** – Para se conectar a serviços da AWS fora da VPC, você pode anexar um [gateway da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) à sua sub-rede da VPC, conforme descrito no *Manual do usuário do Amazon VPC*. Para usar um gateway da internet, o cluster ou grupo de trabalho deve ser acessível publicamente a fim de permitir que outros serviços se comuniquem com ele.

Para obter mais informações, consulte [endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) no Manual do usuário do Amazon VPC.

Não há cobrança adicional pelo uso do roteamento aprimorado de VPC. Você pode incorrer em cobranças de transferência de dados adicionais para determinadas operações. Isso inclui operações como UNLOAD para o Amazon S3 em uma região da AWS diferente. COPY do Amazon EMR ou Secure Shell (SSH) com endereços IP públicos. Para obter mais informações sobre a definição de preço, consulte [Definição de preço do Amazon EC2](https://aws.amazon.com/ec2/pricing/).

**Topics**
+ [Controlar o tráfego de rede com endpoints da VPC](enhanced-vpc-working-with-endpoints.md)
+ [Ativar o roteamento de VPC aprimorado](enhanced-vpc-enabling-cluster.md)
+ [Acessar buckets do S3 com o Redshift Spectrum](spectrum-enhanced-vpc.md)

# Controlar o tráfego de rede com endpoints da VPC
<a name="enhanced-vpc-working-with-endpoints"></a>

É possível usar um endpoint da VPC para criar uma conexão gerenciada entre o cluster do Amazon Redshift ou um grupo de trabalho de tecnologia sem servidor em uma VPC e o Amazon Simple Storage Service (Amazon S3). Ao fazer isso, o tráfego de COPY e UNLOAD entre seu banco de dados e seus dados no Amazon S3 permanece em seu Amazon VPC. Você pode anexar uma política de endpoint ao endpoint para gerenciar mais de perto o acesso aos dados. Por exemplo, você pode adicionar uma política ao seu endpoint da VPC que permite o descarregamento de dados apenas para um bucket do Amazon S3 específico em sua conta.

Para usar endpoints da VPC, crie um endpoint da VPC para a VPC em que o data warehouse está e ative o roteamento aprimorado de VPC. Você pode ativar o roteamento aprimorado de VPC ao criar o cluster ou grupo de trabalho, ou pode modificar um cluster ou grupo de trabalho em uma VPC para usar o roteamento aprimorado de VPC.

Um endpoint da VPC usa tabelas de rotas para controlar o roteamento de tráfego entre um cluster ou grupo de trabalho na VPC e o Amazon S3. Todos os clusters e grupos de trabalho nas sub-rede associadas às tabelas de rotas especificadas usam automaticamente esse endpoint para acessar o serviço.

A VPC usa a rota mais específica ou a mais restritiva, de acordo com o tráfego para determinar como rotear o tráfego. Por exemplo, suponha que você tenha uma rota em sua tabela de rotas para todo o tráfego da Internet (0.0.0.0/0) que aponta para um gateway da Internet e um endpoint do Amazon S3. Nesse caso, a rota do endpoint tem precedência para todo o tráfego destinado ao Amazon S3. Isso ocorre porque o intervalo de endereços IP para o serviço Amazon S3 é mais específico do que 0.0.0.0/0. Neste exemplo, todo o outro tráfego de Internet vai para seu gateway da Internet, incluindo o tráfego que é destinado a buckets do Amazon S3 em outras Regiões da AWS.

Para obter mais informações sobre como criar endpoints, consulte [Criar um endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) no *Guia do usuário da Amazon VPC.*

Use políticas de endpoint para controlar o acesso de seu cluster ou grupo de trabalho aos buckets do Amazon S3 que contêm seus arquivos de dados. Para obter um controle mais específico, você também pode anexar uma política de endpoint personalizada. Para obter mais informações, consulte [Controlar o acesso aos serviços usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink*. 

**nota**  
 O AWS Database Migration Service (AWS DMS) é um serviço de nuvem que possibilita a migração de bancos de dados relacionais, data warehouses e outros tipos de datastore. Ele pode se conectar a qualquer banco de dados de origem ou destino da AWS, incluindo um banco de dados do Amazon Redshift habilitado para VPC, com algumas restrições de configuração. O suporte aos endpoints da Amazon VPC permite que o AWS DMS realize mais facilmente a manutenção da segurança de rede completa para tarefas de replicação. Consulte mais informações sobre como usar o Redshift com o AWS DMS em [Configuring VPC endpoints as AWS DMS source and target endpoints](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_VPC_Endpoints.html) no *Guia do usuário do AWS Database Migration Service*. 

Não há cobrança adicional pelo uso de endpoints. Aplicam-se as cobranças padrão pela transferência de dados e pela utilização de recursos. Para obter mais informações sobre a definição de preço, consulte [Definição de preço do Amazon EC2](https://aws.amazon.com/redshift/pricing/#Data_Transfer).

# Ativar o roteamento de VPC aprimorado
<a name="enhanced-vpc-enabling-cluster"></a>

Você pode ativar o roteamento aprimorado de VPC ao criar ou modificar um cluster, e ao criar ou modificar um grupo de trabalho do Amazon Redshift Serverless.

Para trabalhar com o roteamento de VPC aprimorado, o cluster ou grupo de trabalho de tecnologia sem servidor deve atender aos seguintes requisitos e limitações:
+ O cluster deve estar em uma VPC. 

  Se você anexar um endpoint da VPC do Amazon S3, ele será usado apenas para acessar os buckets do Amazon S3 na mesma Região da AWS. Para acessar buckets em outra Região da AWS (sem usar o endpoint da VPC) ou para acessar outros serviços da AWS, torne o cluster ou grupo de trabalho de tecnologia sem servidor acessível publicamente ou use um [gateway de conversão de endereços de rede (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html). Para obter mais informações, consulte [Criar um cluster provisionado do Redshift ou um grupo de trabalho do Amazon Redshift sem servidor em uma VPC](getting-started-cluster-in-vpc.md).
+ Você deve habilitar a resolução Serviço de Nome de Domínio (DNS) em sua VPC. Como alternativa, se você estiver usando seu próprio servidor DNS, certifique-se de que as solicitações DNS para o Amazon S3 sejam resolvidas corretamente para os endereços IP mantidos pela AWS. Para obter mais informações, consulte [Usar DNS com a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html), no *Guia do usuário da Amazon VPC*.
+ Os nomes de host DNS devem ser ativados na VPC. Por padrão, os nomes de hosts DNS estão ativados.
+ Suas políticas de endpoint da VPC devem permitir o acesso a qualquer bucket do Amazon S3 usado com chamadas COPY, UNLOAD ou CREATE LIBRARY no Amazon Redshift, incluindo acesso a quaisquer arquivos manifesto envolvidos. Para COPY em hosts remotos, as políticas de endpoint devem permitir acesso a cada máquina de host. Para obter mais informações, consulte [Permissões do IAM para COPY, UNLOAD e CREATE LIBRARY](https://docs.aws.amazon.com/redshift/latest/dg/copy-usage_notes-access-permissions.html#copy-usage_notes-iam-permissions) no *Guia do desenvolvedor de banco de dados do Amazon Redshift.*

**Como ativar o roteamento de VPC avançado para um cluster provisionado**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. No menu de navegação, escolha **Provisioned clusters dashboard** (Painel de clusters provisionados), depois selecione **Create cluster** (Criar Cluster) e insira as propriedades de **Cluster details** (Detalhes do cluster). 

1. Para exibir a seção **Additional configurations (Configurações adicionais)**, desative **Use defaults (Usar padrões)**. 

1. Navegue até a seção **Network and security** (Rede e segurança).

1. Para ativar o **Enhanced VPC routing** (Roteamento aprimorado de VPC), escolha **Turn on** (Ativar) para forçar o tráfego do cluster pela VPC. 

1. Para criar o cluster, escolha **Create cluster** (Criar cluster). Podem ser necessários alguns minutos para preparar o cluster para ser usado.

**Como ativar o roteamento de VPC aprimorado para um Amazon Redshift sem servidor**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. No menu de navegação, escolha **Serverless dashboard** (Painel do Serverless), selecione **Create workgroup** (Criar grupo de trabalho) e insira as propriedades para o grupo de trabalho. 

1. Navegue até a seção **Network and security** (Rede e segurança).

1. Selecione **Turn on enhanced VPC routing** (Ativar roteamento aprimorado de VPC) para rotear o tráfego de rede pela VPC. 

1. Escolha **Next** (Avançar) e termine de inserir as propriedades do grupo de trabalho, depois selecione **Create** (Criar) para criar o grupo de trabalho.

# Acessar buckets do S3 com o Redshift Spectrum
<a name="spectrum-enhanced-vpc"></a>

Em geral, o Amazon Redshift Spectrum não permite o uso do roteamento aprimorado da VPC com clusters provisionados, embora um cluster provisionado possa consultar tabelas externas do Amazon S3 quando o roteamento aprimorado da VPC está habilitado.

O roteamento aprimorado da VPC do Amazon Redshift envia tráfego específico por meio da sua VPC, o que significa que todo tráfego entre o cluster e os buckets do Amazon S3 é forçado a passar pela sua Amazon VPC. Como o Redshift Spectrum é executado em recursos gerenciados pela AWS que pertencem ao Amazon Redshift mas estão fora da sua VPC, ele não usa o roteamento aprimorado da VPC. 

O tráfego entre o Redshift Spectrum e o Amazon S3 é roteado com segurança pela rede privada da AWS, fora da VPC. O tráfego em trânsito é assinado usando o protocolo Amazon Signature versão 4 (SIGv4) e criptografado usando HTTPS. Este tráfego é autorizado com base na função do IAM anexada ao seu cluster do Amazon Redshift. Para gerenciar ainda mais o tráfego do Redshift Spectrum, você pode modificar a função do IAM do seu cluster e sua política anexada ao bucket do Amazon S3. Também pode ser necessário configurar seu VPC para permitir que seu cluster acesse o Athena ou o AWS Glue, conforme detalhado a seguir. 

 Observe que, como o roteamento VPC aprimorado afeta a maneira como o Amazon Redshift acessa outros recursos, as consultas podem falhar, a menos que você configure a VPC corretamente. Para obter mais informações, consulte [Controlar o tráfego de rede com o roteamento de VPC avançado do Redshift](enhanced-vpc-routing.md), que discute com mais detalhes a criação de um endpoint da VPC, um gateway de conversão de endereços de rede (gateway NAT) e outros recursos de rede para direcionar o tráfego aos buckets do Amazon S3. 

**nota**  
O Amazon Redshift Serverless oferece suporte ao roteamento aprimorado de VPC para consultas a tabelas externas no Amazon S3. Consulte mais informações sobre configuração em [Carregar dados do Amazon S3](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html#serverless-load-data-from-s3) no Guia de conceitos básicos do Amazon Redshift sem servidor.

## Configuração da política de permissões ao usar o Amazon Redshift Spectrum
<a name="spectrum-enhanced-vpc-considerations"></a>

Considere o seguinte ao usar o Redshift Spectrum: 
+ [Políticas de acesso ao bucket do Amazon S3 e perfis do IAM](#spectrum-enhanced-vpc-considerations-policies)
+ [Permissões para assumir o perfil do IAM](#spectrum-enhanced-vpc-considerations-cluster-role)
+ [Registrar em log e auditar o acesso ao Amazon S3](#spectrum-enhanced-vpc-considerations-logging-s3)
+ [Acesso ao AWS Glue ou Amazon Athena](#spectrum-enhanced-vpc-considerations-glue-access)

### Políticas de acesso ao bucket do Amazon S3 e perfis do IAM
<a name="spectrum-enhanced-vpc-considerations-policies"></a>

Você pode controlar o acesso aos dados nos buckets do Amazon S3 usando uma política de bucket anexada ao bucket e usando um perfil do IAM anexado a um cluster provisionado. 

O Redshift Spectrum em clusters provisionados não pode acessar dados armazenados em buckets do Amazon S3 que usam uma política de bucket que restringe o acesso apenas a endpoints da VPC especificados. Em vez disso, use uma política de bucket que restrinja o acesso apenas a entidades principais específicas, como uma conta específica da AWS ou usuários específicos. 

Para a função do IAM que tem acesso ao bucket, use uma relação de confiança que permita que a função seja assumida apenas pela entidade principal de serviço do Amazon Redshift. Quando anexada ao seu cluster, a função pode ser usada apenas no contexto do Amazon Redshift e não pode ser compartilhada fora do cluster. Para obter mais informações, consulte [Restringir acesso a funções do IAM](authorizing-redshift-service-database-users.md). Uma política de controle de serviços (SCP) também pode ser usada para restringir ainda mais o perfil. Consulte [Impedir que usuários e perfis do IAM façam alterações especificadas, com uma exceção para um perfil de administrador especificado](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-restricts-with-exception) no *Guia do usuário do AWS Organizations*.

**nota**  
Para usar o Redshift Spectrum, não pode haver nenhuma política do IAM bloqueando o uso de URLs pré-assinados do Amazon S3. Os URLs pré-assinados gerados pelo Amazon Redshift Spectrum são válidos por uma hora para que o Amazon Redshift tenha tempo suficiente para carregar todos os arquivos do bucket do Amazon S3. Um URL pré-assinado exclusivo é gerado para cada arquivo verificado pelo Redshift Spectrum. Para políticas de bucket que incluem uma ação `s3:signatureAge`, o valor deve ser definido como pelo menos 3.600.000 milissegundos.

O exemplo de política de bucket a seguir permite acesso ao bucket especificado pertencente à conta `123456789012` da AWS. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BucketPolicyForSpectrum",
            "Effect": "Allow",
            "Principal": {
                "AWS": ["arn:aws:iam::123456789012:role/redshift"]
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucketVersions",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

### Permissões para assumir o perfil do IAM
<a name="spectrum-enhanced-vpc-considerations-cluster-role"></a>

A função associada ao seu cluster deve ter uma relação de confiança que permita que seja assumida apenas pelo serviço do Amazon Redshift, como mostrado a seguir.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Para obter mais informações, consulte [Políticas do IAM para o Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-spectrum-iam-policies.html) no *Guia do desenvolvedor de bancos de dados do Amazon Redshift*.

### Registrar em log e auditar o acesso ao Amazon S3
<a name="spectrum-enhanced-vpc-considerations-logging-s3"></a>

Um dos benefícios ao usar o roteamento aprimorado da VPC do Amazon Redshift é que todo o tráfego de COPY e UNLOAD é registrado nos logs de fluxo da VPC. O tráfego originado do Redshift Spectrum para o Amazon S3 não passa pelo seu VPC, portanto, não é registrado nos logs de fluxo do VPC. Quando o Redshift Spectrum acessa dados no Amazon S3, ele executa essas operações no contexto da conta da AWS e dos respectivos privilégios de função. Você pode registrar e auditar o acesso ao Amazon S3 usando o registro em log de acesso ao servidor no AWS CloudTrail e Amazon S3. 

Certifique-se de que os intervalos de IP do S3 sejam adicionados à sua lista de permissões. Para saber mais sobre os intervalos de IP do S3 necessários, consulte [Isolamento de rede](https://docs.aws.amazon.com//redshift/latest/mgmt/security-network-isolation.html#network-isolation).

**AWS CloudTrail Logs do** 

Para rastrear todo o acesso a objetos no Amazon S3, incluindo o acesso ao Redshift Spectrum, habilite o registro em log do CloudTrail para objetos do Amazon S3. 

Você pode usar o CloudTrail para visualizar, pesquisar, baixar, arquivar, analisar e responder à atividade da conta em sua infraestrutura da AWS. Para obter mais informações, consulte [Conceitos básicos do CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-getting-started.html). 

Por padrão, o CloudTrail rastreia somente as ações do nível do bucket. Para rastrear as ações em nível de objeto (como `GetObject`), habilite eventos de dados e gerenciamento para cada bucket registrado em log. 

**Registro em log de acesso ao servidor do Amazon S** 

O registro em log de acesso ao servidor fornece detalhes sobre as solicitações que são feitas a um bucket. As informações de log de acesso podem ser úteis em auditorias de segurança e acesso. Para obter mais informações, consulte [Como habilitar o registro de acesso ao servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html#server-access-logging-overview) no *Guia do usuário do Amazon Simple Storage Service*.

Para obter mais informações, consulte a postagem do blog sobre segurança da AWS [Como usar políticas de bucket e aplicar defesa adequadamente para ajudar a proteger seus dados do Amazon S3](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/). 

### Acesso ao AWS Glue ou Amazon Athena
<a name="spectrum-enhanced-vpc-considerations-glue-access"></a>

O Redshift Spectrum acessa seu catálogo de dados no AWS Glue ou no Athena. Outra opção é usar um metastore do Hive dedicado para seu catálogo de dados. 

Para habilitar o acesso ao AWS Glue ou ao Athena, configure seu VPC com um gateway da Internet ou gateway NAT. Configure seus grupos de segurança da VPC para permitir tráfego de saída para os endpoints públicos para o AWS Glue e o Athena. Como alternativa, você pode configurar um endpoint de interface da VPC para AWS Glue para acessar AWS Glue Data Catalog. Quando você usa um endpoint de interface da VPC, a comunicação entre sua VPC e o AWS Glue é realizada na rede da AWS. Para obter mais informações, consulte [Criação de um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).

Você pode configurar os seguintes percursos na VPC: 
+ **Gateway da Internet** – Para se conectar a serviços da AWS fora da VPC, você pode anexar um [gateway da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) à sua sub-rede da VPC, conforme descrito no *Manual do usuário do Amazon VPC*. Para usar um gateway da internet, um cluster provisionado deve ter um endereço IP público a fim de permitir que outros serviços se comuniquem com ele. 
+ **Gateway NAT** – Para se conectar a um bucket do Amazon S3 em outra região da AWS ou a outro serviço dentro da rede da AWS, configure um [gateway de conversão de endereços de rede (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) conforme descrito no *Manual do usuário do Amazon VPC*. Use essa configuração também para acessar uma instância de host fora da rede da AWS.

Para obter mais informações, consulte [Controlar o tráfego de rede com o roteamento de VPC avançado do Redshift](enhanced-vpc-routing.md).