

 Amazon Redshift 將不再支援從修補程式 198 開始建立新的 Python UDFs。現有 Python UDF 將繼續正常運作至 2026 年 6 月 30 日。如需詳細資訊，請參閱[部落格文章](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設 Amazon Redshift 叢集或 Amazon Redshift Serverless 工作群組的安全群組通訊設定
<a name="rs-security-group-public-private"></a>

本主題可協助您設定安全群組，以適當地路由和接收網路流量。幾個常見的使用案例如下：
+ 您開啟 Amazon Redshift 叢集或 Amazon Redshift Serverless 工作群組的公開存取性，但其未接收流量。為此，您必須設定傳入規則，以允許流量從網際網路抵達該項目。
+ 您的叢集或工作群組無法公開存取，而且您使用 Redshift 預先設定的預設 VPC 安全群組來允許傳入流量。但是您必須使用預設安全群組以外的安全群組，而且這個自訂安全群組不允許傳入流量。您必須將其設定為允許通訊。

 下列各節可協助您為每個使用案例選擇正確的回應，並向您說明如何根據您的要求來設定網路流量。您可以選擇性地使用這些步驟來設定來自其他私有安全群組的通訊。


**注意**  
大多數情況下，系統不會在 Amazon Redshift 中自動設定網路流量設定。這是因為這些設定在精細層級上可能會有所不同 (具體取決於流量來源是網際網路還是私有安全群組)，以及因為安全要求有所不同。

## 具有預設或自訂安全群組組態的公開存取性
<a name="rs-security-group-public-default"></a>

如果您要建立叢集或工作群組，或您已經有叢集或工作群組，請執行下列組態步驟，以將其設為可公開存取。當您選擇預設安全群組或自訂安全群組時，都請這麼做：

1. 尋找網路設定：
   + 對於 Amazon Redshift 佈建叢集，請選擇**屬性**索引標籤，然後在**網路和安全設定**下選取叢集的 VPC。
   + 對於 Amazon Redshift Serverless 工作群組，請選擇**工作群組組態**。從清單中選擇工作群組。然後，在**資料存取**下的**網路和安全**面板中，選擇**編輯**。

1. 設定 VPC 的網際網路閘道和路由表。您可以透過依名稱選擇 VPC 來啟動組態。其會開啟 VPC 儀表板。若要從網際網路連線到可公開存取的叢集或工作群組，就必須將網際網路閘道附加至路由表。您可以透過在 VPC 儀表板中選擇**路由表**來進行此設定。確認已為網際網路閘道的目標設定來源 0.0.0.0/0 或公開 IP CIDR。路由表必須與叢集所在的 VPC 相關聯。如需為 VPC 設定網際網路存取的相關資訊 (如此處所述)，請參閱 Amazon VPC 文件中的[啟用網際網路存取](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#vpc-igw-internet-access)。如需設定路由表的相關資訊，請參閱[設定路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)。

1. 在設定網際網路閘道和路由表之後，請返回 Redshift 的網路設定。透過先選擇安全群組，再選擇**傳入規則**來開啟傳入存取。選擇 **Edit inbound Rules** (編輯傳入規則)。

1. 根據您的要求，為一或多個傳入規則選擇**通訊協定**和**連接埠**，以允許來自用戶端的流量。對於 RG 或 RA3 叢集，選取範圍 5431-5455 或 8191-8215 內的連接埠。完成時，請儲存每個規則。

1. 編輯**可公開存取**設定來加以啟用。您可以從叢集或工作群組的**動作**功能表執行此操作。

當您開啟可公開存取設定時，Redshift 會建立彈性 IP 地址。這是與您 AWS 帳戶相關聯的靜態 IP 地址。在 VPC 外的用戶端可以使用此地址進行連線。

如需設定安全群組的相關資訊，請參閱 [Amazon Redshift 安全群組](security-network-isolation.md#working-with-security-groups)。

您可以透過與用戶端連線來測試規則，如果您要連線到 Amazon Redshift Serverless，請執行以下操作。完成網路組態後，請與您的用戶端工具連線，例如 [Amazon Redshift RSQL](https://docs.aws.amazon.com/redshift/latest/mgmt/rsql-query-tool.html)。使用您的 Amazon Redshift Serverless 網域作為主機，輸入以下內容：


```
rsql -h {{workgroup-name}}.{{account-id}}.{{region}}.amazonaws.com -U {{admin}} -d dev -p 5439
```

## 具有預設或自訂安全群組組態的私有存取性
<a name="rs-security-group-private"></a>

 如果在與叢集或工作群組通訊時未透過網際網路，這種方式便稱為可*私有*存取。如果您在建立安全群組時選擇了預設安全群組，安全群組中便會包含下列預設通訊規則：
+ 一個傳入規則，允許指派給安全群組的所有資源所傳來的流量。
+ 一個傳出規則，允許所有傳出流量。此規則的目的地是 0.0.0.0/0。在無類別域間路由 (CIDR) 標記法中，其代表所有可能的 IP 地址。

您可以透過選取叢集或工作群組的安全群組，在主控台中檢視規則。

如果您的叢集或工作群組和用戶端都使用預設安全群組，則不需要設定任何額外的組態來允許網路流量。但是，如果您刪除或變更 Redshift 或用戶端的預設安全群組中的任何規則，此做法就不再適用。在此情況下，您必須設定規則以允許傳入和傳出通訊。常見的安全群組組態如下：
+ 針對用戶端 Amazon EC2 執行個體：
  + 傳入規則，允許用戶端的 IP 地址。
  + 傳出規則，允許針對 Redshift 用途所提供之所有子網路的 IP 地址範圍 (CIDR 區塊)。或者，您也可以指定 0.0.0.0/0，這是所有 IP 地址範圍。
+ 針對您的 Redshift 叢集或工作群組：
  + 傳入規則，允許用戶端安全群組。
  + 傳出規則，允許流向 0.0.0.0/0 的流量。一般來說，傳出規則會允許所有傳出流量。您可以選擇性地新增傳出規則，允許流量流向用戶端安全群組。在這個選擇性案例中，不一定要有傳出規則，因為每個請求的回應流量都可以抵達執行個體。如需有關請求和回應行為的詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html)。

如果您變更針對 Redshift 用途指定的任何子網路或安全群組的組態，則可能需要相應地變更流量規則，以確保通訊能持續開啟。如需建立傳入和傳出規則的相關資訊，請參閱《Amazon VPC 使用者指南》**中的 [VPC CIDR 區塊](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html)。如需從用戶端連線至 Amazon Redshift 的相關資訊，請參閱[在 Amazon Redshift 中設定連線](https://docs.aws.amazon.com/redshift/latest/mgmt/configuring-connections.html)。