Amazon Redshift imbunatateste rutarea VPC ruteaza traficul specific prin VPC-ul dvs. Tot traficul dintre cluster si galetile dvs. Amazon S3 este obligat sa treaca prin Amazon VPC. Redshift Spectrum ruleaza pe resurse gestionate de AWS care sunt detinute de Amazon Redshift. Deoarece aceste resurse sunt in afara VPC-ului dvs., Redshift Spectrum nu utilizeaza rutare VPC imbunatatita.

Cand clusterul dvs. este configurat pentru a utiliza o rutare VPC imbunatatita, traficul intre Redshift Spectrum si Amazon S3 este directionat in siguranta prin reteaua privata AWS, in afara VPC-ului dvs. Traficul in zbor este semnat utilizand protocolul Amazon Signature Versiunea 4 (SIGv4) si criptat utilizand HTTPS. Acest trafic este autorizat pe baza rolului IAM atasat clusterului dvs. Amazon Redshift. Pentru a gestiona in continuare traficul Redshift Spectrum, puteti modifica rolul IAM al clusterului si politica dvs. atasata bucket-ului Amazon S3. De asemenea, este posibil sa fie necesar sa va configurati VPC-ul pentru a permite clusterului dvs. sa acceseze AWS Glue sau Athena, dupa cum este detaliat in cele ce urmeaza.

Consideratii pentru utilizarea rutarii VPC imbunatatite pentru Redshift Spectrum

Urmatoarele sunt consideratii atunci cand se utilizeaza rutare VPC imbunatatita Redshift Spectrum:

Politici de acces la cupe

Puteti controla accesul la date in pachetele dvs. Amazon S3 utilizand o politica de pachet atasata pachetului si utilizand un rol IAM atasat la cluster.

Redshift Spectrum nu poate accesa datele stocate in pachetele Amazon S3 care utilizeaza o politica de pachet care restrictioneaza accesul doar la punctele finale VPC specificate. In schimb, utilizati o politica de bucket care restrictioneaza accesul doar la anumite directori, cum ar fi un anumit cont AWS sau utilizatori specifici.

Pentru rolul IAM caruia i se acorda acces la bucket, utilizati o relatie de incredere care permite rolul sa fie asumat doar de directorul serviciului Amazon Redshift. Cand este atasat la clusterul dvs., rolul poate fi utilizat numai in contextul Amazon Redshift si nu poate fi partajat in afara clusterului. Pentru mai multe informatii, consultati Restrictionarea accesului la rolurile IAM.

Pentru a utiliza Redshift Spectrum, nu pot exista politici IAM care sa blocheze utilizarea adreselor URL presemnate.

Urmatorul exemplu de politica de bucket permite accesul la bucket-ul specificat numai din traficul provenit de Redshift Spectrum detinut de contul AWS 123456789012.

{“Version”: “2012-10-17”, “Statement”: [{“Sid”: ”BucketPolicyForSpectrum”, “Effect”: “Allow”, “Principal”: {“AWS”: [“arn: aws: iam :: 123456789012: root “]},” Action “: [“ s3: GetObject “,” s3: List * “],” Resource “: [” arn: aws: s3 ::: examplebucket / * “],” Stare “: {” StringEquals “: {” aws: UserAgent “:” AWS Redshift / Spectrum “]}}}]}

Rol Cluster IAM

Rolul atasat clusterului dvs.

pelis porno francesas sexo con cincuentonas
porno jovencitas españolas porno xxxxx
megacorridas follando abuelas
tangas xxx porno incesto italiano
porno suizo incesto italiano porno
follando a mi compañera de piso follada a traicion
porno flash chochitos jovenes
porno casero en españa españolas amater
orgias amateur realincest
videos culos follando en silencio
enanas porno maduras gordas desnudas
pajas de madres videos de sexo en español
porno con abuelas pollas peludas
sexo gratis hijo viola a su madre porno
parejas liberales españolas comic porno en español
pono gay venezolanas maduras
abuelas sexi videos gays argentinos
porno sin censura maduras sensuales
incesto lesbianas me gusta follar
putas vic buenas pajas

ar trebui sa aiba o relatie de incredere care sa permita asumarea acestuia numai de serviciul Amazon Redshift, dupa cum se arata mai jos.

{“Version”: “2012-10-17”, “Statement”: [{“Effect”: “Allow”, “Principal”: {“Service”: “redshift.amazonaws.com”}, “Action”: ” sts: AssumeRole “}]}

Puteti adauga o politica la rolul de cluster care impiedica COPIA si UNLOAD accesul la o bucket specifica. Urmatoarea politica permite traficul catre bucket-ul specificat numai de la Redshift Spectrum.

{“Version”: “2012-10-17”, “Statement”: [{“Effect”: “Allow”, “Action”: [“s3: Get *”, “s3: List *”], “Resource” : “arn: aws: s3 ::: myBucket / *”, “Condition”: {“StringEquals”: {“aws: UserAgent”: “AWS Redshift / Spectrum”}}}]}

Pentru mai multe informatii, consultati Politicile IAM pentru Amazon Redshift Spectrum din Ghidul dezvoltatorului Amazon Redshift Database .

Inregistrarea si auditul accesului Amazon S3

Un avantaj al utilizarii rutei VPC imbunatatite Amazon Redshift este ca tot traficul COPY si UNLOAD este inregistrat in jurnalele de flux VPC. Traficul care provine de la Redshift Spectrum la Amazon S3 nu trece prin VPC-ul dvs., deci nu este inregistrat in jurnalele de flux VPC. Cand Redshift Spectrum acceseaza date in Amazon S3, acesta efectueaza aceste operatiuni in contextul contului AWS si al privilegiilor de rol respective. Puteti conecta si audita accesul Amazon S3 utilizand inregistrarea accesului la server in AWS CloudTrail si Amazon S3.

Jurnalele AWS CloudTrail

Pentru a urmari tot accesul la obiecte din Amazon S3, inclusiv accesul Redshift Spectrum, activati inregistrarea CloudTrail pentru obiectele Amazon S3.

Puteti utiliza CloudTrail pentru a vizualiza, cauta, descarca, arhiva, analiza si raspunde la activitatea contului in infrastructura dvs. AWS. Pentru mai multe informatii, consultati Introducere in CloudTrail.

In mod implicit, CloudTrail urmareste doar actiunile la nivel de cupa. Pentru a urmari actiunile la nivel de obiect (cum ar fi GetObject), activati date si evenimente de gestionare pentru fiecare bucket inregistrat.

Inregistrarea accesului la serverul Amazon S3

Jurnalul de acces la server ofera inregistrari detaliate pentru solicitarile care sunt facute catre o bucket. Informatiile din jurnalul de acces pot fi utile in auditurile de securitate si acces. Pentru mai multe informatii, consultati Cum se activeaza inregistrarea accesului la server in Ghidul dezvoltatorului Amazon Simple Storage Service.

Pentru mai multe informatii, consultati articolul de pe blogul AWS Security Cum se utilizeaza politicile Bucket si se aplica apararea in profunzime pentru a va ajuta sa va protejati datele Amazon S3.

Acces la AWS Glue sau Amazon Athena

Redshift Spectrum va acceseaza catalogul de date in AWS Glue sau Athena. O alta optiune este de a utiliza un metastore dedicat Hive pentru catalogul dvs. de date.

Pentru a permite accesul la AWS Glue sau Athena, configurati-va VPC cu un gateway de internet sau un gateway NAT. Configurati grupurile de securitate VPC pentru a permite traficul de iesire catre punctele finale publice pentru AWS Glue si Athena. Alternativ, puteti configura un punct final VPC de interfata pentru AWS Glue pentru a accesa catalogul dvs. de date AWS Glue. Cand utilizati un punct final al interfetei VPC, comunicarea dintre VPC si AWS Glue se realizeaza in reteaua AWS. Pentru mai multe informatii, consultati Crearea unui punct final de interfata.

Puteti configura urmatoarele cai in VPC:

  • Gateway Internet – Pentru a va conecta la servicii AWS in afara VPC-ului dvs., puteti atasa un gateway internet la subreteaua VPC, asa cum este descris in Ghidul utilizatorului Amazon VPC. Pentru a utiliza un gateway de internet, clusterul dvs. trebuie sa aiba o adresa IP publica pentru a permite altor servicii sa comunice cu clusterul dvs.

  • Gateway NAT – Pentru a va conecta la o bucket Amazon S3 intr-o alta regiune AWS sau la un alt serviciu din reteaua AWS, configurati un gateway de traducere a adresei de retea (NAT), asa cum este descris in Ghidul utilizatorului Amazon VPC. Utilizati aceasta configuratie si pentru a accesa o instanta de gazda din afara retelei AWS.

Pentru mai multe informatii, consultati Rutare VPC imbunatatita in Amazon Redshift.

ARTICOLE SIMILAREDE LA ACELAȘI AUTOR