Amazon Redshiftのアクセス制御について考察(1)

cloudpackエバンジェリストの吉田真吾（@yoshidashingo）です。

Redshiftのアクセス制御について触りながら分かったことを記載しておきます。
今後も気づくことがあるかもしれないので今回は(1)とします。

S3 Bucket Policy でIP制限している場合、どのIPアドレスを許可すればよいか

こんな感じのS3 Bucket Policyを設定しているとき、RedshiftからCOPY文で接続するためのIPアドレスとして何を指定すればよいか。

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::bucket-name/*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": "0.0.0.0/0"
        },
        "NotIpAddress": {
          "aws:SourceIp": [
            "ip-ec2-upload-to-s3/32",
            "ip-redshift-copy-from-s3/32"
          ]
        }
      }
    }
  ]
}

Compute Node の Public IP

Redshift Management ConsoleのClusterページにあるConfigurationタブの右下に、以下のようなNode IP Addressesの記載があります。

この例はPublicly Accessible = Noで、dw2.largeが2ノード起動しています。この状態で分かったことは以下です。

Leader Nodeは`Publicly Accessible = No`なので、インターネット経由でLeader Nodeへの接続はできないが、COPY時のS3への接続性においては関係がない。
S3のBucket PolicyにはCompute NodeのPublic IPを許可すればOK。

参考文献

ということで以下のドキュメントは参照しましたが詳細は載ってなかったので、ここは動かしながら理解が必要ということみたいですね。

元記事は、こちらです。

Amazon Redshiftのアクセス制御について考察(1)

S3 Bucket Policy でIP制限している場合、どのIPアドレスを許可すればよいか

Compute Node の Public IP

参考文献

IT健保「鮨一新」食レポ

【次世代MSP】SLI / SLO を定義してみた～ New Relic でサービスの見える化に挑戦！

AWSの生成AI活用事例集GenUを使い倒す

Oracle のロックされているテーブルのセッションを知りたい [cloudpack OSAKA blog]

Amazon Managed Grafanaへのログイン手段を考える〜IAM Identity Center以外のSAML認証の選択肢〜

Amazon Redshiftのアクセス制御について考察(1)

S3 Bucket Policy でIP制限している場合、どのIPアドレスを許可すればよいか

Compute Node の Public IP

参考文献

関連記事Related Articles

新着イベント情報を追加いたしました

AWS+へのお問い合わせをよくある質問に追加しました

サービスプラン「専用CLARGEプラン」の提供を開始しました

AWS+の理念を公開しました

AWS Management ConsoleでReduced Redundancy Storage(S3)がサポート