「拡張VPCルーティング(Enhanced VPC Routing)」は、Amazon Redshift に特有の機能で、Redshiftクラスターからの通信(特にCOPY/UNLOADなどのS3通信)をVPC内ルートに制御する機能です。
✅ 拡張VPCルーティングとは?
通常、RedshiftがS3や他のAWSサービスと通信する際、一部のトラフィックはパブリックインターネットを通ることがあります。
拡張VPCルーティングを有効にすると、これらのトラフィックもVPC内(プライベートネットワーク)経由で流れるように強制されます。
📌 主な目的とメリット
| 項目 | 内容 |
|---|---|
| 🔐 セキュリティ強化 | 通信を NAT Gateway/VPCエンドポイント経由 に限定可能。インターネット非経由でS3などに接続できる |
| 📊 トラフィック制御 | VPCのルートテーブル、セキュリティグループ、NACL のポリシーが適用される |
| 📈 ロギング | VPC Flow Logs でRedshiftのS3アクセスログを取れるようになる |
| ☁️ PrivateLinkやVPC Endpointと併用 | S3やDynamoDBのVPCエンドポイントと組み合わせて、完全な非公開構成が可能に |
🔧 有効にするタイミングと方法
- Redshiftクラスター作成時に
--enhanced-vpc-routingオプションをONにする - 既存クラスターでも変更可能(ただし一時的に停止が発生する)
例(CLI):
aws redshift modify-cluster \
--cluster-identifier my-cluster \
--enhanced-vpc-routing
⚠️ 注意点
| 項目 | 内容 |
|---|---|
| ❌ NAT Gateway または VPCエンドポイントが必要 | Privateサブネットではインターネットに出られないので注意 |
| ❌ 必ずS3アクセスが成功するとは限らない | 正しいルート設定とIAMロールが必要 |
| ❗ UNLOAD/COPYが失敗しやすくなることも | 特にVPC Endpoint設定ミス時にエラーになりやすい |
✅ まとめ
| 特徴 | 内容 |
|---|---|
| サービス | Amazon Redshift |
| 機能名 | 拡張VPCルーティング(Enhanced VPC Routing) |
| 目的 | RedshiftのS3通信などをVPC内経由に限定 |
| メリット | セキュリティ強化・通信制御の向上・監査性アップ |
| 要件 | 適切なルート・NAT Gateway・VPCエンドポイント・IAM設定 |