

 Amazon Redshift tidak akan lagi mendukung pembuatan Python UDFs baru mulai Patch 198. Python yang ada UDFs akan terus berfungsi hingga 30 Juni 2026. Untuk informasi lebih lanjut, lihat [posting blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengontrol lalu lintas jaringan dengan perutean VPC Redshift yang ditingkatkan
<a name="enhanced-vpc-routing"></a>

Saat Anda menggunakan perutean VPC Amazon Redshift yang disempurnakan, Amazon Redshift memaksa [semua](https://docs.aws.amazon.com/redshift/latest/dg/r_COPY.html) lalu lintas COPY [dan](https://docs.aws.amazon.com/redshift/latest/dg/r_UNLOAD.html) UNLOAD antara cluster dan repositori data Anda melalui virtual private cloud (VPC) berdasarkan layanan Amazon VPC. *Dengan menggunakan perutean VPC yang disempurnakan, Anda dapat menggunakan fitur VPC standar, seperti [grup keamanan VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html), [daftar kontrol akses jaringan (), titik akhir VPC, kebijakan titik akhir ACLs VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html)[, [gateway internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html),](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) [dan server Sistem Nama Domain](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) [(](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html)DNS), seperti yang dijelaskan dalam Panduan Pengguna Amazon VPC.* Anda menggunakan fitur ini untuk mengontrol aliran data antara cluster Amazon Redshift dan sumber daya lainnya. Saat Anda menggunakan perutean VPC yang disempurnakan untuk merutekan lalu lintas melalui VPC Anda, Anda juga dapat menggunakan [log aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) untuk memantau lalu lintas COPY dan UNLOAD.

 Cluster Amazon Redshift dan workgroup Amazon Redshift Serverless keduanya mendukung peningkatan perutean VPC. Anda tidak dapat menggunakan perutean VPC yang disempurnakan dengan Redshift Spectrum. Untuk informasi selengkapnya, lihat [Mengakses bucket Amazon S3 dengan Redshift Spectrum](spectrum-enhanced-vpc.md).

Jika perutean VPC yang disempurnakan tidak diaktifkan, Amazon Redshift merutekan lalu lintas melalui internet, termasuk lalu lintas ke layanan lain di dalam jaringan. AWS 

**penting**  
Karena perutean VPC yang disempurnakan memengaruhi cara Amazon Redshift mengakses sumber daya lain, perintah COPY dan UNLOAD mungkin gagal kecuali Anda mengonfigurasi VPC dengan benar. Anda harus secara khusus membuat jalur jaringan antara VPC klaster Anda dan sumber daya data Anda, seperti yang dijelaskan berikut.

Saat Anda menjalankan perintah COPY atau UNLOAD di klaster dengan perutean VPC yang ditingkatkan diaktifkan, VPC Anda merutekan lalu lintas ke sumber daya yang ditentukan menggunakan jalur jaringan paling ketat, atau paling spesifik, *yang* tersedia. 

Misalnya, Anda dapat mengonfigurasi jalur berikut di VPC Anda:
+ **Titik akhir VPC** — Untuk lalu lintas ke bucket Amazon S3 di AWS Wilayah yang sama dengan klaster atau grup kerja, Anda dapat membuat titik akhir VPC untuk mengarahkan lalu lintas langsung ke bucket. Saat menggunakan titik akhir VPC, Anda dapat melampirkan kebijakan titik akhir untuk mengelola akses ke Amazon S3. Untuk informasi selengkapnya tentang penggunaan titik akhir dengan Redshift, lihat. [Mengontrol lalu lintas database dengan titik akhir VPC](enhanced-vpc-working-with-endpoints.md) Jika Anda menggunakan Lake Formation, Anda dapat menemukan informasi lebih lanjut tentang membuat koneksi pribadi antara VPC dan AWS Lake Formation di [AWS Lake Formation dan antarmuka VPC endpoint](https://docs.aws.amazon.com/lake-formation/latest/dg/privatelink.html) ().AWS PrivateLink
**catatan**  
Saat Anda menggunakan titik akhir VPC Redshift dengan titik akhir Amazon S3 VPC Gateway, Anda harus mengaktifkan perutean VPC yang disempurnakan di Redshift. Untuk informasi selengkapnya, lihat [Titik akhir gateway untuk Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html).
+ **Gateway NAT** - Anda dapat terhubung ke bucket Amazon S3 di Wilayah AWS lain, dan Anda dapat terhubung ke layanan lain dalam AWS jaringan. Anda juga dapat mengakses instance host di luar AWS jaringan. Untuk melakukannya, konfigurasikan [gateway terjemahan alamat jaringan (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), seperti yang dijelaskan dalam Panduan Pengguna *Amazon VPC*.
+ **Internet gateway** *— Untuk terhubung ke AWS layanan di luar VPC Anda, Anda dapat melampirkan [gateway internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) ke subnet VPC Anda, seperti yang dijelaskan dalam Panduan Pengguna Amazon VPC.* Untuk menggunakan gateway internet, cluster atau workgroup Anda harus dapat diakses publik untuk memungkinkan layanan lain mengkomunikasikannya.

Untuk informasi selengkapnya, lihat [Titik Akhir VPC di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) Pengguna Amazon VPC.

Tidak ada biaya tambahan untuk menggunakan perutean VPC yang disempurnakan. Anda mungkin dikenakan biaya transfer data tambahan untuk operasi tertentu. Ini termasuk operasi seperti UNLOAD ke Amazon S3 di Wilayah yang AWS berbeda. SALIN dari Amazon EMR, atau Secure Shell (SSH) dengan alamat IP publik. Untuk informasi selengkapnya tentang harga, lihat Harga [Amazon EC2](https://aws.amazon.com/ec2/pricing/).

**Topics**
+ [Mengontrol lalu lintas database dengan titik akhir VPC](enhanced-vpc-working-with-endpoints.md)
+ [Mengaktifkan perutean VPC yang disempurnakan](enhanced-vpc-enabling-cluster.md)
+ [Mengakses bucket Amazon S3 dengan Redshift Spectrum](spectrum-enhanced-vpc.md)

# Mengontrol lalu lintas database dengan titik akhir VPC
<a name="enhanced-vpc-working-with-endpoints"></a>

Anda dapat menggunakan titik akhir VPC untuk membuat koneksi terkelola antara cluster Amazon Redshift atau workgroup Tanpa Server di VPC dan Amazon Simple Storage Service (Amazon S3). Ketika Anda melakukannya, COPY dan BONGKAR lalu lintas antara database Anda dan data Anda di Amazon S3 tetap berada di Amazon VPC Anda. Anda dapat melampirkan kebijakan titik akhir ke titik akhir Anda untuk mengelola akses ke data Anda dengan lebih dekat. Misalnya, Anda dapat menambahkan kebijakan ke titik akhir VPC yang mengizinkan pembongkaran data hanya ke bucket Amazon S3 tertentu di akun Anda.

Untuk menggunakan titik akhir VPC, buat titik akhir VPC untuk VPC tempat gudang data Anda berada, lalu aktifkan perutean VPC yang disempurnakan. Anda dapat mengaktifkan perutean VPC yang disempurnakan saat membuat klaster atau grup kerja, atau Anda dapat memodifikasi klaster atau grup kerja di VPC untuk menggunakan perutean VPC yang disempurnakan.

Titik akhir VPC menggunakan tabel rute untuk mengontrol perutean lalu lintas antara cluster atau workgroup di VPC dan Amazon S3. Semua cluster dan workgroup dalam subnet yang terkait dengan tabel rute yang ditentukan secara otomatis menggunakan endpoint tersebut untuk mengakses layanan.

VPC Anda menggunakan rute paling spesifik, atau paling ketat, yang cocok dengan lalu lintas Anda untuk menentukan cara merutekan lalu lintas. Misalnya, Anda memiliki rute di tabel rute Anda untuk semua lalu lintas internet (0.0.0.0/0) yang menunjuk ke gateway internet dan titik akhir Amazon S3. Dalam hal ini, rute titik akhir diutamakan untuk semua lalu lintas yang ditujukan untuk Amazon S3. Ini karena rentang alamat IP untuk layanan Amazon S3 lebih spesifik daripada 0.0.0.0/0. Dalam contoh ini, semua lalu lintas internet lainnya masuk ke gateway internet Anda, termasuk lalu lintas yang ditujukan untuk ember Amazon S3 di tempat lain. Wilayah AWS

Untuk informasi selengkapnya tentang membuat titik akhir, lihat [Membuat titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan Pengguna *Amazon VPC*.

Anda menggunakan kebijakan titik akhir untuk mengontrol akses dari klaster atau grup kerja ke bucket Amazon S3 yang menyimpan file data Anda. Untuk kontrol yang lebih spesifik, Anda dapat melampirkan kebijakan endpoint kustom secara opsional. Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di *Panduan AWS PrivateLink *. 

**catatan**  
 AWS Database Migration Service (AWS DMS) adalah layanan cloud yang memungkinkan untuk memigrasikan database relasional, gudang data, dan jenis penyimpanan data lainnya. Ini dapat terhubung ke AWS sumber atau basis data target apa pun, termasuk database Amazon Redshift yang diaktifkan VPC, dengan beberapa batasan konfigurasi. Mendukung titik akhir Amazon VPC memudahkan untuk menjaga keamanan end-to-end jaringan AWS DMS untuk tugas replikasi. *Untuk informasi selengkapnya tentang penggunaan Redshift with AWS DMS, lihat [Mengonfigurasi titik akhir VPC AWS DMS sebagai sumber dan titik akhir target](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_VPC_Endpoints.html) di Panduan Pengguna.AWS Database Migration Service * 

Tidak ada biaya tambahan untuk menggunakan titik akhir. Biaya standar untuk transfer data dan penggunaan sumber daya berlaku. Untuk informasi selengkapnya tentang harga, lihat Harga [Amazon EC2](https://aws.amazon.com/redshift/pricing/#Data_Transfer).

# Mengaktifkan perutean VPC yang disempurnakan
<a name="enhanced-vpc-enabling-cluster"></a>

Anda dapat mengaktifkan perutean VPC yang disempurnakan saat membuat atau memodifikasi klaster, dan saat Anda membuat atau memodifikasi grup kerja Amazon Redshift Tanpa Server.

Untuk bekerja dengan perutean VPC yang disempurnakan, klaster atau grup kerja Tanpa Server Anda harus memenuhi persyaratan dan kendala berikut:
+ Cluster Anda harus dalam VPC. 

  Jika Anda melampirkan titik akhir VPC Amazon S3, titik akhir VPC hanya digunakan untuk akses ke bucket Amazon S3 di Wilayah yang sama. AWS [Untuk mengakses bucket di AWS Wilayah lain (tidak menggunakan titik akhir VPC) atau untuk mengakses layanan AWS lain, buat klaster atau grup kerja Tanpa Server Anda dapat diakses publik atau gunakan gateway terjemahan alamat jaringan (NAT).](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) Untuk informasi selengkapnya, lihat [Membuat klaster yang disediakan Redshift atau workgroup Amazon Redshift Serverless di VPC](getting-started-cluster-in-vpc.md).
+ Anda harus mengaktifkan resolusi Domain Name Service (DNS) di VPC Anda. Atau, jika Anda menggunakan server DNS Anda sendiri, pastikan bahwa permintaan DNS ke Amazon S3 diselesaikan dengan benar ke alamat IP yang dikelola oleh. AWS Untuk informasi lebih lanjut, lihat [Menggunakan DNS dengan VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) di *Panduan Pengguna Amazon VPC*.
+ Nama host DNS harus diaktifkan di VPC Anda. Nama host DNS diaktifkan secara default.
+ Kebijakan titik akhir VPC Anda harus mengizinkan akses ke bucket Amazon S3 apa pun yang digunakan dengan panggilan COPY, UNLOAD, atau CREATE LIBRARY di Amazon Redshift, termasuk akses ke file manifes apa pun yang terlibat. Untuk COPY dari host jarak jauh, kebijakan endpoint Anda harus mengizinkan akses ke setiap mesin host. Untuk informasi selengkapnya, lihat [Izin IAM untuk COPY, UNLOAD, dan CREATE LIBRARY di Panduan Pengembang](https://docs.aws.amazon.com/redshift/latest/dg/copy-usage_notes-access-permissions.html#copy-usage_notes-iam-permissions) Database *Amazon Redshift*.

**Untuk mengaktifkan perutean VPC yang disempurnakan untuk klaster yang disediakan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)

1. Pada menu navigasi, pilih **Dasbor cluster yang disediakan**, lalu pilih **Buat klaster** dan masukkan properti detail **Cluster**. 

1. Untuk menampilkan bagian **Konfigurasi tambahan**, pilih untuk **menonaktifkan Gunakan default**. 

1. Arahkan ke bagian **Jaringan dan keamanan**.

1. Untuk mengaktifkan **perutean VPC yang Ditingkatkan**, pilih **Aktifkan** untuk memaksa lalu lintas cluster melalui VPC. 

1. Pilih **Buat cluster** untuk membuat cluster. Cluster mungkin membutuhkan waktu beberapa menit untuk siap digunakan.

**Untuk mengaktifkan perutean VPC yang disempurnakan untuk Amazon Redshift Tanpa Server**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)

1. Pada menu navigasi, pilih **Dasbor tanpa server**, lalu pilih **Buat grup kerja dan masukkan properti untuk grup kerja** Anda. 

1. Arahkan ke bagian **Jaringan dan keamanan**.

1. Pilih **Aktifkan perutean VPC yang disempurnakan untuk merutekan** lalu lintas jaringan melalui VPC. 

1. Pilih **Berikutnya** dan selesai memasukkan properti workgroup Anda sampai Anda **membuat** workgroup.

# Mengakses bucket Amazon S3 dengan Redshift Spectrum
<a name="spectrum-enhanced-vpc"></a>

Secara umum, Amazon Redshift Spectrum tidak mendukung perutean VPC yang disempurnakan dengan kluster yang disediakan, meskipun kluster yang disediakan dapat menanyakan tabel eksternal dari Amazon S3 saat perutean VPC yang disempurnakan diaktifkan.

Perutean VPC Amazon Redshift yang disempurnakan mengirimkan lalu lintas tertentu melalui VPC Anda, yang berarti bahwa semua lalu lintas antara cluster Anda dan bucket Amazon S3 Anda terpaksa melewati VPC Amazon Anda. Karena Redshift Spectrum berjalan pada sumber daya AWS terkelola yang dimiliki oleh Amazon Redshift tetapi berada di luar VPC Anda, Redshift Spectrum tidak menggunakan perutean VPC yang disempurnakan. 

Lalu lintas antara Redshift Spectrum dan Amazon S3 dirutekan dengan aman melalui jaringan pribadi, AWS di luar VPC Anda. Lalu lintas dalam penerbangan ditandatangani menggunakan protokol Amazon Signature Version 4 (SIGv4) dan dienkripsi menggunakan HTTPS. Lalu lintas ini diotorisasi berdasarkan peran IAM yang dilampirkan ke cluster Amazon Redshift Anda. Untuk mengelola lalu lintas Redshift Spectrum lebih lanjut, Anda dapat memodifikasi peran IAM klaster dan kebijakan yang dilampirkan ke bucket Amazon S3. Anda mungkin juga perlu mengonfigurasi VPC Anda untuk memungkinkan klaster Anda mengakses atau AWS Glue Athena, seperti yang dijelaskan berikut ini. 

 Perhatikan bahwa karena perutean VPC yang disempurnakan memengaruhi cara Amazon Redshift mengakses sumber daya lain, kueri mungkin gagal kecuali Anda mengonfigurasi VPC dengan benar. Untuk informasi selengkapnya, lihat[Mengontrol lalu lintas jaringan dengan perutean VPC Redshift yang ditingkatkan](enhanced-vpc-routing.md), yang membahas secara lebih rinci membuat titik akhir VPC, gateway NAT, dan sumber daya jaringan lainnya untuk mengarahkan lalu lintas ke bucket Amazon S3 Anda. 

**catatan**  
Amazon Redshift Serverless mendukung perutean VPC yang disempurnakan untuk kueri ke tabel eksternal di Amazon S3. Untuk informasi selengkapnya tentang konfigurasi, lihat [Memuat data dari Amazon S3 di Panduan](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html#serverless-load-data-from-s3) Memulai Tanpa Server Amazon Redshift.

## Konfigurasi kebijakan izin saat menggunakan Amazon Redshift Spectrum
<a name="spectrum-enhanced-vpc-considerations"></a>

Pertimbangkan hal berikut saat menggunakan Redshift Spectrum: 
+ [Kebijakan akses bucket Amazon S3 dan peran IAM](#spectrum-enhanced-vpc-considerations-policies)
+ [Izin untuk mengasumsikan peran IAM](#spectrum-enhanced-vpc-considerations-cluster-role)
+ [Pencatatan dan audit akses Amazon S3](#spectrum-enhanced-vpc-considerations-logging-s3)
+ [Akses ke AWS Glue atau Amazon Athena](#spectrum-enhanced-vpc-considerations-glue-access)

### Kebijakan akses bucket Amazon S3 dan peran IAM
<a name="spectrum-enhanced-vpc-considerations-policies"></a>

Anda dapat mengontrol akses ke data di bucket Amazon S3 dengan menggunakan kebijakan bucket yang dilampirkan ke bucket dan dengan menggunakan peran IAM yang dilampirkan ke klaster yang disediakan. 

Redshift Spectrum pada kluster yang disediakan tidak dapat mengakses data yang disimpan di bucket Amazon S3 yang menggunakan kebijakan bucket yang membatasi akses hanya ke titik akhir VPC yang ditentukan. Sebagai gantinya, gunakan kebijakan bucket yang membatasi akses hanya ke prinsipal tertentu, seperti AWS akun tertentu atau pengguna tertentu. 

Untuk peran IAM yang diberikan akses ke bucket, gunakan hubungan kepercayaan yang memungkinkan peran hanya diasumsikan oleh prinsipal layanan Amazon Redshift. Saat dilampirkan ke cluster Anda, peran hanya dapat digunakan dalam konteks Amazon Redshift dan tidak dapat dibagikan di luar cluster. Untuk informasi selengkapnya, lihat [Membatasi akses ke peran IAM](authorizing-redshift-service-database-users.md). *Kebijakan kontrol layanan (SCP) juga dapat digunakan untuk membatasi peran lebih lanjut, lihat [Mencegah pengguna IAM dan peran membuat perubahan tertentu, dengan pengecualian untuk peran admin tertentu dalam Panduan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-restricts-with-exception) Pengguna.AWS Organizations *

**catatan**  
Untuk menggunakan Redshift Spectrum, tidak ada kebijakan IAM yang memblokir penggunaan Amazon S3 URLs presigned yang dapat diterapkan. Presigned URLs yang dihasilkan oleh Amazon Redshift Spectrum berlaku selama 1 jam sehingga Amazon Redshift memiliki cukup waktu untuk memuat semua file dari bucket Amazon S3. URL presigned unik dibuat untuk setiap file yang dipindai oleh Redshift Spectrum. Untuk kebijakan bucket yang menyertakan `s3:signatureAge` tindakan, pastikan untuk menetapkan nilainya setidaknya 3.600.000 milidetik.

Contoh kebijakan bucket berikut mengizinkan akses ke bucket tertentu yang dimiliki oleh AWS akun`123456789012`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BucketPolicyForSpectrum",
            "Effect": "Allow",
            "Principal": {
                "AWS": ["arn:aws:iam::123456789012:role/redshift"]
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucketVersions",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

### Izin untuk mengasumsikan peran IAM
<a name="spectrum-enhanced-vpc-considerations-cluster-role"></a>

Peran yang dilampirkan ke klaster Anda harus memiliki hubungan kepercayaan yang memungkinkannya diasumsikan hanya oleh layanan Amazon Redshift, seperti yang ditunjukkan berikut.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Untuk informasi selengkapnya, lihat [Kebijakan IAM untuk Spektrum Pergeseran Merah](https://docs.aws.amazon.com/redshift/latest/dg/c-spectrum-iam-policies.html) di Panduan Pengembang Database *Amazon Redshift*.

### Pencatatan dan audit akses Amazon S3
<a name="spectrum-enhanced-vpc-considerations-logging-s3"></a>

Salah satu manfaat menggunakan perutean VPC Amazon Redshift yang disempurnakan adalah bahwa semua lalu lintas COPY dan UNLOAD dicatat di log aliran VPC. Lalu lintas yang berasal dari Redshift Spectrum ke Amazon S3 tidak melewati VPC Anda, jadi tidak masuk ke log aliran VPC. Saat Redshift Spectrum mengakses data di Amazon S3, ia melakukan operasi ini dalam konteks AWS akun dan hak istimewa peran masing-masing. Anda dapat mencatat dan mengaudit akses Amazon S3 menggunakan akses server masuk AWS CloudTrail dan Amazon S3. 

Pastikan rentang IP S3 ditambahkan ke daftar izin Anda. Untuk mempelajari lebih lanjut tentang rentang IP S3 yang diperlukan, lihat [Isolasi jaringan](https://docs.aws.amazon.com//redshift/latest/mgmt/security-network-isolation.html#network-isolation).

**AWS CloudTrail Log** 

Untuk melacak semua akses ke objek di Amazon S3, termasuk akses Redshift Spectrum, aktifkan pencatatan untuk objek CloudTrail Amazon S3. 

Anda dapat menggunakan CloudTrail untuk melihat, mencari, mengunduh, mengarsipkan, menganalisis, dan menanggapi aktivitas akun di seluruh AWS infrastruktur Anda. Untuk informasi selengkapnya, lihat [Memulai dengan CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-getting-started.html). 

Secara default, hanya CloudTrail melacak tindakan tingkat ember. Untuk melacak tindakan tingkat objek (seperti`GetObject`), aktifkan data dan peristiwa manajemen untuk setiap bucket yang dicatat. 

**Pencatatan Log Akses Server Amazon S3** 

Pencatatan akses server menyediakan catatan terperinci untuk permintaan yang dilakukan ke bucket. Informasi log akses dapat berguna dalam audit keamanan dan akses. Untuk informasi selengkapnya, lihat [Cara Mengaktifkan Pencatatan Akses Server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html#server-access-logging-overview) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.*

Untuk informasi selengkapnya, lihat posting blog AWS Keamanan [Cara Menggunakan Kebijakan Bucket dan Terapkan Defense-in-Depth untuk Membantu Mengamankan Data Amazon S3 Anda](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/). 

### Akses ke AWS Glue atau Amazon Athena
<a name="spectrum-enhanced-vpc-considerations-glue-access"></a>

Redshift Spectrum mengakses katalog data Anda di atau AWS Glue Athena. Pilihan lain adalah menggunakan metastore Hive khusus untuk katalog data Anda. 

Untuk mengaktifkan akses ke AWS Glue atau Athena, konfigurasikan VPC Anda dengan gateway internet atau gateway NAT. Konfigurasikan grup keamanan VPC Anda untuk mengizinkan lalu lintas keluar ke titik akhir publik untuk dan Athena. AWS Glue Atau, Anda dapat mengonfigurasi titik akhir VPC antarmuka AWS Glue untuk mengakses. AWS Glue Data Catalog Saat Anda menggunakan titik akhir antarmuka VPC, komunikasi antara VPC Anda dan AWS Glue dilakukan di dalam jaringan. AWS Untuk informasi selengkapnya, lihat [Membuat Titik Akhir Antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).

Anda dapat mengonfigurasi jalur berikut di VPC Anda: 
+ **Internet gateway** *—Untuk terhubung ke AWS layanan di luar VPC Anda, Anda dapat melampirkan gateway [internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) ke subnet VPC Anda, seperti yang dijelaskan dalam Panduan Pengguna Amazon VPC.* Untuk menggunakan gateway internet, cluster yang disediakan harus memiliki alamat IP publik untuk memungkinkan layanan lain berkomunikasi dengannya. 
+ **Gateway NAT** —Untuk menyambung ke bucket Amazon S3 di Wilayah AWS lain atau ke layanan lain dalam AWS jaringan, konfigurasikan gateway [terjemahan alamat jaringan (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), seperti yang dijelaskan dalam Panduan Pengguna *Amazon* VPC. Gunakan konfigurasi ini juga untuk mengakses instance host di luar AWS jaringan.

Lihat informasi yang lebih lengkap di [Mengontrol lalu lintas jaringan dengan perutean VPC Redshift yang ditingkatkan](enhanced-vpc-routing.md).