

 O Amazon Redshift não permitirá mais a criação de UDFs do Python a partir do Patch 198. As UDFs do Python existentes continuarão a funcionar normalmente até 30 de junho de 2026. Para ter mais informações, consulte a [publicação de blog ](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). 

# Controlar o tráfego de rede com o roteamento de VPC avançado do Redshift
<a name="enhanced-vpc-routing"></a>

Quando você usa o roteamento VPC aprimorado do Amazon Redshift, o Amazon Redshift força todo o tráfego [COPY](https://docs.aws.amazon.com/redshift/latest/dg/r_COPY.html) e [UNLOAD](https://docs.aws.amazon.com/redshift/latest/dg/r_UNLOAD.html) entre seu cluster e seus repositórios de dados por meio de sua Virtual Private Cloud (VPC) com base no serviço Amazon VPC. Ao usar o roteamento VPC aprimorado, você pode usar recursos VPC padrão, como [grupos de segurança da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html), [listas de controle de acesso à rede (ACLs)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html), [endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html), [políticas de endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3), [gateways da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) e servidores [Sistema de Nomes de Domínio (DNS)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html), conforme descrito no *Manual do usuário do Amazon VPC*. Você usa esses recursos para controlar o fluxo de dados entre o cluster do Amazon Redshift e outros recursos. Ao usar o roteamento aprimorado de VPC para rotear tráfego pela VPC, também é possível usar [logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) para monitorar o tráfego de COPY e UNLOAD.

 Tanto os clusters do Amazon Redshift como os grupos de trabalho do Amazon Redshift sem servidor são compatíveis com o roteamento de VPC aprimorado. Não é possível usar o roteamento aprimorado de VPC com o Redshift Spectrum. Para obter mais informações, consulte [Acessar buckets do S3 com o Redshift Spectrum](spectrum-enhanced-vpc.md).

Se o roteamento aprimorado de VPC não estiver ativado, o Amazon Redshift roteará o tráfego pela Internet, incluindo o tráfego para outros serviços na rede da AWS.

**Importante**  
Como o roteamento VPC aprimorado afeta a maneira como o Amazon Redshift acessa outros recursos, os comandos COPY e UNLOAD podem falhar, a menos que você configure seu VPC corretamente. Você deve criar especificamente um caminho de rede entre a VPC do cluster e os recursos de dados, conforme descrito a seguir.

Quando você executa um comando COPY ou UNLOAD em um cluster com o roteamento aprimorado de VPC ativado, a VPC roteia o tráfego para o recurso especificado usando o caminho de rede *mais rígido*, ou mais específico, disponível. 

Por exemplo, você pode configurar os seguintes percursos na VPC:
+ **Endpoints da VPC**: para o tráfego para um bucket do Amazon S3 na mesma Região da AWS do cluster ou grupo de trabalho, você pode criar um endpoint da VPC para direcionar o tráfego diretamente ao bucket. Ao usar endpoints da VPC, você pode anexar uma política de endpoint para gerenciar o acesso ao Amazon S3. Consulte mais informações sobre como usar endpoints com o Redshift em [Controlar o tráfego de rede com endpoints da VPC](enhanced-vpc-working-with-endpoints.md). Se você usa o Lake Formation, pode encontrar mais informações sobre como estabelecer uma conexão privada entre a VPC e o AWS Lake Formation em [AWS Lake Formation e endpoints da VPC de interface (AWS PrivateLink)](https://docs.aws.amazon.com/lake-formation/latest/dg/privatelink.html).
**nota**  
Ao usar os endpoints da VPC do Redshift com os endpoints de gateway da VPC do Amazon S3, é necessário habilitar o roteamento de VPC aprimorado no Redshift. Para obter mais informações, consulte [Endpoints de gateway para o Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html).
+ **Gateway NAT** – Você pode se conectar a um bucket do Amazon S3 em outra região da AWS, e você pode se conectar a outro serviço dentro da rede da AWS. Você também pode acessar uma instância de host fora da rede da AWS. Para fazer isso, configure um [gateway de conversão de endereços de rede (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html), conforme descrito no *Manual do usuário do Amazon VPC*.
+ **Gateway da Internet** – Para se conectar a serviços da AWS fora da VPC, você pode anexar um [gateway da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) à sua sub-rede da VPC, conforme descrito no *Manual do usuário do Amazon VPC*. Para usar um gateway da internet, o cluster ou grupo de trabalho deve ser acessível publicamente a fim de permitir que outros serviços se comuniquem com ele.

Para obter mais informações, consulte [endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) no Manual do usuário do Amazon VPC.

Não há cobrança adicional pelo uso do roteamento aprimorado de VPC. Você pode incorrer em cobranças de transferência de dados adicionais para determinadas operações. Isso inclui operações como UNLOAD para o Amazon S3 em uma região da AWS diferente. COPY do Amazon EMR ou Secure Shell (SSH) com endereços IP públicos. Para obter mais informações sobre a definição de preço, consulte [Definição de preço do Amazon EC2](https://aws.amazon.com/ec2/pricing/).

**Topics**
+ [Controlar o tráfego de rede com endpoints da VPC](enhanced-vpc-working-with-endpoints.md)
+ [Ativar o roteamento de VPC aprimorado](enhanced-vpc-enabling-cluster.md)
+ [Acessar buckets do S3 com o Redshift Spectrum](spectrum-enhanced-vpc.md)

# Controlar o tráfego de rede com endpoints da VPC
<a name="enhanced-vpc-working-with-endpoints"></a>

É possível usar um endpoint da VPC para criar uma conexão gerenciada entre o cluster do Amazon Redshift ou um grupo de trabalho de tecnologia sem servidor em uma VPC e o Amazon Simple Storage Service (Amazon S3). Ao fazer isso, o tráfego de COPY e UNLOAD entre seu banco de dados e seus dados no Amazon S3 permanece em seu Amazon VPC. Você pode anexar uma política de endpoint ao endpoint para gerenciar mais de perto o acesso aos dados. Por exemplo, você pode adicionar uma política ao seu endpoint da VPC que permite o descarregamento de dados apenas para um bucket do Amazon S3 específico em sua conta.

Para usar endpoints da VPC, crie um endpoint da VPC para a VPC em que o data warehouse está e ative o roteamento aprimorado de VPC. Você pode ativar o roteamento aprimorado de VPC ao criar o cluster ou grupo de trabalho, ou pode modificar um cluster ou grupo de trabalho em uma VPC para usar o roteamento aprimorado de VPC.

Um endpoint da VPC usa tabelas de rotas para controlar o roteamento de tráfego entre um cluster ou grupo de trabalho na VPC e o Amazon S3. Todos os clusters e grupos de trabalho nas sub-rede associadas às tabelas de rotas especificadas usam automaticamente esse endpoint para acessar o serviço.

A VPC usa a rota mais específica ou a mais restritiva, de acordo com o tráfego para determinar como rotear o tráfego. Por exemplo, suponha que você tenha uma rota em sua tabela de rotas para todo o tráfego da Internet (0.0.0.0/0) que aponta para um gateway da Internet e um endpoint do Amazon S3. Nesse caso, a rota do endpoint tem precedência para todo o tráfego destinado ao Amazon S3. Isso ocorre porque o intervalo de endereços IP para o serviço Amazon S3 é mais específico do que 0.0.0.0/0. Neste exemplo, todo o outro tráfego de Internet vai para seu gateway da Internet, incluindo o tráfego que é destinado a buckets do Amazon S3 em outras Regiões da AWS.

Para obter mais informações sobre como criar endpoints, consulte [Criar um endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) no *Guia do usuário da Amazon VPC.*

Use políticas de endpoint para controlar o acesso de seu cluster ou grupo de trabalho aos buckets do Amazon S3 que contêm seus arquivos de dados. Para obter um controle mais específico, você também pode anexar uma política de endpoint personalizada. Para obter mais informações, consulte [Controlar o acesso aos serviços usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink*. 

**nota**  
 O AWS Database Migration Service (AWS DMS) é um serviço de nuvem que possibilita a migração de bancos de dados relacionais, data warehouses e outros tipos de datastore. Ele pode se conectar a qualquer banco de dados de origem ou destino da AWS, incluindo um banco de dados do Amazon Redshift habilitado para VPC, com algumas restrições de configuração. O suporte aos endpoints da Amazon VPC permite que o AWS DMS realize mais facilmente a manutenção da segurança de rede completa para tarefas de replicação. Consulte mais informações sobre como usar o Redshift com o AWS DMS em [Configuring VPC endpoints as AWS DMS source and target endpoints](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_VPC_Endpoints.html) no *Guia do usuário do AWS Database Migration Service*. 

Não há cobrança adicional pelo uso de endpoints. Aplicam-se as cobranças padrão pela transferência de dados e pela utilização de recursos. Para obter mais informações sobre a definição de preço, consulte [Definição de preço do Amazon EC2](https://aws.amazon.com/redshift/pricing/#Data_Transfer).

# Ativar o roteamento de VPC aprimorado
<a name="enhanced-vpc-enabling-cluster"></a>

Você pode ativar o roteamento aprimorado de VPC ao criar ou modificar um cluster, e ao criar ou modificar um grupo de trabalho do Amazon Redshift Serverless.

Para trabalhar com o roteamento de VPC aprimorado, o cluster ou grupo de trabalho de tecnologia sem servidor deve atender aos seguintes requisitos e limitações:
+ O cluster deve estar em uma VPC. 

  Se você anexar um endpoint da VPC do Amazon S3, ele será usado apenas para acessar os buckets do Amazon S3 na mesma Região da AWS. Para acessar buckets em outra Região da AWS (sem usar o endpoint da VPC) ou para acessar outros serviços da AWS, torne o cluster ou grupo de trabalho de tecnologia sem servidor acessível publicamente ou use um [gateway de conversão de endereços de rede (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html). Para obter mais informações, consulte [Criar um cluster provisionado do Redshift ou um grupo de trabalho do Amazon Redshift sem servidor em uma VPC](getting-started-cluster-in-vpc.md).
+ Você deve habilitar a resolução Serviço de Nome de Domínio (DNS) em sua VPC. Como alternativa, se você estiver usando seu próprio servidor DNS, certifique-se de que as solicitações DNS para o Amazon S3 sejam resolvidas corretamente para os endereços IP mantidos pela AWS. Para obter mais informações, consulte [Usar DNS com a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html), no *Guia do usuário da Amazon VPC*.
+ Os nomes de host DNS devem ser ativados na VPC. Por padrão, os nomes de hosts DNS estão ativados.
+ Suas políticas de endpoint da VPC devem permitir o acesso a qualquer bucket do Amazon S3 usado com chamadas COPY, UNLOAD ou CREATE LIBRARY no Amazon Redshift, incluindo acesso a quaisquer arquivos manifesto envolvidos. Para COPY em hosts remotos, as políticas de endpoint devem permitir acesso a cada máquina de host. Para obter mais informações, consulte [Permissões do IAM para COPY, UNLOAD e CREATE LIBRARY](https://docs.aws.amazon.com/redshift/latest/dg/copy-usage_notes-access-permissions.html#copy-usage_notes-iam-permissions) no *Guia do desenvolvedor de banco de dados do Amazon Redshift.*

**Como ativar o roteamento de VPC avançado para um cluster provisionado**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. No menu de navegação, escolha **Provisioned clusters dashboard** (Painel de clusters provisionados), depois selecione **Create cluster** (Criar Cluster) e insira as propriedades de **Cluster details** (Detalhes do cluster). 

1. Para exibir a seção **Additional configurations (Configurações adicionais)**, desative **Use defaults (Usar padrões)**. 

1. Navegue até a seção **Network and security** (Rede e segurança).

1. Para ativar o **Enhanced VPC routing** (Roteamento aprimorado de VPC), escolha **Turn on** (Ativar) para forçar o tráfego do cluster pela VPC. 

1. Para criar o cluster, escolha **Create cluster** (Criar cluster). Podem ser necessários alguns minutos para preparar o cluster para ser usado.

**Como ativar o roteamento de VPC aprimorado para um Amazon Redshift sem servidor**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).

1. No menu de navegação, escolha **Serverless dashboard** (Painel do Serverless), selecione **Create workgroup** (Criar grupo de trabalho) e insira as propriedades para o grupo de trabalho. 

1. Navegue até a seção **Network and security** (Rede e segurança).

1. Selecione **Turn on enhanced VPC routing** (Ativar roteamento aprimorado de VPC) para rotear o tráfego de rede pela VPC. 

1. Escolha **Next** (Avançar) e termine de inserir as propriedades do grupo de trabalho, depois selecione **Create** (Criar) para criar o grupo de trabalho.

# Acessar buckets do S3 com o Redshift Spectrum
<a name="spectrum-enhanced-vpc"></a>

Em geral, o Amazon Redshift Spectrum não permite o uso do roteamento aprimorado da VPC com clusters provisionados, embora um cluster provisionado possa consultar tabelas externas do Amazon S3 quando o roteamento aprimorado da VPC está habilitado.

O roteamento aprimorado da VPC do Amazon Redshift envia tráfego específico por meio da sua VPC, o que significa que todo tráfego entre o cluster e os buckets do Amazon S3 é forçado a passar pela sua Amazon VPC. Como o Redshift Spectrum é executado em recursos gerenciados pela AWS que pertencem ao Amazon Redshift mas estão fora da sua VPC, ele não usa o roteamento aprimorado da VPC. 

O tráfego entre o Redshift Spectrum e o Amazon S3 é roteado com segurança pela rede privada da AWS, fora da VPC. O tráfego em trânsito é assinado usando o protocolo Amazon Signature versão 4 (SIGv4) e criptografado usando HTTPS. Este tráfego é autorizado com base na função do IAM anexada ao seu cluster do Amazon Redshift. Para gerenciar ainda mais o tráfego do Redshift Spectrum, você pode modificar a função do IAM do seu cluster e sua política anexada ao bucket do Amazon S3. Também pode ser necessário configurar seu VPC para permitir que seu cluster acesse o Athena ou o AWS Glue, conforme detalhado a seguir. 

 Observe que, como o roteamento VPC aprimorado afeta a maneira como o Amazon Redshift acessa outros recursos, as consultas podem falhar, a menos que você configure a VPC corretamente. Para obter mais informações, consulte [Controlar o tráfego de rede com o roteamento de VPC avançado do Redshift](enhanced-vpc-routing.md), que discute com mais detalhes a criação de um endpoint da VPC, um gateway de conversão de endereços de rede (gateway NAT) e outros recursos de rede para direcionar o tráfego aos buckets do Amazon S3. 

**nota**  
O Amazon Redshift Serverless oferece suporte ao roteamento aprimorado de VPC para consultas a tabelas externas no Amazon S3. Consulte mais informações sobre configuração em [Carregar dados do Amazon S3](https://docs.aws.amazon.com/redshift/latest/gsg/new-user-serverless.html#serverless-load-data-from-s3) no Guia de conceitos básicos do Amazon Redshift sem servidor.

## Configuração da política de permissões ao usar o Amazon Redshift Spectrum
<a name="spectrum-enhanced-vpc-considerations"></a>

Considere o seguinte ao usar o Redshift Spectrum: 
+ [Políticas de acesso ao bucket do Amazon S3 e perfis do IAM](#spectrum-enhanced-vpc-considerations-policies)
+ [Permissões para assumir o perfil do IAM](#spectrum-enhanced-vpc-considerations-cluster-role)
+ [Registrar em log e auditar o acesso ao Amazon S3](#spectrum-enhanced-vpc-considerations-logging-s3)
+ [Acesso ao AWS Glue ou Amazon Athena](#spectrum-enhanced-vpc-considerations-glue-access)

### Políticas de acesso ao bucket do Amazon S3 e perfis do IAM
<a name="spectrum-enhanced-vpc-considerations-policies"></a>

Você pode controlar o acesso aos dados nos buckets do Amazon S3 usando uma política de bucket anexada ao bucket e usando um perfil do IAM anexado a um cluster provisionado. 

O Redshift Spectrum em clusters provisionados não pode acessar dados armazenados em buckets do Amazon S3 que usam uma política de bucket que restringe o acesso apenas a endpoints da VPC especificados. Em vez disso, use uma política de bucket que restrinja o acesso apenas a entidades principais específicas, como uma conta específica da AWS ou usuários específicos. 

Para a função do IAM que tem acesso ao bucket, use uma relação de confiança que permita que a função seja assumida apenas pela entidade principal de serviço do Amazon Redshift. Quando anexada ao seu cluster, a função pode ser usada apenas no contexto do Amazon Redshift e não pode ser compartilhada fora do cluster. Para obter mais informações, consulte [Restringir acesso a funções do IAM](authorizing-redshift-service-database-users.md). Uma política de controle de serviços (SCP) também pode ser usada para restringir ainda mais o perfil. Consulte [Impedir que usuários e perfis do IAM façam alterações especificadas, com uma exceção para um perfil de administrador especificado](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-restricts-with-exception) no *Guia do usuário do AWS Organizations*.

**nota**  
Para usar o Redshift Spectrum, não pode haver nenhuma política do IAM bloqueando o uso de URLs pré-assinados do Amazon S3. Os URLs pré-assinados gerados pelo Amazon Redshift Spectrum são válidos por uma hora para que o Amazon Redshift tenha tempo suficiente para carregar todos os arquivos do bucket do Amazon S3. Um URL pré-assinado exclusivo é gerado para cada arquivo verificado pelo Redshift Spectrum. Para políticas de bucket que incluem uma ação `s3:signatureAge`, o valor deve ser definido como pelo menos 3.600.000 milissegundos.

O exemplo de política de bucket a seguir permite acesso ao bucket especificado pertencente à conta `123456789012` da AWS. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BucketPolicyForSpectrum",
            "Effect": "Allow",
            "Principal": {
                "AWS": ["arn:aws:iam::123456789012:role/redshift"]
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucketVersions",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

### Permissões para assumir o perfil do IAM
<a name="spectrum-enhanced-vpc-considerations-cluster-role"></a>

A função associada ao seu cluster deve ter uma relação de confiança que permita que seja assumida apenas pelo serviço do Amazon Redshift, como mostrado a seguir.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Para obter mais informações, consulte [Políticas do IAM para o Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-spectrum-iam-policies.html) no *Guia do desenvolvedor de bancos de dados do Amazon Redshift*.

### Registrar em log e auditar o acesso ao Amazon S3
<a name="spectrum-enhanced-vpc-considerations-logging-s3"></a>

Um dos benefícios ao usar o roteamento aprimorado da VPC do Amazon Redshift é que todo o tráfego de COPY e UNLOAD é registrado nos logs de fluxo da VPC. O tráfego originado do Redshift Spectrum para o Amazon S3 não passa pelo seu VPC, portanto, não é registrado nos logs de fluxo do VPC. Quando o Redshift Spectrum acessa dados no Amazon S3, ele executa essas operações no contexto da conta da AWS e dos respectivos privilégios de função. Você pode registrar e auditar o acesso ao Amazon S3 usando o registro em log de acesso ao servidor no AWS CloudTrail e Amazon S3. 

Certifique-se de que os intervalos de IP do S3 sejam adicionados à sua lista de permissões. Para saber mais sobre os intervalos de IP do S3 necessários, consulte [Isolamento de rede](https://docs.aws.amazon.com//redshift/latest/mgmt/security-network-isolation.html#network-isolation).

**AWS CloudTrail Logs do** 

Para rastrear todo o acesso a objetos no Amazon S3, incluindo o acesso ao Redshift Spectrum, habilite o registro em log do CloudTrail para objetos do Amazon S3. 

Você pode usar o CloudTrail para visualizar, pesquisar, baixar, arquivar, analisar e responder à atividade da conta em sua infraestrutura da AWS. Para obter mais informações, consulte [Conceitos básicos do CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-getting-started.html). 

Por padrão, o CloudTrail rastreia somente as ações do nível do bucket. Para rastrear as ações em nível de objeto (como `GetObject`), habilite eventos de dados e gerenciamento para cada bucket registrado em log. 

**Registro em log de acesso ao servidor do Amazon S** 

O registro em log de acesso ao servidor fornece detalhes sobre as solicitações que são feitas a um bucket. As informações de log de acesso podem ser úteis em auditorias de segurança e acesso. Para obter mais informações, consulte [Como habilitar o registro de acesso ao servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html#server-access-logging-overview) no *Guia do usuário do Amazon Simple Storage Service*.

Para obter mais informações, consulte a postagem do blog sobre segurança da AWS [Como usar políticas de bucket e aplicar defesa adequadamente para ajudar a proteger seus dados do Amazon S3](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/). 

### Acesso ao AWS Glue ou Amazon Athena
<a name="spectrum-enhanced-vpc-considerations-glue-access"></a>

O Redshift Spectrum acessa seu catálogo de dados no AWS Glue ou no Athena. Outra opção é usar um metastore do Hive dedicado para seu catálogo de dados. 

Para habilitar o acesso ao AWS Glue ou ao Athena, configure seu VPC com um gateway da Internet ou gateway NAT. Configure seus grupos de segurança da VPC para permitir tráfego de saída para os endpoints públicos para o AWS Glue e o Athena. Como alternativa, você pode configurar um endpoint de interface da VPC para AWS Glue para acessar AWS Glue Data Catalog. Quando você usa um endpoint de interface da VPC, a comunicação entre sua VPC e o AWS Glue é realizada na rede da AWS. Para obter mais informações, consulte [Criação de um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).

Você pode configurar os seguintes percursos na VPC: 
+ **Gateway da Internet** – Para se conectar a serviços da AWS fora da VPC, você pode anexar um [gateway da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) à sua sub-rede da VPC, conforme descrito no *Manual do usuário do Amazon VPC*. Para usar um gateway da internet, um cluster provisionado deve ter um endereço IP público a fim de permitir que outros serviços se comuniquem com ele. 
+ **Gateway NAT** – Para se conectar a um bucket do Amazon S3 em outra região da AWS ou a outro serviço dentro da rede da AWS, configure um [gateway de conversão de endereços de rede (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) conforme descrito no *Manual do usuário do Amazon VPC*. Use essa configuração também para acessar uma instância de host fora da rede da AWS.

Para obter mais informações, consulte [Controlar o tráfego de rede com o roteamento de VPC avançado do Redshift](enhanced-vpc-routing.md).