Erstellen von Null-ETL-Integrationen von Aurora mit Amazon Redshift - Amazon Aurora
VoraussetzungenErforderliche BerechtigungenErstellen von Null-ETL-IntegrationenVerschlüsseln von IntegrationenNächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Null-ETL-Integrationen von Aurora mit Amazon Redshift

Wenn Sie eine Null-ETL-Integration von Aurora erstellen, geben Sie den Quell-DB-Cluster von Aurora und das Ziel-Data-Warehouse von Amazon Redshift an. Sie können auch die Verschlüsselungseinstellungen anpassen und Tags hinzufügen. Aurora erstellt eine Integration zwischen dem Quell-DB-Cluster und dem jeweiligen Ziel. Sobald die Integration aktiv ist, werden alle Daten, die Sie in den Quell-DB-Cluster einfügen, in das konfigurierte Amazon-Redshift-Ziel repliziert.

Voraussetzungen

Bevor Sie eine Null-ETL-Integration, müssen Sie einen Quell-DB-Cluster und ein Ziel-Data-Warehouse von Amazon Redshift erstellen. Außerdem müssen Sie die Replikation in das Data Warehouse zulassen, indem Sie den DB-Cluster als autorisierte Integrationsquelle hinzufügen.

Anleitungen zum Ausführen der einzelnen Schritte finden Sie unter Erste Schritte mit Null-ETL-Integrationen von Aurora.

Erforderliche Berechtigungen

Bestimmte IAM-Berechtigungen sind erforderlich, um eine Null-ETL-Integration zu erstellen. Sie benötigen mindestens die Berechtigungen, um die folgenden Aktionen durchführen zu können:

  • Erstellen Sie Null-ETL-Integrationen für den Quell-DB-Cluster.

  • Anzeigen und Löschen aller Null-ETL-Integrationen.

  • Erstellen eingehender Integrationen in das Ziel-Data-Warehouse.

Die folgende Beispielrichtlinie zeigt die die geringsten Berechtigungen, die zum Erstellen und Verwalten von Integrationen erforderlich sind. Möglicherweise benötigen Sie nicht genau diese Berechtigungen, wenn Ihr Benutzer oder Ihre Rolle über umfassendere Berechtigungen verfügt, z. B. über eine von AdministratorAccess verwaltete Richtlinie.

Anmerkung

Redshift Amazon Resource Names (ARNs) haben das folgende Format. Beachten Sie die Verwendung eines Schrägstrichs (/) anstelle eines Doppelpunkts (:) vor der Serverless-Namespace-UUID.

  • Bereitgestellter Cluster – arn:aws:redshift:{region}:{account-id}:namespace:namespace-uuid

  • Serverless – arn:aws:redshift-serverless:{region}:{account-id}:namespace/namespace-uuid

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateIntegration",
      "Effect": "Allow",
      "Action": [
        "rds:CreateIntegration"
      ],
      "Resource": [
        "arn:aws:rds:us-east-1:123456789012:db:source-db",
        "arn:aws:rds:us-east-1:123456789012:integration:*"
      ]
    },
    {
      "Sid": "DescribeIntegrationDetails",
      "Effect": "Allow",
      "Action": [
        "rds:DescribeIntegrations"
      ],
      "Resource": [
      "arn:aws:rds:us-east-1:123456789012:integration:*"
  ]
    },
    {
      "Sid": "ChangeIntegrationDetails",
      "Effect": "Allow",
      "Action": [
        "rds:DeleteIntegration",
        "rds:ModifyIntegration"
      ],
      "Resource": [
        "arn:aws:rds:us-east-1:123456789012:integration:*"
      ]
    },
    {
      "Sid": "AllowRedShiftIntegration",
      "Effect": "Allow",
      "Action": [
        "redshift:CreateInboundIntegration"
      ],
      "Resource": [
        "arn:aws:redshift:us-east-1:123456789012:namespace:namespace-uuid"
      ]
    }
  ]
}

Auswählen eines Ziel-Data-Warehouse in einem anderen Konto

Wenn Sie ein Amazon Redshift Redshift-Ziel-Data Warehouse angeben möchten, das sich in einem anderen befindet AWS-Konto, müssen Sie eine Rolle erstellen, die es Benutzern des aktuellen Kontos ermöglicht, auf Ressourcen im Zielkonto zuzugreifen. Weitere Informationen finden Sie unter Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , dem Sie gehören.

Die Rolle muss über die folgenden Berechtigungen verfügen, die es dem Benutzer ermöglichen, verfügbare von Amazon Redshift bereitgestellte Cluster und Redshift-Serverless-Namespaces im Zielkonto einzusehen.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "redshift:DescribeClusters",
            "redshift-serverless:ListNamespaces"
         ],
         "Resource":[
            "*"
         ]
      }
   ]
}

Die Rolle muss über die folgende Vertrauensrichtlinie verfügen, die die Zielkonto-ID angibt.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Anleitungen zum Erstellen der Rolle finden Sie unter Erstellen einer Rolle mit benutzerdefinierten Vertrauensrichtlinien.

Erstellen von Null-ETL-Integrationen

Sie können eine Zero-ETL-Integration mithilfe der AWS-Managementkonsole, der oder der AWS CLI RDS-API erstellen.

Wichtig

Null-ETL-Integrationen unterstützen keine Aktualisierungs- oder Resynchronisierungsvorgänge. Wenn Sie nach der Erstellung auf Probleme mit einer Integration stoßen, müssen Sie die Integration löschen und eine neue erstellen.

So erstellen Sie eine Null-ETL-Integration

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im linken Navigationsbereich Null-ETL-Integrationen aus.

  3. Wählen Sie Null-ETL-Integration erstellen aus.

  4. Geben Sie für Integrationskennung einen Namen für die Integration ein. Der Name kann bis zu 63 alphanumerische Zeichen umfassen und Bindestriche enthalten.

    Wichtig

    Katalognamen sind auf von 64 Zeichen beschränkt. Stellen Sie sicher, dass die Integrations-ID diese Anforderung erfüllt, wenn sie als Katalogname verwendet werden soll.

  5. Wählen Sie Weiter aus.

  6. Wählen Sie als Quelle des Ursprungs der Daten den Aurora DB-Cluster aus.

    Anmerkung

    RDS benachrichtigt Sie, wenn die DB-Cluster-Parameter nicht korrekt konfiguriert sind. Wenn Sie diese Nachricht erhalten, können Sie entweder Reparieren wählen oder eine manuelle Konfiguration vornehmen. Anleitungen zur manuellen Behebung finden Sie unter Schritt 1: Erstellen einer benutzerdefinierten DB-Cluster-Parametergruppe.

    Das Ändern der DB-Cluster-Parameter erfordert einen Neustart. Bevor Sie die Integration erstellen können, müssen der Neustart abgeschlossen und die neuen Parameterwerte erfolgreich auf den Cluster angewendet werden.

  7. (Optional) Wählen Sie Datenfilteroptionen anpassen aus und fügen Sie Ihrer Integration Datenfilter hinzu. Sie können Datenfilter verwenden, um den Umfang der Replikation in das Ziel-Data-Warehouse zu definieren. Weitere Informationen finden Sie unter Datenfilterung für Null-ETL-Integrationen für Aurora.

  8. Sobald der Quell-DB-Cluster erfolgreich konfiguriert wurde, wählen Sie Weiter aus.

  9. Gehen Sie bei Ziel wie folgt vor:

    1. (Optional) Um ein anderes AWS-Konto für das Amazon Redshift Redshift-Ziel zu verwenden, wählen Sie Anderes Konto angeben aus. Geben Sie dann den Namen einer IAM-Rolle mit Berechtigungen zur Anzeige Ihrer Data Warehouses ein. Anleitungen zum Erstellen der IAM-Rolle finden Sie unter Auswählen eines Ziel-Data-Warehouse in einem anderen Konto.

    2. Wählen Sie für Amazon Redshift Data Warehouse das Ziel für replizierte Daten aus dem Quell-DB-Cluster aus. Sie können einen bereitgestellten Amazon-Redshift-Cluster oder einen Redshift-Serverless-Namespace als Ziel auswählen.

    Anmerkung

    RDS benachrichtigt Sie, wenn die Ressourcenrichtlinie oder die Einstellungen zur Berücksichtigung der Groß- und Kleinschreibung für das angegebene Data Warehouse nicht korrekt konfiguriert sind. Wenn Sie diese Nachricht erhalten, können Sie entweder Reparieren wählen oder eine manuelle Konfiguration vornehmen. Anweisungen zur manuellen Behebung finden Sie unter Aktivieren der Groß- und Kleinschreibung für Ihr Data Warehouse und Konfigurieren der Autorisierung für Ihr Data Warehouse im Amazon Redshift Management Guide.

    Das Ändern der Groß- und Kleinschreibung für einen bereitgestellten Redshift-Cluster erfordert einen Neustart. Bevor Sie die Integration erstellen können, muss der Neustart abgeschlossen und der neue Parameterwert erfolgreich auf den Cluster angewendet werden.

    Wenn sich Ihre gewählte Quelle und Ihr Ziel in verschiedenen AWS-Konten befinden, kann Amazon RDS diese Einstellungen nicht für Sie korrigieren. Sie müssen zu dem anderen Konto navigieren und diese manuell in Amazon Redshift korrigieren.

  10. Sobald Ihr Ziel-Data Warehouse korrekt konfiguriert ist, wählen Sie Weiter.

  11. (Optional) Fügen Sie unter Tags ein oder mehrere Tags zu der Integration hinzu. Weitere Informationen finden Sie unter Taggen von Amazon-Aurora- und Amazon-RDS-Ressourcen.

  12. Geben Sie für Verschlüsselung an, wie Ihre Integration verschlüsselt werden soll. Standardmäßig verschlüsselt RDS alle Integrationen mit einem. AWS-eigener Schlüssel Um stattdessen einen vom Kunden verwalteten Schlüssel auszuwählen, aktivieren Sie die Option Verschlüsselungseinstellungen anpassen und wählen Sie einen KMS-Schlüssel aus, der für die Verschlüsselung verwendet werden soll. Weitere Informationen finden Sie unter Verschlüsseln von Amazon Aurora-Ressourcen.

    Fügen Sie optional einen Verschlüsselungskontext hinzu. Weitere Informationen finden Sie unter Verschlüsselungskontext im AWS Key Management Service -Entwicklerhandbuch.

    Anmerkung

    Amazon RDS fügt zusätzlich zu den von Ihnen hinzugefügten Paaren die folgenden Verschlüsselungskontextpaare hinzu:

    • aws:redshift:integration:arn - IntegrationArn

    • aws:servicename:id - Redshift

    Dadurch wird die Gesamtzahl der Paare, die Sie hinzufügen können, von 8 auf 6 reduziert, was zur Gesamtzeichenbegrenzung der Erteilungsbeschränkung beiträgt. Weitere Informationen finden Sie unter Verwenden von Erteilungsbeschränkungen im Entwicklerhandbuch für AWS Key Management Service .

  13. Wählen Sie Weiter aus.

  14. Überprüfen Sie Ihre Integrationseinstellungen und wählen Sie Null-ETL-Integration erstellen aus.

    Wenn die Erstellung fehlschlägt, finden Sie Informationen zur Fehlerbehebung unter Ich kann keine Null-ETL-Integration erstellen.

Der Status der Integration lautet während der Erstellung Creating. Das Ziel-Data-Warehouse von Amazon Redshift hat den Status Modifying. Während dieser Zeit können Sie das Data Warehouse nicht abfragen und keine Konfigurationsänderungen daran vornehmen.

Wenn die Integration erfolgreich erstellt wurde, ändern sich sowohl der Status der Integration als auch der Status des Ziel-Data-Warehouse von Amazon Redshift in Active.

Um eine Zero-ETL-Integration mit dem zu erstellen AWS CLI, verwenden Sie den Befehl create-integration mit den folgenden Optionen:

Anmerkung

Denken Sie daran, dass Katalognamen auf 19 Zeichen beschränkt sind. Wählen Sie Ihren Integrationsnamen entsprechend aus, wenn er als Katalogname verwendet werden soll.

  • --integration-name – Geben Sie einen Namen für die Integration an.

  • --source-arn – Geben Sie als Quelle für die Integration den ARN des Aurora-DB-Clusters an.

  • --target-arn – Geben Sie den ARN des Amazon Redshift Data Warehouse an, das das Ziel für die Integration sein soll.

Für Linux, macOS oder Unix:

aws rds create-integration \
    --integration-name my-integration \
    --source-arn arn:aws:rds:{region}:{account-id}:my-db \
    --target-arn arn:aws:redshift:{region}:{account-id}:namespace:namespace-uuid

Für Windows:

aws rds create-integration ^
    --integration-name my-integration ^
    --source-arn arn:aws:rds:{region}:{account-id}:my-db ^
    --target-arn arn:aws:redshift:{region}:{account-id}:namespace:namespace-uuid

Verwenden Sie die CreateIntegration-Operation mit den folgenden Parametern, um mithilfe der Amazon-RDS-API eine Null-ETL-Integration zu erstellen:

Anmerkung

Katalognamen sind auf 19 Zeichen beschränkt. Stellen Sie sicher, dass Ihr IntegrationName Parameter diese Anforderung erfüllt, wenn er als Katalogname verwendet werden soll.

  • IntegrationName – Geben Sie einen Namen für die Integration an.

  • SourceArn – Geben Sie als Quelle für die Integration den ARN des Aurora-DB-Clusters an.

  • TargetArn – Geben Sie den ARN des Amazon Redshift Data Warehouse an, das das Ziel für die Integration sein soll.

Verschlüsseln von Integrationen mit einem vom Kunden verwalteten Schlüssel

Wenn Sie AWS-eigener Schlüssel beim Erstellen einer Integration einen benutzerdefinierten KMS-Schlüssel anstelle eines angeben, muss die Schlüsselrichtlinie dem Amazon Redshift Redshift-Serviceprinzipal Zugriff auf die CreateGrant Aktion gewähren. Darüber hinaus muss es dem aktuellen Benutzer die Ausführung der Aktionen DescribeKey und CreateGrant ermöglicht werden.

Die folgende Beispielrichtlinie demonstriert, wie die erforderlichen Berechtigungen in der Schlüsselrichtlinie bereitgestellt werden. Sie enthält Kontextschlüssel, um den Umfang der Berechtigungen weiter zu reduzieren.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "Key policy",
    "Statement": [
        {
            "Sid": "Enables IAM user permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allows the Redshift service principal to add a grant to a KMS key",
            "Effect": "Allow",
            "Principal": {
                "Service": "redshift.amazonaws.com"
            },
            "Action": "kms:CreateGrant",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:{context-key}": "{context-value}"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "Decrypt",
                        "GenerateDataKey",
                        "CreateGrant"
                    ]
                }
            }
        },
        {
            "Sid": "Allows the current user or role to add a grant to a KMS key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/{role-name}"
            },
            "Action": "kms:CreateGrant",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:{context-key}": "{context-value}",
                    "kms:ViaService": "rds.us-east-1.amazonaws.com"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "Decrypt",
                        "GenerateDataKey",
                        "CreateGrant"
                    ]
                }
            }
        },
        {
            "Sid": "Allows the current uer or role to retrieve information about a KMS key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/{role-name}"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        }
    ]
}

Weitere Informationen finden Sie unter Erstellen einer Schlüsselrichtlinie im AWS Key Management Service -Entwicklerhandbuch.

Nächste Schritte

Nachdem Sie erfolgreich eine Null-ETL-Integration erstellt haben, müssen Sie eine Zieldatenbank in Ihrem Amazon-Redshift-Zielcluster oder Ihrer Zielarbeitsgruppe erstellen. Anschließend können Sie damit beginnen, Daten zum Quell-DB-Cluster von Aurora hinzuzufügen und in Amazon Redshift abzufragen. Anleitungen finden Sie unter Erstellen von Zieldatenbanken in Amazon Redshift.