概要前提条件と制限事項アーキテクチャツールベストプラクティスエピックトラブルシューティング関連リソース

SQL Server から PostgreSQL に移行する際に、PII データに SHA1 ハッシュを実装する

Amazon Web Services、Rajkumar Raghuwanshi および Jagadish Kantubugata

概要

このパターンでは、SQL Server から Amazon RDS for PostgreSQL または Amazon Aurora PostgreSQL 互換に移行する際に、E メールアドレスにセキュアハッシュアルゴリズム 1 (SHA1) ハッシュを実装する方法について説明します。E メールアドレスは、個人を特定できる情報 (PII) の一例です。PII は、直接閲覧した場合、または他の関連データと組み合わせた場合に、個人の身元を合理的に推測するために使用できる情報です。

このパターンでは、さまざまなデータベースの照合順序と文字エンコーディングにわたって一貫したハッシュ値を維持するという課題について説明し、PostgreSQL 関数とトリガーを使用したソリューションを提供します。このパターンは SHA1 ハッシュに重点を置いていますが、PostgreSQL の pgcrypto モジュールでサポートされている他のハッシュアルゴリズムにも適応できます。機密データを扱う場合には、ハッシュ戦略のセキュリティ上の影響を常に考慮し、セキュリティエキスパートに相談してください。

前提条件と制限事項

前提条件

アクティブな AWS アカウント
ソース SQL Server データベース
ターゲット PostgreSQL データベース (Amazon RDS for PostgreSQL または Aurora PostgreSQL 互換)
PL/PgSQL コーディングの専門知識

制限事項

このパターンでは、ユースケースに基づいてデータベースレベルの照合順序を変更する必要があります。
大規模なデータセットに対するパフォーマンスの影響は評価されていません。
一部の AWS のサービスは、すべてで利用できるわけではありません AWS リージョン。利用可能なリージョンについては、「AWS サービス (リージョン別)」を参照してください。特定のエンドポイントについては、「サービスエンドポイントとクォータ」を参照して、サービスのリンクを選択してください。

製品バージョン

Microsoft SQL Server 2012 以降

アーキテクチャ

ソーステクノロジースタック

SQL Server
特定のランタイムライブラリまたは .NET Framework の最小バージョンが必要です。

ターゲットテクノロジースタック

[PostgreSQL]
pgcrypto エクステンション

自動化とスケール

メンテナンスを容易にするために、ハッシュ関数をストアドプロシージャとして実装することを検討します。
大規模なデータセットの場合は、パフォーマンスを評価し、バッチ処理またはインデックス作成戦略を検討します。

ツール

AWS のサービス

Amazon Aurora PostgreSQL 互換は、PostgreSQL デプロイのセットアップ、運用、スケーリングを支援するフルマネージド型の ACID 互換リレーショナルデータベースエンジンです。
AWS Database Migration Service (AWS DMS) を使用すると、データストアをに移行する AWS クラウドか、クラウドとオンプレミスのセットアップの組み合わせ間で移行できます。
Amazon Relational Database Service Amazon RDS for PostgreSQL を使用すると、 AWS クラウドで PostgreSQL リレーショナルデータベースのセットアップ、運用、スケーリングができます。
AWS Schema Conversion Tool (AWS SCT) は、ソースデータベーススキーマとカスタムコードの大部分をターゲットデータベースと互換性のある形式に自動的に変換することで、異種データベースの移行をサポートします。

その他のツール

「pgAdmin」は PostgreSQL 用のオープンソース管理ツールです。データベースオブジェクトの作成、管理、使用を支援するグラフィカルインターフェイスを提供します。
SQL Server Management Studio (SSMS) は、SQL Server インフラストラクチャを管理するための統合環境です。

ベストプラクティス

ターゲットデータベース側で特殊文字を処理するには、適切な照合順序設定を使用します。
非 ASCII 文字のアドレスなど、さまざまな E メールアドレスで徹底的にテストします。
アプリケーションレイヤーとデータベースレイヤーの間で大文字と小文字の処理の一貫性を維持します。
ハッシュ値を使用してクエリのパフォーマンスをベンチマークします。

エピック

タスク	説明	必要なスキル
SQL Server コードを確認します。	SHA1 ハッシュを生成する SQL Server コードを確認するには、以下を行います。 SHA1 ハッシュの既存の SQL Server の実装を分析します。ハッシュ生成に使用される正確な方法を特定します。入力パラメータと出力形式を文書化します。データ型の変換を確認します。照合順序設定とそれらの影響を調べます。	データエンジニア、DBA、アプリケーション開発者
ハッシュアルゴリズムとデータ変換を文書化します。	ハッシュアルゴリズムとデータ変換を正確に文書化するには、以下を行います。ハッシュプロセスに関する詳細な技術ドキュメントを作成します。ステップバイステップの変換ロジックを文書化します。入出力形式とデータ型を指定します。エッジケースと特殊文字の処理を含めます。	アプリケーション開発者、データエンジニア、DBA

タスク説明必要なスキル

タスク	説明	必要なスキル
`pgcrypto` エクステンションを作成します。	`pgcrypto` エクステンションを作成するには、`pgAdmin/psql` を使用して次のコマンドを実行します。 `CREATE EXTENSION pgcrypto;`	DBA、データエンジニア
PostgreSQL 関数を実装します。	SQL Server のハッシュロジックをレプリケートするには、次の PostgreSQL 関数を実装します。大まかに言うと、この関数では次のステップを使用します。オプションで、入力を大文字に変換します。入力の SHA1 ハッシュを作成します。このハッシュの最後の 10 バイト (80 ビット) を取得します。これらのバイトを 64 ビットの整数に変換します。 CREATE OR REPLACE FUNCTION utility.hex_to_bigint ( par_val character varying, par_upper character varying DEFAULT 'lower'::character varying) RETURNS bigint LANGUAGE 'plpgsql' AS $BODY$ DECLARE retnumber bigint; digest_bytes bytea; BEGIN if lower(par_upper) = 'upper' then digest_bytes := digest(upper(par_val), 'sha1'); else digest_bytes := digest((par_val), 'sha1'); end if; retnumber := ('x' \|\| encode(substring(digest_bytes, length(digest_bytes)-10+1), 'hex'))::bit(64)::bigint; RETURN retnumber; END; $BODY$;	データエンジニア、DBA、アプリケーション開発者
関数をテストします。	関数をテストするには、SQL Server のサンプルデータを使用して、一致するハッシュ値を検証します。次のコマンドを実行します。 `select 'alejandro_rosalez@example.com' as Email, utility.hex_to_bigint('alejandro_rosalez@example.com','upper') as HashValue; --OUTPUT /* email hashvalue "alejandro_rosalez@example.com" 451397011176045063 */`	アプリ開発者、DBA、データエンジニア

pgcrypto エクステンションを作成します。

pgcrypto エクステンションを作成するには、pgAdmin/psql を使用して次のコマンドを実行します。


CREATE EXTENSION pgcrypto;

DBA、データエンジニア

PostgreSQL 関数を実装します。

SQL Server のハッシュロジックをレプリケートするには、次の PostgreSQL 関数を実装します。大まかに言うと、この関数では次のステップを使用します。

オプションで、入力を大文字に変換します。
入力の SHA1 ハッシュを作成します。
このハッシュの最後の 10 バイト (80 ビット) を取得します。
これらのバイトを 64 ビットの整数に変換します。


CREATE OR REPLACE FUNCTION utility.hex_to_bigint ( 
     par_val character varying, 
     par_upper character varying DEFAULT 'lower'::character varying) 
RETURNS bigint 
LANGUAGE 'plpgsql' 
AS $BODY$ 
DECLARE 
    retnumber bigint; 
    digest_bytes bytea;
BEGIN 
    if lower(par_upper) = 'upper' 
    then 
        digest_bytes := digest(upper(par_val), 'sha1');
    else 
        digest_bytes := digest((par_val), 'sha1');
    end if; 
    retnumber := ('x' || encode(substring(digest_bytes, length(digest_bytes)-10+1), 'hex'))::bit(64)::bigint; 
    RETURN retnumber; 
END; 
$BODY$;

データエンジニア、DBA、アプリケーション開発者

関数をテストします。

関数をテストするには、SQL Server のサンプルデータを使用して、一致するハッシュ値を検証します。次のコマンドを実行します。


select 'alejandro_rosalez@example.com' as Email, utility.hex_to_bigint('alejandro_rosalez@example.com','upper') as HashValue;

--OUTPUT
/*
email 	        hashvalue
"alejandro_rosalez@example.com"	451397011176045063
*/

アプリ開発者、DBA、データエンジニア

タスク説明必要なスキル

タスク	説明	必要なスキル
関連するテーブルでトリガーを作成します。	挿入または更新時にハッシュ値を自動的に生成するためのトリガーを、関連するテーブルで作成するには、次のコマンドを実行します。 `CREATE OR REPLACE FUNCTION update_email_hash() RETURNS TRIGGER AS $$ BEGIN NEW.email_hash = utility.hex_to_bigint(NEW.email, 'upper'); RETURN NEW; END; $$ LANGUAGE plpgsql;` `CREATE TRIGGER email_hash_trigger BEFORE INSERT OR UPDATE ON users FOR EACH ROW EXECUTE FUNCTION update_email_hash();`	アプリケーション開発者、データエンジニア、DBA

関連するテーブルでトリガーを作成します。

挿入または更新時にハッシュ値を自動的に生成するためのトリガーを、関連するテーブルで作成するには、次のコマンドを実行します。


CREATE OR REPLACE FUNCTION update_email_hash() 
RETURNS TRIGGER 
AS $$ 
BEGIN 
    NEW.email_hash = utility.hex_to_bigint(NEW.email, 'upper'); 
    RETURN NEW; 
END; 
$$ LANGUAGE plpgsql;


CREATE TRIGGER email_hash_trigger BEFORE INSERT OR UPDATE ON users FOR EACH ROW EXECUTE FUNCTION update_email_hash();

アプリケーション開発者、データエンジニア、DBA

タスク	説明	必要なスキル
移行スクリプトを開発するか、を使用します AWS DMS。	移行スクリプトを作成するか AWS DMS 、を使用して既存のデータのハッシュ値 (`BIGINT`ソースシステムにとして保存されているハッシュ値を含む) を入力します。以下のタスクを実行します。ハッシュ値を使用してデータ転送用の移行スクリプトを作成します。適切な変換ルールを使用して AWS DMS タスクを設定します。でソースエンドポイントとターゲットエンドポイントを設定します AWS DMS。エラー処理とログ記録メカニズムを実装します。大規模なデータセットのバッチ処理戦略を設計します。データ検証のための検証クエリを作成します。	データエンジニア、アプリケーション開発者、DBA
新しい PostgreSQL ハッシュ関数を使用します。	新しい PostgreSQL ハッシュ関数を使用して一貫性を確保するには、以下を行います。ハッシュの一貫性を検証するための検証手順を実装します。ソースシステムとターゲットシステム間の比較スクリプトを作成します。ハッシュ値の検証のための自動テストをセットアップします。不一致と解決手順を文書化します。	アプリ開発者、DBA、DevOps エンジニア

タスク	説明	必要なスキル
アプリケーションクエリを特定します。	ハッシュ値を使用するアプリケーションクエリを特定するには、以下を行います。ハッシュ値を使用して、クエリのアプリケーションコードベースを分析します。ハッシュ操作を参照するストアドプロシージャと関数を確認します。クエリのパフォーマンスメトリクスと実行計画を文書化します。ハッシュベースのルックアップにおける依存関係を特定します。影響を受けるアプリケーションコンポーネントをマッピングします。	アプリ開発者、DBA、データエンジニア
クエリを変更します。	必要に応じて、新しい PostgreSQL ハッシュ関数を使用するようにクエリを変更します。以下の操作を実行します。 PostgreSQL ハッシュ関数を使用するように既存のクエリをリファクタリングします。ストアドプロシージャと関数を更新します。新しいクエリパターンを実装してテストします。変更されたクエリをパフォーマンスのために最適化します。	アプリ開発者、DBA、データエンジニア

タスク	説明	必要なスキル
テストを実行します。	本番データのサブセットを使用して徹底的なテストを実行するには、以下を行います。データサブセットの検証用のテストプランを作成します。本番データの代表的なサンプルを抽出します。適切な構成でテスト環境をセットアップします。データ読み込みと変換のテストを実行します。ボリュームとストレスのテストを実行します。	アプリケーション開発者、データエンジニア、DBA
ハッシュ値が一致することを検証します。	SQL Server と PostgreSQL 間でハッシュ値が一致することを検証するには、以下を行います。ハッシュ値の比較スクリプトを作成します。ハッシュマッチングの検証レポートを作成します。自動検証手順を実装します。見つかった不一致をすべて文書化します。ハッシュの不一致を分析して解決します。	アプリケーション開発者、データエンジニア、DBA
アプリケーションの機能を検証します。	移行されたデータと新しいハッシュ実装を使用してアプリケーションの機能を検証するには、以下を行います。エンドツーエンドのアプリケーションテストを実行します。ハッシュ化されたデータを使用して、すべてのアプリケーション機能を検証します。新しい実装で、アプリケーションのパフォーマンスをテストします。 API 統合と依存関係を検証します。	アプリ開発者、DBA、データエンジニア

トラブルシューティング

問題	ソリューション
ハッシュ値が一致しません。	ソースとターゲット間の文字エンコードと照合順序を検証します。詳細については、「Manage collation changes in PostgreSQL on Amazon Aurora and Amazon RDS」(AWS ブログ) を参照してください。