Amazon Redshift は、パッチ 198 以降、新しい Python UDF の作成をサポートしなくなります。既存の Python UDF は、2026 年 6 月 30 日まで引き続き機能します。詳細については、[ブログ記事](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)を参照してください。
# Amazon Redshift フェデレーティッドアクセス許可 - end-to-end の例
以下は、Amazon Redshift フェデレーティッドアクセス許可を使用して包括的なデータガバナンスポリシーを作成および管理する方法を示すend-to-endの例です。これらのポリシーには、行レベルセキュリティ (RLS)、動的データマスキング (DDM)、列レベルのアクセス許可 (CLP) が含まれ、ユーザーロールと条件に基づいてデータアクセスを制御します。
この例を実行するには、`superuser` であるか、[sys:secadmin](https://docs.aws.amazon.com/redshift/latest/dg/r_roles-default.html) ロールを持っている必要があります。
## 前提条件
この例では、以下の「IAMR:role\_name」ロールがアカウント内に既に存在することを前提としています。存在しない場合は、作成してください。さらに、Redshift データウェアハウスは「catalog\_name」という名前で AWS Glue Data Catalog に登録されており、データベースは「db\_name」です。
## カタログインスタンスで、sys:secadmin ロールを対応する IAM ロールに付与する
```
-- Grant sys:secadmin role to relevant user (must be run on Redshift catalog instance)
GRANT ROLE sys:secadmin TO "IAMR:AccountSecurityAdminrole_name";
```
### 残りは Redshift コンピューティングウェアハウスで実行されます
IAM ユーザーまたは IdC ユーザーを使用している場合は、ローカルウェアハウスユーザーとグローバル ID マッピングを作成する次の 2 つのステップをスキップできます。
#### ステップ 1: ガバナンスポリシーをテストするために必要なローカルウェアハウスユーザーを作成する
```
-- Create test users.
CREATE USER alice WITH PASSWORD 'Alice_pass_1';
CREATE USER oscar WITH PASSWORD 'Oscar_pass_1';
CREATE USER sierra WITH PASSWORD 'Sierra_pass_1';
```
#### ステップ 2: グローバル ID IAM ロールマッピングを設定する
```
-- Map local users to IAM roles (executed by superuser).
-- Make user sierra a sys:secadmin by setting the global identity
-- to `IAMR:AccountSecurityAdmin`.
-- This role has been granted secadmin privilege on Redshift catalog instance.
ALTER USER sierra SET GLOBAL IDENTITY
IAM_ROLE 'arn:aws:iam::123456789012:role/AccountSecurityAdmin';
ALTER USER alice SET GLOBAL IDENTITY
IAM_ROLE 'arn:aws:iam::123456789012:role/Analyst';
ALTER USER oscar SET GLOBAL IDENTITY
IAM_ROLE 'arn:aws:iam::123456789012:role/Operator';
-- Verify global identity settings.
SET SESSION AUTHORIZATION sierra;
SHOW GLOBAL IDENTITY;
SET SESSION AUTHORIZATION alice;
SHOW GLOBAL IDENTITY;
SET SESSION AUTHORIZATION oscar;
SHOW GLOBAL IDENTITY;
-- Reset to default session.
RESET SESSION AUTHORIZATION;
```
## 環境をセットアップする
まず、テーブルを作成し、ガバナンスポリシーのサンプル顧客データとルックアップテーブルを入力します。
```
-- Create the main customer table.
CREATE TABLE db_name@catalog_name.public.customers (
id INTEGER,
name VARCHAR(50),
email VARCHAR(100),
region VARCHAR(20),
revenue DECIMAL(10,2)
);
-- Populate with sample customer data.
INSERT INTO db_name@catalog_name.public.customers VALUES
(1, 'John Smith', 'john@email.com', 'US', 1000.00),
(2, 'Jane Doe', 'jane@email.com', 'EU', 500.00),
(3, 'Mike Johnson', 'mike@email.com', 'US', 2000.00);
-- Grant basic table access.
GRANT ALL ON db_name@catalog_name.public.customers TO PUBLIC;
-- Create lookup table for region-based policies.
CREATE TABLE db_name@catalog_name.public.lookup_regions (
region_code VARCHAR(20),
allowed BOOLEAN
);
INSERT INTO db_name@catalog_name.public.lookup_regions VALUES
('US', TRUE),
('EU', FALSE),
('APAC', TRUE);
GRANT ALL ON db_name@catalog_name.public.lookup_regions TO PUBLIC;
-- Create lookup table for revenue-based masking.
CREATE TABLE db_name@catalog_name.public.lookup_revenue_tiers (base_revenue INTEGER);
INSERT INTO db_name@catalog_name.public.lookup_revenue_tiers VALUES (1000), (2000);
GRANT ALL ON db_name@catalog_name.public.lookup_revenue_tiers TO PUBLIC;
```
## 列レベルのアクセス許可 (CLP) の設定
さまざまなユーザーの列レベルのアクセスを設定して、ユーザーがアクセスできる列を制御します。
```
-- Grant specific column access to Analyst i.e. `alice`.
GRANT SELECT (id, region) ON db_name@catalog_name.public.customers
TO "IAMR:Analyst";
-- Grant different column access to Operator i.e. `oscar`.
GRANT SELECT (id, name, revenue) ON db_name@catalog_name.public.customers
TO "IAMR:operator";
```
## 行レベルセキュリティ (RLS) の作成
RLS ポリシーを作成して、ユーザーが許可とデータ条件に基づいて表示できる行を制御します。
```
-- Switch to admin user to create policies.
SET SESSION AUTHORIZATION sierra;
-- Create simple RLS policy: Analysts see only US customers.
CREATE RLS POLICY db_name@catalog_name.us_only
WITH (region VARCHAR(20))
USING (region = 'US');
-- Attach the policy to the Analyst i.e. `alice`.
ATTACH RLS POLICY db_name@catalog_name.us_only
ON db_name@catalog_name.public.customers
TO "IAMR:Analyst";
-- Enable row level security on the table.
ALTER TABLE db_name@catalog_name.public.customers ROW LEVEL SECURITY ON;
-- Create advanced RLS policy using lookup table.
CREATE RLS POLICY db_name@catalog_name.region_lookup_policy
WITH (region VARCHAR(20)) AS r
USING (r.region IN (
SELECT region_code
FROM public.lookup_regions
WHERE allowed = TRUE
));
-- Attach the lookup-based policy to Operator i.e. `oscar`.
ATTACH RLS POLICY db_name@catalog_name.region_lookup_policy
ON db_name@catalog_name.public.customers
TO "IAMR:Operator";
```
## 動的データマスキング (DDM) ポリシーの作成
マスキングポリシーを作成して、ユーザーのロールと条件に基づいて機密データを難読化します。
```
-- Create masking policy for PII data (names and emails).
CREATE MASKING POLICY db_name@catalog_name.mask_pii
WITH (DATA VARCHAR(100))
USING (SHA2(DATA + 'secret', 256)::TEXT);
-- Attach masking to name and email columns for all users.
ATTACH MASKING POLICY db_name@catalog_name.mask_pii
ON db_name@catalog_name.public.customers (name)
TO PUBLIC;
ATTACH MASKING POLICY db_name@catalog_name.mask_pii
ON db_name@catalog_name.public.customers (email)
TO PUBLIC;
-- Create conditional masking policy for revenue data.
CREATE MASKING POLICY db_name@catalog_name.conditional_mask
WITH (revenue DECIMAL(10,2))
USING (CASE WHEN revenue IN (SELECT base_revenue
FROM public.lookup_revenue_tiers)
THEN revenue ELSE 0.00 END);
-- Attach conditional masking to Analyst i.e. `alice` with priority.
ATTACH MASKING POLICY db_name@catalog_name.conditional_mask
ON db_name@catalog_name.public.customers (revenue)
TO "IAMR:Analyst"
PRIORITY 20;
```
## 利用可能/適用済みポリシーの監査
SHOW コマンドを使用して、ガバナンスポリシーが正しく設定されていることを確認します。
```
-- Show all RLS policies in the database.
SHOW RLS POLICIES FROM DATABASE db_name@catalog_name LIMIT 10;
-- Show RLS policies for specific users and tables.
SHOW RLS POLICIES ON db_name@catalog_name.public.customers FOR "IAMR:Analyst" LIMIT 10;
SHOW RLS POLICIES ON db_name@catalog_name.public.customers FOR "IAMR:Operator" LIMIT 10;
SHOW RLS POLICIES ON db_name@catalog_name.public.customers FOR PUBLIC LIMIT 10;
-- Show all masking policies in the database.
SHOW MASKING POLICIES FROM DATABASE db_name@catalog_name LIMIT 10;
-- Show Masking policies for specific users and tables.
SHOW MASKING POLICIES ON db_name@catalog_name.public.customers FOR "IAMR:Analyst" LIMIT 10;
SHOW MASKING POLICIES ON db_name@catalog_name.public.customers FOR "IAMR:Operator" LIMIT 10;
SHOW MASKING POLICIES ON db_name@catalog_name.public.customers FOR PUBLIC LIMIT 10;
```
## アクセスパターンのテスト
ロールと適用されたポリシーに基づいて、さまざまなユーザーがデータを表示する方法をテストします。
```
-- Test as analyst: Only US customers, only id/region columns,
-- conditional revenue masking.
SET SESSION AUTHORIZATION alice;
SELECT id, region FROM db_name@catalog_name.public.customers ORDER BY id;
SELECT id, region, revenue FROM db_name@catalog_name.public.customers ORDER BY id;
-- Test as operator: Allowed regions only, masked names, specific columns.
SET SESSION AUTHORIZATION oscar;
SELECT id, name, revenue FROM db_name@catalog_name.public.customers ORDER BY id;
SELECT id, name, region FROM db_name@catalog_name.public.customers ORDER BY id;
-- Test as admin: Full access to all data.
SET SESSION AUTHORIZATION sierra;
SELECT * FROM db_name@catalog_name.public.customers ORDER BY id;
```
## ポリシーの変更
既存のポリシーを変更して、ポリシーを再作成せずに動作を変更します。
```
-- Switch back to admin user.
SET SESSION AUTHORIZATION sierra;
-- Alter the PII masking policy to use simple string replacement.
ALTER MASKING POLICY db_name@catalog_name.mask_pii
USING ('***MASKED***'::TEXT);
-- Alter the conditional masking policy to use different threshold.
ALTER MASKING POLICY db_name@catalog_name.conditional_mask
USING (CASE WHEN revenue >= 500.00 THEN revenue ELSE -1.00 END);
-- Alter the RLS policy to show only disallowed regions.
ALTER RLS POLICY db_name@catalog_name.region_lookup_policy
USING (r.region IN (
SELECT region_code
FROM db_name@catalog_name.public.lookup_regions
WHERE allowed = FALSE
));
```
## ポリシーのデタッチと削除
不要になったポリシーを削除します。
```
-- Detach RLS policies from users.
DETACH RLS POLICY db_name@catalog_name.us_only
ON db_name@catalog_name.public.customers
FROM "IAMR:Analyst";
DETACH RLS POLICY db_name@catalog_name.region_lookup_policy
ON db_name@catalog_name.public.customers
FROM "IAMR:Operator";
-- Detach masking policies.
DETACH MASKING POLICY db_name@catalog_name.mask_pii
ON db_name@catalog_name.public.customers (name)
FROM PUBLIC;
DETACH MASKING POLICY db_name@catalog_name.mask_pii
ON db_name@catalog_name.public.customers (email)
FROM PUBLIC;
DETACH MASKING POLICY db_name@catalog_name.conditional_mask
ON db_name@catalog_name.public.customers (revenue)
FROM "IAMR:Analyst";
```
## クリーンアップ: RLS をオフにしてポリシーを削除する
```
-- Turn off Row-level security.
ALTER TABLE db_name@catalog_name.public.customers ROW LEVEL SECURITY OFF;
-- Drop policies.
DROP RLS POLICY db_name@catalog_name.us_only CASCADE;
DROP RLS POLICY db_name@catalog_name.region_lookup_policy CASCADE;
DROP MASKING POLICY db_name@catalog_name.mask_pii CASCADE;
DROP MASKING POLICY db_name@catalog_name.conditional_mask CASCADE;
-- Drop tables.
DROP TABLE db_name@catalog_name.public.customers;
DROP TABLE db_name@catalog_name.public.lookup_regions;
DROP TABLE db_name@catalog_name.public.lookup_revenue_tiers;
```
## グローバル ID をリセットする
```
-- TO rest the global identity.
ALTER USER alice RESET GLOBAL IDENTITY;
ALTER USER oscar RESET GLOBAL IDENTITY;
ALTER USER sierra RESET GLOBAL IDENTITY;
```