オンボーディング - Amazon Redshift
Redshift クラスター登録Redshift Serverless 名前空間の登録AWS IAM アイデンティティセンター ID 伝播を有効にするユーザーセットのグローバル ID の変更

Amazon Redshift は、パッチ 198 以降、新しい Python UDF の作成をサポートしなくなります。既存の Python UDF は、2026 年 6 月 30 日まで引き続き機能します。詳細については、ブログ記事を参照してください。

オンボーディング

Redshift クラスター登録

Redshift は、新しいクラスターの作成、または AWS Glue Data Catalog (GDC) 登録によるスナップショットからのクラスターの復元をサポートしています。この登録の GDC カタログ名部分を指定できます。IdC ID の伝播をサポートするには、Lakehouse タイプの Redshift IdC アプリケーション ARN を指定して、IdC ID の伝播を有効にします。

Glue データカタログ登録を使用して新しいクラスターを作成する

CLI

新しく作成したクラスターを Data Catalog に自動的に登録するには、Data Catalog の作成と登録に使用される catalog-name を指定します。redshift-idc-application-arn パラメータはオプションです。クラスターを Lakehouse タイプの Redshift IdC アプリケーションにリンクする場合は含めます。この IdC アプリケーションの関連付けは、後で確立することもできます。

aws redshift create-cluster \
    --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. AWS マネジメントコンソール にサインインして、https://console.aws.amazon.com/redshiftv2/ で Amazon Redshift コンソールを開きます。

  2. プロビジョニングされたクラスターダッシュボードに移動し、[クラスターを作成] を選択します。

  3. 一般的なクラスター設定を構成します。

  4. [AWS Glue Data Catalog に登録する] セクションで、[Amazon Redshift federated permissions に登録する] を選択します。

    • カタログ名識別子を入力します。

    • (推奨) AWS IAM アイデンティティセンター を使用して Amazon Redshift フェデレーティッドアクセス許可を選択し、Redshift IdC アプリケーションに関連付けます。

  5. 残りのクラスター設定を完了し、[クラスターを作成] を選択します。

AWS Glue Data Catalog 登録を使用して新しいクラスターを復元する

CLI

AWS Glue Data Catalog 統合を使用してスナップショットを新しいクラスターに復元するには、AWS Glue カタログの作成と登録に使用する catalog-name を指定します。redshift-idc-application-arn パラメータはオプションです。クラスターを Lakehouse タイプの Redshift IdC アプリケーションにリンクする場合は含めます。この IdC アプリケーションの関連付けは、後で確立することもできます。

aws redshift restore-from-cluster-snapshot \
   --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --snapshot-identifier 'redshift-cluster-snapshot' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. AWS マネジメントコンソール にサインインして、https://console.aws.amazon.com/redshiftv2/ で Amazon Redshift コンソールを開きます。

  2. プロビジョニングされたスナップショットページに移動します。スナップショットテーブルから、[スナップショットの復元] ドロップダウンメニューから [プロビジョニングされたクラスターへの復元] を選択します。

  3. 一般的なクラスター設定を構成します。

  4. [AWS Glue Data Catalog に登録する] セクションで、[Amazon Redshift federated permissions に登録する] を選択します。

    • カタログ名識別子を入力します。

    • (推奨) AWS IAM アイデンティティセンター を使用して Amazon Redshift フェデレーティッドアクセス許可を選択し、Redshift IdC アプリケーションに関連付けます。

  5. 残りのクラスター設定を完了し、[クラスターを作成] を選択します。

AWS Glue Data Catalog 登録を使用して既存のクラスターを変更する

Redshift クラスターが既に Lakehouse タイプではない Redshift IdC アプリケーションに関連付けられている場合、AWS Glue Data Catalog の登録中に以下が発生します。

  • Redshift IdC アプリケーション ARN が指定されていない場合、カタログ内の既存の Redshift IdC アプリケーションは無効ステータスに設定されます。

  • 異なる AWS IAM アイデンティティセンター インスタンスの Lakehouse タイプの Redshift IdC アプリケーションを指定すると、現在の IdC プロバイダーは無効になります。

  • 同じ AWS IAM アイデンティティセンター インスタンスから Lakehouse タイプの Redshift IdC アプリケーションが提供される場合

    • カタログ内の Redshift IdC アプリケーション ARN は、Lakehouse タイプの Redshift IdC アプリケーションの ARN に変更されます。更新されたカタログは、svv_identity_providers をクエリすることで確認できます。svv_identity_providers の詳細については、「svv_identity_providers」を参照してください。

    • 以前に Redshift クラスターにアクセスしていた AWS IAM アイデンティティセンター フェデレーションユーザーには、クラスターにアクセスするために管理者から CONNECT 権限が明示的に付与されている必要があります。CONNECT 権限の付与の詳細については、「Connect 権限」を参照してください。

    • AWS Glue Data Catalog に登録した後、既存の AWS IAM アイデンティティセンター フェデレーション ID とその所有リソースは変更されません。これらのフェデレーション ID の名前空間の関連付けも保持されます。

CLI

modify-lakehouse-configuration コマンドを使用してクラスターを AWS Glue Data Catalog に登録できます。catalog-name は AWS Glue カタログの作成と登録に使用されます。IdC ID の伝播をサポートするには、Lakehouse タイプの RedshiftIdcApplication の ARN を指定します。これには、Lakehouse タイプの Redshift IdC アプリケーションが必要です。「新しい Lakehouse タイプの Redshift IdC アプリケーションを作成する: フェデレーティッドアクセス許可付き Redshift ウェアハウス用アイデンティティセンターアプリケーション構成」を参照してください。

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. AWS マネジメントコンソール にサインインして、https://console.aws.amazon.com/redshiftv2/ で Amazon Redshift コンソールを開きます。

  2. 登録対象のプロビジョニングされたクラスターに移動し、選択します。

  3. クラスターの詳細ページで、[アクション] ドロップダウンメニューから [AWS Glue Data Catalog に登録] を選択します。

  4. [Amazon Redshift のフェデレーテッドアクセス許可に登録] オプションを選択し、

    • カタログ名識別子を入力します。

    • (推奨) AWS IAM アイデンティティセンター を使用して Amazon Redshift フェデレーティッドアクセス許可を選択し、Redshift IdC アプリケーションに関連付けて、[登録] を選択します。

Redshift Serverless 名前空間の登録

Redshift Serverless では、ワークグループにアタッチされた Serverless 名前空間を AWS Glue Data Catalog に登録できます。この更新中にデータベースが再起動することに注意してください。

Redshift Serverless 名前空間が、レイクハウス以外のタイプの Redshift IdC アプリケーションに既に関連付けられている場合、Glue データカタログの登録中に以下が発生します。

  • Redshift IdC アプリケーション ARN が指定されていない場合、カタログ内の既存の Redshift IdC アプリケーションは無効ステータスに設定されます。

  • 異なる AWS IAM アイデンティティセンター インスタンスの Lakehouse タイプの Redshift IdC アプリケーションを指定すると、現在の IdC プロバイダーは無効になります。

  • 同じ AWS IAM アイデンティティセンター インスタンスから Lakehouse タイプの Redshift IdC アプリケーションが提供される場合

    • カタログ内の Redshift IdC アプリケーション ARN は、Lakehouse タイプの Redshift IdC アプリケーションの ARN に変更されます。更新されたカタログは、svv_identity_providers をクエリすることで確認できます。svv_identity_providers の詳細については、「svv_identity_providers」を参照してください。

    • 以前に Redshift クラスターにアクセスしていた AWS IAM アイデンティティセンター フェデレーションユーザーには、クラスターにアクセスするために管理者から CONNECT 権限が明示的に付与されている必要があります。CONNECT 権限の付与の詳細については、「Connect 権限」を参照してください。

    • AWS Glue Data Catalog に登録した後、既存の AWS IAM アイデンティティセンター フェデレーション ID とその所有リソースは変更されません。これらのフェデレーション ID の名前空間の関連付けも保持されます。

CLI

update-lakehouse-configuration コマンドを使用して Redshift Serverless 名前空間を AWS Glue Data Catalog に登録できます。catalog-name はグルーカタログの作成と登録に使用されます。IdC ID の伝播をサポートするには、Lakehouse タイプの Redshift Idc アプリケーションの ARN を指定します。

aws redshift-serverless update-lakehouse-configuration \
    --namespace-name 'serverless-namespace-name' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17'
Console

  1. AWS マネジメントコンソール にサインインして、https://console.aws.amazon.com/redshiftv2/ で Amazon Redshift コンソールを開きます。

  2. 登録対象のプロビジョニングされたクラスターに移動し、選択します。

  3. クラスターの詳細ページで、[アクション] ドロップダウンメニューから [AWS Glue Data Catalog に登録] を選択します。

  4. [Amazon Redshift のフェデレーテッドアクセス許可に登録] オプションを選択し、

    • カタログ名識別子を入力します。

    • (推奨) AWS IAM アイデンティティセンター を使用して Amazon Redshift フェデレーティッドアクセス許可を選択し、Redshift IdC アプリケーションに関連付けて、[登録] を選択します。

AWS IAM アイデンティティセンター ID 伝播を有効にする

Amazon Redshift は、アイデンティティセンター (IdC) ID の伝播をサポートし、Redshift インスタンスと AWS Lake Formation/AWS Glue サービス間で IdC ユーザー ID をシームレスに渡します。

前提条件

Redshift クラスターまたは Redshift Serverless 名前空間が Lakehouse 以外のタイプの Redshift IdC アプリケーションに既に関連付けられている場合、AWS Glue Data Catalog の登録中に以下が発生します。

  • Redshift IdC アプリケーション ARN が指定されていない場合、カタログ内の既存の Redshift IdC アプリケーションは無効ステータスに設定されます。

  • 異なる AWS IAM アイデンティティセンター インスタンスの Lakehouse タイプの Redshift IdC アプリケーションを指定すると、現在の IdC プロバイダーは無効になります。

  • 同じ AWS IAM アイデンティティセンター インスタンスから Lakehouse タイプの Redshift IdC アプリケーションが提供される場合

    • カタログ内の Redshift IdC アプリケーション ARN は、Lakehouse タイプの Redshift IdC アプリケーションの ARN に変更されます。更新されたカタログは、svv_identity_providers をクエリすることで確認できます。svv_identity_providers の詳細については、「svv_identity_providers」を参照してください。

    • 以前に Redshift クラスターにアクセスしていた AWS IAM アイデンティティセンター フェデレーションユーザーには、クラスターにアクセスするために管理者から CONNECT 権限が明示的に付与されている必要があります。CONNECT 権限の付与の詳細については、「Connect 権限」を参照してください。

    • AWS Glue Data Catalog に登録した後、既存の AWS IAM アイデンティティセンター フェデレーション ID とその所有リソースは変更されません。これらのフェデレーション ID の名前空間の関連付けも保持されます。

Amazon Redshift でプロビジョニングされたクラスターの AWS IAM アイデンティティセンター ID 伝播を有効にする

名前空間を AWS Glue Data Catalog に登録した Amazon Redshift プロビジョニングされたクラスターの場合、Lakehouse Amazon Redshift IdC アプリケーションが必要です。これは、アプリケーションへの AWS IAM アイデンティティセンター ID ユーザーの割り当てを明示的に必要とせず、IdC ユーザーのログイン権限は Redshift ウェアハウスの CONNECT 権限によって管理されます。

CLI

modify-lakehouse-configuration コマンドを使用して、Redshift フェデレーティッドアクセス許可を持つクラスターの IdC ID 伝播を有効にし、Lakehouse タイプの RedshiftIdcApplication の ARN を指定できます。これには、Redshift Lakehouse IdC アプリケーションが必要です。「新しい Lakehouse タイプの Redshift IdC アプリケーションを作成する: フェデレーティッドアクセス許可付き Redshift ウェアハウス用アイデンティティセンターアプリケーション構成」を参照してください。

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. AWS マネジメントコンソール にサインインして、https://console.aws.amazon.com/redshiftv2/ で Amazon Redshift コンソールを開きます。

  2. 登録対象のプロビジョニングされたクラスターに移動し、選択します。

  3. クラスターの詳細ページで、[アクション] ドロップダウンメニューから [AWS Glue Data Catalog に登録] を選択します。

  4. AWS IAM アイデンティティセンター ドロップダウンを使用して Amazon Redshift フェデレーティッドアクセス許可から [有効化] を選択して IdC アプリケーションを関連付け、[変更の保存] を選択します。

Amazon Redshift Serverless 名前空間の AWS IAM アイデンティティセンター ID 伝播を有効にする

CLI

modify-lakehouse-configuration コマンドを使用して、Redshift フェデレーティッドアクセス許可を持つ名前空間の IdC ID 伝播を有効にし、Lakehouse タイプの RedshiftIdcApplication の ARN を指定できます。これには、Redshift Lakehouse IdC アプリケーションが必要です。「新しい Lakehouse タイプの Redshift IdC アプリケーションを作成する: フェデレーティッドアクセス許可付き Redshift ウェアハウス用アイデンティティセンターアプリケーション構成」を参照してください。

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. AWS マネジメントコンソール にサインインして、https://console.aws.amazon.com/redshiftv2/ で Amazon Redshift コンソールを開きます。

  2. 登録を編集するサーバーレス名前空間に移動し、選択します。

  3. クラスターの詳細ページで、[アクション] ドロップダウンメニューから [AWS Glue Data Catalog の登録を編集] を選択します。

  4. AWS IAM アイデンティティセンター ドロップダウンを使用して Amazon Redshift フェデレーティッドアクセス許可から [有効化] を選択して IdC アプリケーションを関連付け、[変更の保存] を選択します。

ユーザーセットのグローバル ID の変更

IAM と AWS IAM アイデンティティセンター 認証情報に加えて、フェデレーティッドアクセス許可を持つ Redshift ウェアハウスに対してクエリを実行するユーザーは、IAM ロールを使用して認証できます。スーパーユーザーは、セッションの確立時に別の非フェデレーションユーザーが自動的に関連付けられるように IAM ロールを設定できます。この IAM ロールは、フェデレーティッドアクセス許可を持つ Redshift ウェアハウスに対してクエリを実行するときに引き受けられます。この機能は、IdC AWS ユーザーが非インタラクティブに認証できるように提供されています。

この機能は、次のユースケースに役立ちます:

  • グローバル ID を持つユーザーに加えて、既存のローカルウェアハウスユーザーで大規模で複雑なセットアップを行うお客様。

  • IdC を使用しているが、ログインのインタラクティブなブラウザアクションなしで自動的にログインできるようにしたいお客様。

要件と制限:

  • ALTER USER によって IAM ロールを設定できるのはスーパーユーザーのみです。

  • IAM ロールはクラスターにアタッチする必要があります。

  • IAM ロールには、フェデレーティッドアクセス許可を持つ Redshift ウェアハウスでクエリを実行するために必要なリソースにアクセスするためのアクセス許可が必要です。AmazonRedshiftFederatedAuthorization AWS マネージドポリシーを使用することをお勧めします。

  • GLOBAL IDENTITY IAM ロールを介して認証するユーザーは、フェデレーティッドアクセス許可を使用して Redshift ウェアハウスのビューをクエリできますが、ビューの作成、変更、更新、削除はできません。

構文

次の構文では、非フェデレーティッドデータベースユーザーがフェデレーティッドアクセス許可を持つ Redshift ウェアハウスに対してクエリを実行するための IAM ロールを設定するために使用される ALTER USER SET GLOBAL IDENTITY コマンドを記述しています。

ALTER USER username SET
GLOBAL IDENTITY IAM_ROLE 'arn:aws:iam::<AWS-account-id>:role/<role-name>'

(ユーザー名として直接接続するか、SET SESSION AUTHORIZATION を使用して) ターゲットユーザーとして認証されたとき、次のコマンドを使用してグローバル ID ロールを確認できます。

SHOW GLOBAL IDENTITY

グローバル ID ロールは、セッション確立時にユーザーに関連付けられることに注意してください。現在ログインしているユーザーのグローバル ID を設定した場合、そのユーザーはグローバル ID を有効にするために再接続する必要があります。

次のコマンドを使用して、関連付けられた IAM ロールを削除できます。

ALTER USER username RESET GLOBAL IDENTITY

パラメータ

username

ユーザーの名前。IAM ユーザーや AWS IdC ユーザーなどのフェデレーションユーザーにはできません。

IAM_ROLE 'arn:aws:iam::<account-id>:role/<role-name>'

username ユーザーがフェデレーティッドアクセス許可を持つ Redshift ウェアハウスでクエリを実行するときに、クラスターが認証と認可に使用する IAM ロールに Amazon リソースネーム (ARN) を使用します。このロールには、クエリを実行するために必要なアクセス許可が必要です。AmazonRedshiftFederatedAuthorization AWS マネージドポリシーを使用することをお勧めします。