Amazon Redshift フェデレーティッドアクセス許可 - Amazon Redshift
主要なコンセプト利点ユースケース

Amazon Redshift は、パッチ 198 以降、新しい Python UDF の作成をサポートしなくなります。既存の Python UDF は、2026 年 6 月 30 日まで引き続き機能します。詳細については、ブログ記事を参照してください。

Amazon Redshift フェデレーティッドアクセス許可

Amazon Redshift フェデレーティッドアクセス許可は、データアクセス許可を一度定義し、AWS アカウントのすべてのウェアハウスに自動的に適用できるようにすることで、複数の Redshift データウェアハウスのアクセス許可管理を簡素化します。これにより、複数のウェアハウスでアクセス許可ときめ細かなアクセスコントロールポリシーを再定義、管理する必要がなくなります。

Redshift ウェアハウス名前空間/クラスターを AWS Glue Data Catalog に登録すると、登録されたウェアハウス名前空間/クラスターのすべてのデータベースがすべてのウェアハウスに自動的にマウントされるため、手動設定なしでシームレスなデータ検出が可能になります。

データベースオブジェクトに対するアクセス許可は、使い慣れた Redshift SQL コマンドを使用して定義し、AWS Identity and Access Management (IAM) または AWS IAM アイデンティティセンター を使用してグローバル ID を指定します。これらのアクセス許可はウェアハウスデータと共に保存され、どのウェアハウスがクエリを実行しても一貫して適用されます。

主要なコンセプト

  • フェデレーティッドアクセス許可を持つ Redshift ウェアハウス: データカタログに登録され、データと Redshift アクセス許可が保存されているプロデューサーウェアハウス。

  • 使用する Redshift ウェアハウス: リモートウェアハウスからデータをクエリする任意のウェアハウス。使用するウェアハウスは、オプションで Redshift フェデレーティッドアクセス許可に対して有効にできます。

  • グローバル ID: IAM および IAM アイデンティティセンターは、Redshift フェデレーティッドアクセス許可が有効になっているすべてのウェアハウスでグローバル ID を提供します。ユーザーは既存の ID プロバイダーを通じて 1 回認証され、どのウェアハウスに接続しているかに関係なく、グローバル ID に基づいて一貫したアクセスが得られます。

  • 自動マウント: Redshift フェデレーティッドアクセス許可が有効になっているすべてのウェアハウスは、お使いのアカウントのすべてのウェアハウスに自動的に表示されます。この自動マウント機能により、クロスウェアハウス分析のためのカタログとデータベースの検出が可能になります。

  • ID 伝播: クロスウェアハウスクエリを実行すると、Redshift はグローバル ID (IAM ロールまたは IAM アイデンティティセンター ユーザー) をリモートウェアハウスに伝播します。

  • ウェアハウス間の認可: リモートウェアハウスで Redshift フェデレーティッドアクセス許可が有効化されると、ウェアハウス間クエリのアクセス許可が有効になり、使用するウェアハウスに適用されます。

  • きめ細かなアクセスコントロール: ウェアハウス間で適用できる行レベルセキュリティ (RLS)、列レベルポリシー (CLP)、動的データマスキング (DDM) のポリシー。

利点

管理の簡素化

  • ウェアハウスでアクセス許可を定義するのは 1 回でよい

  • 使用するすべてのウェアハウスに同じアクセス許可を自動的に適用する

  • 複数のウェアハウスでアクセス許可ときめ細かなアクセスコントロールポリシーを再定義、管理する必要がなくなる

  • 管理オーバーヘッドと設定エラーの可能性を減らす

セキュリティとコンプライアンスを高める

  • すべてのウェアハウスで一貫したセキュリティポリシーが適用される

  • テーブルレベルと列レベルできめ細かなアクセスコントロールを実装

  • 任意のウェアハウスからの監査アクセス許可

  • 追加の SHOW コマンドによるコンプライアンスツールの強化

ユーザーエクスペリエンスの向上

  • 一度登録すれば、データ共有を手動で作成する必要はない

  • すべてのウェアハウスでのシングルサインオンと、グローバル ID に基づく一貫したアクセス

  • 手動カタログ設定を使用しないシームレスな名前空間検出

  • 各ウェアハウスで個別のローカルユーザーアカウントを管理する必要がない

水平スケーラビリティ

  • ガバナンスの複雑さを増すことなく新しいウェアハウスを追加する

  • 新しい使用するウェアハウスにアクセス許可ポリシーが自動的に適用される

  • アナリストは、登録されたウェアハウスのすべてのデータベースをすぐに確認できる

ユースケース

統合ガバナンスによるワークロードの分離

すべてのウェアハウスで一貫したセキュリティポリシーを維持しながら、ワークロード (ETL、分析、レポート) ごとにコンピューティングリソースを分離する。

マルチチームデータアクセス

複数のチームが、適切なアクセスコントロールが自動的に適用された自分のウェアハウスから、共有データにアクセスできるようにする。

データメッシュアーキテクチャ

複数の独立したコンピューティングリソースが、統合ガバナンスのもとで共有データに対して動作するデータメッシュアプローチを実装する。

コスト最適化

一元化されたアクセス許可管理を維持しながら、さまざまなユースケースに合わせてコンピューティングリソースを個別にスケーリングする。