この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
データアナリティクス事業本部のコンサルティングチームの石川です。現在開催中のAWS re:Invent 2022ですが、Amazon Redshift data sharing がAWS Lake Formation による集中アクセス制御をサポートしました。
Lake Formation による集中アクセス制御とは
Redshift data sharing によって、Redshift データウェアハウス全体でライブデータを効率的に共有できます。Lake Formation を用いることで、Redshift から共有されたデータのガバナンスを簡素化し、すべてのdata sharingをコンシューマー間で詳細なアクセスを一元管理できるようになりました。
Lake FormationをRedshift data sharingのアクセス管理には、Lake Formation API と AWS コンソールを使用します。Redshift data shaingのテーブルとビューに対するアクセス許可を表示、変更、および監査し、Redshift data shaingを検出して使用できます。
Lake Formation の Managed data shaingの特長
Lake Formation マネージドデータ共有を使用すると、組織内のアカウント内およびアカウント間で共有されるデータの可視性と制御が向上します。セキュリティ管理者が Lake Formation を使用して、Redshift data shaingおよび Redshift 外部テーブルで共有されているテーブルへのテーブルレベル、列レベル、または行レベルのアクセスなどの詳細な権限を管理できるようにすることで、データのセキュリティを向上させます。Lake Formation が管理するdata shaingを使用すると、ポリシーを一度定義すれば、それらを複数のコンシューマーに一貫して適用できます。
リージョン
以下のAWS リージョンでプレビューとして利用できます。
- バージニア北部リージョン(us-east-1)
- オハイオリージョン(us-east-2)
- オレゴンリージョン(us-west-2)
- アイルランドリージョン(eu-west-1)
- ヨーロッパ (eu-north-1)
- 東京リージョン(ap-northeast-1)
最後に
Lake Formation を使用して、Amazon Redshift から共有されたデータのガバナンスを簡素化し、すべてのdata sharingのコンシューマー間で詳細なアクセスを一元管理できるようになりました、、、って、解説を読んでもピンとこないかもしれませんので私なりに補足します。
通常は、Redshift 間でdata sharingを相互に設定するため、Redshift 間のメッシュ構成になります。一方、今回のLake Formationを用いる場合は、Lake FormationがHubとなり集中的にアクセス制御することで、Redshift 間をHub&Spork構成で実現することができます。
従来、Redshift の data sharingでHub&Spork構成にするには、1つのプロデューサクラスタ(親クラスタ)と複数のコンシューマクラスタ(子クラスタ)の関係を構築することで実現していました。これが、Lake Formation による集中アクセス制御を用いることで、シンプルにガバナンスを効かせることができるようになります。しかしながら、クラスタの乱立は管理上望ましともいえないため、個人的には、クラスター数や規模に応じて導入の可否を判断することが良いと考えています。
0
