Amazon Redshift でプロビジョニングされたクラスターの概要 - Amazon Redshift

Amazon Redshift でプロビジョニングされたクラスターの概要

Amazon Redshift サービスは、データウェアハウスを設定、操作、および拡張するためのすべての作業を管理します。これらのタスクには、クラスターの容量のプロビジョニング、モニタリング、およびバックアップのほか、Amazon Redshift エンジンへのパッチおよびアップグレードの適用が含まれます。

次の動画は、Amazon Redshift クエリエディタ v2 を使用してクラスターを作成する方法とデータをクエリする方法を説明しています。

クラスターの管理

Amazon Redshift クラスターは、リーダーノードと 1 つ以上のコンピューティングノードから構成される一連のノードです。必要になるコンピューティングノードのタイプと数は、データのサイズ、実行するクエリの数、必要とされるクエリランタイムパフォーマンスに応じて異なります。

クラスターの作成と管理

データウェアハウスのニーズに応じて、小規模な単一ノードのクラスターから始め、要件が変わったら、より規模の大きい複数ノードのクラスターに簡単に拡張できます。サービスを中断することなく、コンピューティングノードをクラスターに追加または削除できます。詳細については、「Amazon Redshift クラスター」を参照してください。

コンピューティングノードの予約

クラスターを 1 年以上連続して実行する場合、1 年間または 3 年間コンピューティングノードを予約することでお金を節約できます。コンピューティングノードを予約すれば、要求に応じてコンピューティングノードをプロビジョニングするときに時間単位で支払う場合に比べて大幅な節約になります。詳細については、「Amazon Redshift リザーブドノードの購入」を参照してください。

クラスタースナップショットの作成

スナップショットはクラスターのポイントインタイムバックアップです。スナップショットには、自動と手動の 2 つのタイプがあります。Amazon Redshift は、暗号化された Secure Sockets Layer (SSL) 接続を使用して、これらのスナップショットを Amazon Simple Storage Service (Amazon S3) の内部に保存できます。スナップショットから復元する場合は、Amazon Redshift で新しいクラスターを作成し、指定したスナップショットからデータをインポートします。スナップショットの詳細については、「Amazon Redshift スナップショットとバックアップ」を参照してください

クラスターのアクセスとセキュリティ

Amazon Redshift には、クラスターのアクセスとセキュリティに関連する複数の機能があります。これらの機能は、クラスターへのアクセスのコントロール、接続ルールの定義、データおよび接続の暗号化に役立ちます。これらの機能は、Amazon Redshift のデータベースアクセスおよびセキュリティに関連する機能に追加されています。データベースセキュリティの詳細については、Amazon Redshift データベースデベロッパーガイドデータベースセキュリティの管理を参照してください。

AWS アカウントと IAM 認証情報

デフォルトでは Amazon Redshift クラスターは、クラスターを作成する AWS アカウントにのみアクセスできます。クラスターは誰もアクセスできないようにロックされています。AWS アカウント内では、AWS Identity and Access Management (IAM) サービスを使用してユーザーアカウントを作成し、それらのアカウントがクラスター操作を制御するためのアクセス許可を管理します。詳細については、「Amazon Redshift のセキュリティ」を参照してください。IAM ロールのガイダンスやベストプラクティスを含む、IAM ID の管理の詳細については、「Amazon Redshift での Identity and Access Management」を参照してください。

セキュリティグループ

デフォルトでは、作成したクラスターはすべてのユーザーに対して閉じられます。IAM 認証情報は、Amazon Redshift API 関連リソース (Amazon Redshift コンソール、コマンドラインインターフェイス (CLI)、API および SDK へのアクセスのみコントロールします。JDBC または ODBC 経由で SQL クライアントツールからクラスターへのアクセスを有効にするには、セキュリティグループを使用します。

  • Amazon Redshift クラスターに EC2-VPC プラットフォームを使用している場合、VPC セキュリティグループを使用する必要があります。クラスターは EC2-VPC プラットフォームで起動することをお勧めします。

    クラスターを EC2-Classic で起動した後に VPC に移行することはできません。ただし、Amazon Redshift コンソールを使用して EC2-Classic スナップショットを EC2-VPC クラスターに復元できます。詳細については、「スナップショットからのクラスターの復元」を参照してください。

  • Amazon Redshift クラスターに EC2-Classic プラットフォームを使用している場合、Amazon Redshift セキュリティグループを使用する必要があります。

いずれの場合でも、CIDR/IP アドレスの特定の範囲に明示的なインバウンドアクセスを付与するためにセキュリティグループにルールを追加するか、SQL クライアントが Amazon EC2 インスタンスで実行されている場合には、Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループにルールを追加します。詳細については、「Amazon Redshift クラスターセキュリティグループ」を参照してください。

インバウンドアクセスルールに加えて、クラスター内でデータベース認証を行うための認証情報を提供するために、データベースのユーザーを作成します。詳細については、このトピックの「データベース」を参照してください。

暗号化

クラスターをプロビジョニングする際には、オプションで、セキュリティ強化のためにクラスター暗号化オプションを選択できます。暗号化を有効にすると、Amazon Redshift は、暗号化されたフォーマットでユーザーが作成したテーブルにすべてのデータを保存します。AWS Key Management Service (AWS KMS) を使用して、Amazon Redshift の暗号化キーを管理できます。

暗号化は、クラスターの変更不可能なプロパティです。暗号化されたクラスターから、暗号化されていないクラスターに切り替える唯一の方法は、データをアンロードして新しいクラスターに再ロードすることです。暗号化は、クラスターとすべてのバックアップに適用されます。暗号化されたスナップショットからクラスターを復元すると、新しいクラスターも暗号化されます。

暗号化、キー、およびハードウェアセキュリティモジュールに関する詳細については、「Amazon Redshift データベース暗号化」を参照してください。

SSL 接続

SQL クライアントとクラスター間の接続を暗号化するには、Secure Sockets Layer (SSL) 暗号化を使用できます。詳細については、「接続のセキュリティオプションを設定する」を参照してください。

クラスターのモニタリング

Amazon Redshift でのモニタリングに関連するさまざまな機能があります。データベース監査ログ記録を使って、アクティビティログを生成して、イベントと通知サブスクリプションの設定を行い、関心のある情報をトラッキングすることができます。Amazon Redshift と Amazon CloudWatch でメトリクスを使用し、クラスターとデータベースのヘルスとパフォーマンスを把握する方法について説明します。

データベース監査ログ作成

認証の試み、接続、切断、データベースユーザー定義の変更、データベースで実行されるクエリに関する情報を追跡するために、データベース監査ログ作成機能を使用できます。この情報は、Amazon Redshift 内でセキュリティおよびトラブルシューティングの目的で役立ちます。このログは Amazon S3 バケットに格納されます。詳細については、「データベース監査ログ作成」を参照してください。

イベントと通知

Amazon Redshift ではイベントが追跡され、AWS アカウントでは数週間、そのイベントに関する情報が保持されます。Amazon Redshift はイベントごとに、イベントが発生した日付、説明、イベントのソース (クラスター、パラメータグループ、またはスナップショット)、ソース ID などの情報を報告します。一連のイベントフィルターを指定する、Amazon Redshift イベント通知サブスクリプションを作成できます。フィルター条件に一致するイベントが発生すると、Amazon Redshift は Amazon Simple Notification Service を使用して、イベントが発生したことを通知します。イベントのタイプと通知の詳細については、「Amazon Redshift のイベント」を参照してください。

パフォーマンス

Amazon Redshift では、クラスターとデータベースの状態やパフォーマンスを追跡できるようにするため、パフォーマンスメトリクスとデータが提供されます。Amazon Redshift は、Amazon CloudWatch メトリクスを使用して、CPU 使用率、レイテンシー、スループットなど、クラスターの物理的な側面をモニタリングするのに役立ちます。Amazon Redshift は、クラスター内のデータベースアクティビティを監視するのに役立つクエリおよびロードパフォーマンスデータも提供します。パフォーマンスメトリクスとモニタリングの詳細については、「Amazon Redshift クラスターパフォーマンスのモニタリング」を参照してください。

データベース

Amazon Redshift は、クラスターをプロビジョニングするときにデータベースを 1 つ作成します。これは、データをロードし、データのクエリを実行するために使用するデータベースです。必要に応じて SQL コマンドを実行することで、追加のデータベースを作成できます。追加のデータベースの作成の詳細については、Amazon Redshift データベースデベロッパーガイドの「ステップ 1: データベースを作成する」を参照してください。

クラスターをプロビジョニングする際に、クラスター内に作成されるすべてデータベースにアクセスが可能な管理者ユーザーを指定します。この管理者ユーザーは、最初にデータベースにアクセスできる唯一のユーザーであるスーパーユーザーです。ただし、このユーザーは追加のスーパーユーザーとユーザーを作成できます。詳細については、Amazon Redshift データベースデベロッパーガイドの「スーパーユーザー」と「ユーザー」を参照してください。

Amazon Redshift はパラメータグループを使用して、日付のプレゼンテーションスタイルや小数点の精度など、クラスター内のすべてのデータベースの動作を定義します。クラスターをプロビジョニングする際にパラメータグループを指定しない場合、Amazon Redshift は、デフォルトのパラメータグループをクラスターに関連付けます。詳細については、「Amazon Redshift パラメータグループを作成します。」を参照してください。

Amazon Redshift のデータベースの詳細については、Amazon Redshift データベースデベロッパーガイドを参照してください。