Amazon Redshift でデータ共有を承認する
Amazon Redshift では、指定されたコンシューマーを承認することで、データ共有へのアクセスを制御できます。データ共有を使用すると、同じまたは異なる AWS アカウント内の複数の Amazon Redshift クラスター間でライブデータを共有できるため、分析データをシームレスに分散させ、使用できます。このセクションでは、Amazon Redshift のデータ共有へのコンシューマーによるアクセスを承認する手順と承認を取り消す手順を詳しく説明します。
注記
名前空間をデータコンシューマーとして追加する場合は、承認を行う必要はありません。データ共有を承認するには、データ共有に少なくとも 1 つのデータコンシューマーが追加されている必要があります。
- Console
-
プロデューサー管理者はコンソールで、データ共有へのアクセスを承認するデータコンシューマー、または承認を取り消すデータコンシューマーを選択します。認可されたデータコンシューマーは、データ共有でアクションを実行するための通知を受け取ります。名前空間をデータコンシューマーとして追加する場合は、承認を行う必要はありません。
AWS Management Consoleにサインインして、https://console.aws.amazon.com/redshiftv2/
で Amazon Redshift コンソールを開きます。 -
ナビゲーションメニューで [Datashares] (データ共有) を選択します。ここには、[データ共有コンシューマー] というリストが表示されます。認可するコンシューマークラスターを 1 つ以上選択します。次に、[承認] を選択します。
-
[アカウントを承認] ダイアログが表示されます。いくつかの承認タイプから選択できます。
-
[クラスター名またはワークグループ名] で読み取り専用 — データ共有作成者が書き込みアクセス許可を付与したとしても、コンシューマーには書き込みアクセス許可がないということです。
-
[クラスター名またはワークグループ名] への読み取りと書き込み — 作成者が付与したすべてのアクセス許可 (書き込みアクセス許可を含む) をコンシューマーでも利用できるということです。
-
-
[Save] を選択します。
コンシューマーとして AWS Data Exchange を承認することもできます。
-
データ共有の作成時に [AWS Glue Data Catalog に発行] を選択した場合、データ共有の許可は Lake Formation アカウントにのみ付与できます。
AWS Data Exchange データ共有の場合、一度に 1 つのデータ共有しか認可できません。
AWS Data Exchange データ共有を承認すると、データ共有を AWS Data Exchange サービスと共有し、ユーザーに代わって AWS Data Exchange がデータ共有へのアクセスを管理することを許可することになります。AWS Data Exchange は、コンシューマーが製品をサブスクライブする際、コンシューマーアカウントを AWS Data Exchange データ共有のデータコンシューマーとして追加することで、コンシューマーがアクセスできるようにします。AWS Data Exchange には、データ共有への読み取りアクセス許可はありません。
-
[Save] を選択します。
データコンシューマーが認可されると、データ共有オブジェクトにアクセスし、データをクエリするコンシューマデータベースを作成できます。
- API
-
プロデューサーセキュリティ管理者は以下を決定します。
-
別のアカウントがデータ共有へのアクセス権を持つことができるかどうか。
-
アカウントにデータ共有へのアクセス権がある場合に、そのアカウントに書き込みのアクセス許可があるかどうか。
データ共有を承認するには、以下の IAM アクセス許可が必要です。
redshift:AuthorizeDataShare
CLI 呼び出しまたは API を使用して、使用と書き込みを承認できます。
authorize-data-share --data-share-arn <value> --consumer-identifier <value> [--allow-writes | --no-allow-writes]
コマンドの詳細については、「authorize-data-share」を参照してください。
コンシューマー ID は次のいずれかになります。
-
12 桁の AWS アカウント ID。
-
名前空間識別子 ARN。
注記
書き込みのアクセス許可は、承認ステップでは付与されません。書き込み用のデータ共有の承認によってアカウントに付与されるのは、データ共有管理者によって付与された書き込みアクセス許可のみです。管理者が書き込みを許可しない場合、特定のユーザーが使用できるアクセス許可は SELECT、USAGE、EXECUTE に限られます。
データ共有コンシューマーの承認を変更するには、値を変えて再度
authorize-data-share
を呼び出します。以前の承認は、新しい承認によって上書きされます。そのため、書き込みに対する承認と許可を当初行った場合でも、その後no-allow-writes
の再承認と指定をしなかったり、単に値を指定しなかったりすると、コンシューマーの書き込みのアクセス許可は取り消されます。 -