Amazonレッドシフト は、クラウド内のフル マネージドのペタバイト規模のデータ ウェアハウス サービスです。 Amazon Redshift を使用すると、SQL を使用して構造化データと半構造化データを分析し、データへの安全なアクセスとともに最高の価格パフォーマンスを実現できます。
より多くのユーザーがデータ ウェアハウスでデータのクエリを開始するにつれて、貴重な組織データを保護するためにアクセス制御が最も重要になります。 データベース管理者は、ユーザー権限を継続的に監視および管理して、データ ウェアハウスでの適切なデータ アクセスを維持したいと考えています。 Amazon Redshift は、SQL インターフェイスからロール、グループ、およびユーザーに権限を付与することにより、データベース、スキーマ、テーブル、列、行、およびその他のデータベース オブジェクトに対する詳細なアクセス制御を提供します。 Amazon Redshift で設定された権限を監視するには、システム テーブルにクエリを実行してそれらを取得できます。
Amazon Redshift はデータベース オブジェクトへのアクセスを管理する幅広い機能を提供しますが、お客様から、SQL インターフェイスを使用せずに権限を視覚化および監視したいという声が寄せられています。 この投稿では、SQL を記述せずにデータベース権限を視覚化する Grafana を使用して、事前定義されたダッシュボードを紹介します。 このダッシュボードは、データベース管理者がデータベース管理に費やす時間を削減し、監視サイクルの頻度を増やすのに役立ちます。
Amazon Redshift のデータベース セキュリティ
セキュリティは AWS の最優先事項です。 Amazon Redshift が提供する XNUMX つのレベルの制御:
- クラスター管理
- クラスタ接続
- データベースアクセス
- 一時的なデータベース認証情報とシングル サインオン
この投稿では、データベース オブジェクトに対するユーザー アクセス制御に関連するデータベース アクセスに焦点を当てます。 詳細については、次を参照してください。 データベース セキュリティの管理.
Amazon Redshift は、 GRANT コマンドを使用して、データベースで権限を定義します。 ほとんどのデータベース オブジェクトの場合、GRANT は次の XNUMX つのパラメータを取ります。
- アイデンティティ – アクセスを許可するエンティティ。 これは、ユーザー、役割、またはグループの可能性があります。
- オブジェクト – データベース オブジェクトのタイプ。 これには、データベース、スキーマ、テーブルまたはビュー、列、行、関数、プロシージャ、言語、データ共有、機械学習 (ML) モデルなどがあります。
- 特権 – 操作のタイプ。 例には、CREATE、SELECT、ALTER、DROP、DELETE、および INSERT が含まれます。 権限のレベルはオブジェクトによって異なります。
アクセスを削除するには、 取り消す
さらに、Amazon Redshift は、 行レベルのセキュリティ(RLS) 特徴。 RLS ポリシーを ID にアタッチまたはデタッチするには、 RLS ポリシーを添付 & RLS ポリシーの切り離し コマンド、それぞれ。 見る RLS ポリシーの所有権と管理 のガイドをご参照ください。
通常、データベース管理者は ID、オブジェクト、および権限を定期的に監視および確認して、適切なアクセスが構成されていることを確認します。 また、データベース ユーザーが権限エラーに直面した場合は、アクセス構成を調査する必要があります。 これらのタスクには、複数のシステム テーブルにクエリを実行するための SQL インターフェイスが必要です。これは、反復的で差別化されていない操作になる可能性があります。 したがって、データベース管理者は、SQL を記述せずに ID、オブジェクト、および権限をすばやくナビゲートするための XNUMX つの画面を必要とします。
ソリューションの概要
次の図は、ソリューション アーキテクチャとその主要なコンポーネントを示しています。
- Amazon Redshift には、システム テーブルにデータベース権限情報が含まれています。
- Grafana には、データベース権限を視覚化するための事前定義されたダッシュボードが用意されています。 ダッシュボードは、Amazon Redshift Data API を介して Amazon Redshift システム テーブルに対してクエリを実行します。
ダッシュボードは視覚化に重点を置いていることに注意してください。 Amazon Redshift で権限を設定するには、SQL インターフェイスが必要です。 使用できます クエリ エディター v2は、ユーザーがブラウザから SQL コマンドを実行できるようにする Web ベースの SQL インターフェイスです。
前提条件
次のセクションに進む前に、次の前提条件を満たしている必要があります。
- An AWSアカウント
- AmazonRedshiftクラスターを作成する
- Amazon Managed Grafana またはローカル Grafana をセットアップする
Amazon Managed Grafana はプラグインのバージョンを管理して定期的に更新しますが、ローカルの Grafana ではユーザーがバージョンを管理できます。 したがって、最新の機能に早期にアクセスする必要がある場合は、ローカルの Grafana がオプションになる可能性があります。 プラグインを参照 変更履歴 リリースされた機能とバージョンについて。
ダッシュボードをインポートする
前提条件を完了すると、Amazon Redshift をデータ ソースとして設定した Grafana にアクセスできるようになります。 次に、視覚化のために XNUMX つのダッシュボードをインポートします。
- Grafana コンソールで、作成した Redshift データ ソースに移動し、 ダッシュボード
- インポート Amazonレッドシフト ID とオブジェクト
- 再度データ ソースに移動し、 Amazon Redshift の特権
インポートすると、各ダッシュボードが表示されます。
Amazon Redshift ID とオブジェクトのダッシュボード
次のスクリーンショットに示すように、Amazon Redshift の ID とオブジェクトのダッシュボードには、Amazon Redshift の ID とデータベース オブジェクトが表示されます。
アイデンティティ セクションには、ソース データベース内の各ユーザー、ロール、およびグループの詳細が表示されます。
このダッシュボードの主な機能の XNUMX つは、 役割、ユーザーに割り当てられた役割 を使用するセクション ノードグラフパネル 複数のシステム テーブルからロールとユーザーの階層構造を視覚化します。 この視覚化により、管理者は、複数のシステム テーブルをクエリする代わりに、どのロールがユーザーに継承されているかをすばやく調べることができます。 役割ベースのアクセスの詳細については、次を参照してください。 役割ベースのアクセス制御 (RBAC).
Amazon Redshift 権限ダッシュボード
Amazon Redshift 権限ダッシュボードには、Amazon Redshift で定義された権限が表示されます。
ユーザーに割り当てられた役割とグループ セクションを開き、 ユーザーに割り当てられた役割 特定のユーザーのロールを一覧表示するパネル。 このパネルでは、複数のユーザーに割り当てられたロールを一覧表示して比較できます。 使用 ユーザー ダッシュボードの上部にあるドロップダウンでユーザーを選択します。
ダッシュボードはすぐに更新され、選択したユーザーのフィルター結果が表示されます。 次のスクリーンショットは、ユーザーのフィルタリング結果です hr1, hr2 & it3.
オブジェクト権限 セクションは、各データベース オブジェクトと ID に付与された権限を示しています。 権限が付与されていないオブジェクトはここにリストされていないことに注意してください。 データベース オブジェクトの完全なリストを表示するには、Amazon Redshift Identities and Objects ダッシュボードを使用します。
オブジェクト権限 (RLS) セクションには、行レベル セキュリティ (RLS) の視覚化が含まれています。 の ポリシーの添付 パネルでは、テーブル、ポリシー、ロール、およびユーザー間の関係を視覚化して RLS 構成を調べることができます。
まとめ
この投稿では、事前定義された Grafana ダッシュボードを使用して、Amazon Redshift のデータベース権限を視覚化する方法を紹介しました。 データベース管理者は、これらのダッシュボードを使用して、SQL を記述することなく、ID、オブジェクト、および権限をすばやくナビゲートできます。 ビジネス要件に合わせてダッシュボードをカスタマイズすることもできます。 このダッシュボードの JSON 定義ファイルは、OSS の一部として Grafana GitHub リポジトリの Redshift データ ソース.
この投稿で説明されているトピックの詳細については、次を参照してください。
著者,
浜岡陽太 アマゾン ウェブ サービスの分析ソリューション アーキテクトです。 彼は、Amazon Redshift を使用して顧客の分析ジャーニーを加速させることに重点を置いています。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://aws.amazon.com/blogs/big-data/visualize-database-privileges-on-amazon-redshift-using-grafana/
- 100
- a
- 私たちについて
- 加速する
- アクセス
- 管理
- 管理者
- に対して
- ことができます
- Amazon
- AmazonマネージドGrafana
- Amazon Webサービス
- 分析論
- 分析する
- &
- API
- 現れる
- 建築
- 割り当てられた
- アタッチ
- AWS
- BEST
- の間に
- 広い
- ブラウザ
- ビジネス
- クラウド
- コラム
- 比較します
- コンポーネント
- 構成
- 領事
- 含まれています
- 連続的に
- コントロール
- controls
- 可能性
- 作ります
- 作成した
- Credentials
- Customers
- カスタマイズ
- サイクル
- ダッシュボード
- データ
- データアクセス
- データウェアハウス
- データベース
- 定義済みの
- 依存
- 記載された
- 詳細
- 細部
- 運転
- Drop
- 各
- 前
- エディタ
- 可能
- 確保
- エンティティ
- エラー
- エーテル(ETH)
- 例
- 顔
- 特徴
- 特徴
- File
- 焦点を当て
- 焦点を当てて
- フォロー中
- 周波数
- から
- フル
- 完全に
- function
- GitHubの
- ガラス
- Go
- 助成金
- 付与された
- 付与
- グラフ
- グループ
- グループの
- 聞いた
- 助けます
- こちら
- HTML
- HTTPS
- アイデンティティ
- アイデンティティ
- 直ちに
- import
- in
- include
- 増える
- 情報
- を取得する必要がある者
- インタフェース
- 紹介する
- 導入
- 調べる
- 旅
- JSON
- キー
- 言語
- 最新の
- レベル
- レベル
- リスト
- リストされた
- ローカル
- 機械
- 維持する
- 管理します
- マネージド
- 管理する
- 大会
- ML
- モニター
- モニタリング
- モニター
- 他には?
- 最も
- 移動する
- の試合に
- ナビゲート
- 必要
- 次の
- オブジェクト
- オブジェクト
- オファー
- 開いた
- 操作
- オプション
- 組織の
- オッス
- その他
- 所有権
- ペイン
- パネル
- パラメータ
- 最高の
- 部
- パフォーマンス
- 許可
- パーミッション
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プラグイン
- ポリシー
- 方針
- ポスト
- 前提条件
- ブランド
- 優先順位
- 特権
- 適切な
- 守る
- は、大阪で
- すぐに
- 減らします
- 関係
- リリース
- 削除します
- 反復的な
- 必要とする
- の提出が必要です
- 要件
- 結果
- レビュー
- 職種
- 役割
- 行
- ラン
- セクション
- 安全に
- セキュリティ
- 選択
- サービス
- サービス
- すべき
- 表示する
- 示す
- 作品
- 溶液
- ソース
- 特定の
- 費やした
- SQL
- start
- 構造
- 構造化された
- テーブル
- 取り
- タスク
- ソース
- アプリ環境に合わせて
- したがって、
- 三
- 介して
- 時間
- 〜へ
- top
- トピック
- 更新版
- つかいます
- ユーザー
- users
- 貴重な
- バージョン
- 、
- 詳しく見る
- 可視化
- 視覚化する
- 倉庫
- ウェブ
- Webサービス
- ウェブベースの
- which
- 意志
- 無し
- 書き込み
- あなたの
- ゼファーネット
