MEGAZONEブログ
Build a secure and highly available data strategy with Amazon Redshift
Amazon Redshiftで安全で可用性の高いデータ戦略を構築する
Pulisher : Cloud Technology Center ペク・ソジョン
Description :Amazon Redshiftをより安全かつ安定的に使用するための方法と戦略についての紹介セッション
はじめに
このセッションは、タイトルが示すように、Redshiftをより安全で安定的に使うための方法と戦略を扱います。去年もRedshiftの新機能に注目していたので、引き続きアップデートしたいと思ってこのセッションを申し込みました。 去年のリインベントでpreviewで出てきた機能がGAされた内容が多かったです。
最近、多くのユーザーがRedshiftを使用しており、毎年エクサバイト規模のデータがRedshiftで分析されています。しかし、依然としてDWの安定性とセキュリティに対する懸念を持っているユーザーがいます。 このセッションでは、Redshiftのセキュリティと安定性の2つの内容について説明します。
DWを安全かつ信頼できるように使用するためのデータ戦略を共有したいと思います。
セッションの概要紹介
Redshiftは大きく4つのPillarに注目してみてください。大規模なデータを迅速に分析できるPerformance、最も興味深い部分であるZero-ETL、分析& MLを助ける機能、そしてDWの安定性とセキュリティを高める機能があります。
Redshiftのセキュリティに関する概要を説明します。 IAM、IdP統合ベースの認証、様々なロギングサービスを通じた監査、データ暗号化、そしてAWSコンプライアンスプログラムなどを通じて、クラウド上で安全にDWを構築し、使用することができます。
セキュリティをより強化してくれる概念がRBAGですが、RBAGをベースに機密データに対してfine-grainedなアクセス制御が可能です。権限とロールを連結して、ユーザがこのroleに連結されます。もちろん、ユーザーではなく、グループ単位でも接続されます。 グループで管理すれば、もう少し便利でしょう?
RBAGでもう一つできるのが、Granual access controlです。Granual access controlの種類にはcolumn level security、row level security及びdynamic data maskingがあります。上の表の写真の順番でその例を確認することができますが、Column level securityは特定の列に対する制御を通じてどの対象がどの列を見れないように制御することができ、Row level securityは特定の行に対して同じように制御することです。 Data Maskingは文字通りデータをマスキング処理してくれるものです。
IAM Identity Center Integrationのリリースも重要なニュースです。SSOの面では、ユーザーが複数のサービスを使っている場合、非常に役立つ機能です。 また、監査においても、より多くのサービスをカバーできるようになりました。 講演者はこの部分に関して、IdPをグローバルに使用可能な点が重要な部分であると強調しました。 現在、この機能は現在RedshiftとQuickSightの間で使用可能であり、徐々に適用サービスを拡大していく予定です。
次はReliabilityに関する戦略です。Redshiftはreliableなサービスで、ハードウェアやネットワーク障害に対する対処を自動で行ってくれます。 スナップショットを他のリージョンに保存することでDR構成も可能で、最近GA化されたMulti-AZ機能を活用してノードを他のAZに配置することで可用性を高めることができます。
Redshift Multi-AZ 機能は99.99%の可用性を誇ります。図のように2つのAZにクラスターが配置されるため、1つのAZに障害が発生しても迅速に復旧することができます。 また、迅速な復旧により、コンピューティングがアイドル状態になることなく、継続的に使用できる状態が続くという利点があります。ここで重要な点は、AZにそれぞれ異なるクラスターがあるのではなく、一つのユニット化されたクラスターであり、それぞれのノードが異なるAZに位置し、ストレージは共有され、複製されるという点です。セッションの途中、ある聴衆が鋭い質問でMulti-AZの価格について質問しましたが、この時、各AZにコンピュートノードが構成されるため、これによる追加コンピュートに対してのみ費用が発生します。
一つのAZに障害が発生すると、すぐに他のAZに新たなコンピュートノードが既存のノード数だけ構成されることを確認することができます。 また、クラスターのエンドポイントは変更せずにそのまま使用することができます。このエンドポイントは一つの統合されたクラスターのエンドポイントと考えてください。
Reliability関連の最後の機能としてCross-Region Copy of snapshotsを紹介しました。スナップショットを他のリージョンに移動してregionレベルの障害に対応することができます。
最後にセッションを終わらせながらデモを見せました。 Redshiftの詳細ページでMulti-AZ画面で有効になっていることを確認し、AZレベルで障害シミュレーションを行いました。障害が発生した時、一時的にRedshiftへのconnectionが切断されましたが、30秒以内に再接続できることを示すことで、いかに迅速に障害対応が可能かを確認することができました。
セッションを終えて
Redshiftがセキュリティや可用性に関しても多くのアップデートがあり、安定的なDWとして発展し続けていると思いました。 残りのリインベント期間、DW関連でさらに多くのアップデートがあると予想され、残りのリインベント期間まで引き続き注目していきたいと思います!