Amazon Redshift V2接続のプロパティ Amazon Redshiftとの間でデータの読み取りまたは書き込みを行うためのAmazon Redshift V2接続を作成します。
認証の準備 Amazon Redshift V2接続でデフォルト 認証およびAssumeRole認証タイプによるRedshift IAM 認証を設定し、Amazon Redshiftに接続できます。さらに、S3リソースにアクセスするには、S3ステージングの前提条件を満たす必要があります。必要に応じて、Amazon Redshiftに接続するための暗号化を設定することもできます。
注: アプリケーション取り込みとレプリケーション タスクとデータベース取り込みとレプリケーション タスクは、EC2インスタンスを使用してロールを引き受けない限り、AssumeRoleによるRedshift IAM認証をサポートしません。
認証、ステージング、および暗号化の前提条件の概要については、次の各セクションを参照してください。
認証の前提条件 開始する前に、Amazon Redshiftに登録されたユーザーアカウントが必要です。
次の表に示すように、設定する認証タイプに応じて、AWSコンソールでAmazon Redshiftアカウントから最低限必要な詳細を取得します。
デフォルト認証
引き受けロールによるRedshift IAM認証
- - - - - *Redshift IAMロールARNを使用するには、必要な信頼ポリシーを使用してRedshift IAMロールARNを設定し、Amazon Redshiftにアクセスするための一時的なセキュリティ資格情報を生成します。
ステージングの前提条件 Amazon S3でステージングを有効にし、データの読み取りまたは書き込み時にS3リソースにアクセスするには、Amazon Redshift V2接続でステージングプロパティを設定する必要があります。
次の表は、デフォルト認証と、AssumeRole認証によるRedshift IAM認証の両方について接続で設定できるステージングオプションと、S3ステージングに必要な詳細を取得するために実行する必要があるタスクをまとめたものです。
S3ステージングオプション
タスク
S3ステージングにアクセスするためにS3 IAMロールを引き受けるIAMユーザーの一時的な資格情報を生成します。
AWSの設定
IAMユーザーがS3 IAMロールを引き受け、一時的な資格情報を生成できるようにします。
手順については、次の参考資料を参照してください。
Redshift V2接続設定
- S3 IAMロールARN の値を入力します。- [S3アクセスキーID] と[S3シークレットアクセスキー] の値を入力します。S3ステージングにアクセスするためにS3 IAMロールを引き受けるEC2インスタンスの一時的なセキュリティ資格情報を生成します。
AWSの設定
S3 IAMロールを引き受けてS3ステージング用の一時的な資格情報を生成するようにEC2インスタンスを定義します。
Redshift V2接続設定
次の最小限必要なプロパティを設定します。
- [ロールの引き受けにEC2ロールを使用] を有効にします。- S3 IAMロールARN の値を入力します。S3バケットへのアクセス権を持つIAMユーザーのS3アクセスキーとシークレットアクセスキーを生成します。
AWSの設定
資格情報を生成するには、次のタスクを実行します。
1 最小限のAmazon IAMポリシーの作成 2 IAMユーザーの作成方法とキーの生成方法の詳細については、AWSのマニュアルを参照してください。
Redshift V2接続設定
[S3アクセスキーID] と[S3シークレットアクセスキー] の値を入力します。
IAM認証の設定
AWSの設定
EC2インスタンスがあり、キーを指定したり、IAMロールARNを使用したりしない場合は、S3バケットにアクセスできるEC2に最小限のポリシーを割り当てます。
詳細については、
IAM認証の設定 を参照してください。
Redshift V2接続設定
この場合、接続でステージングプロパティを有効にしたり指定したりする必要はありません。
暗号化の前提条件 ステージング時のデフォルト認証とAssumeRoleによるRedshift IAM認証にクライアントサイド暗号化とサーバーサイド暗号化を設定するには、
暗号化を有効にする を参照してください。
最小限のAmazon IAMポリシーの作成 Amazon S3でデータをステージングするには、S3リソースにアクセスするために最低限必要な権限を持つIAMポリシーを作成する必要があります。
ポリシーをIAMユーザーにアタッチし、S3リソースにアクセスするためのS3アクセスキーIDとS3シークレットアクセスキーを生成できます。または、EC2インスタンスがある場合は、EC2インスタンスにステージング用のS3バケットにアクセスするための最小限のポリシーを割り当てることもできます。
ポリシーには、次の最低限必要な権限を設定する必要があります。
• • • • 次のサンプルAmazon IAMポリシーを使用できます。
{
注: [テスト接続] はユーザーに割り当てられたIAMポリシーを検証しません。したがって、ユーザーに割り当てられたポリシーが有効であることを確認してください。
IAM認証の設定 AWS Identity and Access Management(IAM)認証を設定して、EC2ロールおよびRedshiftロールに最小限のAmazon IAMポリシーを作成します。
手順については、次のHow-Toライブラリの記事を参照してください:
Configuring AWS IAM Authentication Amazon Redshiftの引き受けロールの設定 Redshift IAMロールARNを使用するには、必要な信頼ポリシーを使用してRedshift IAMロールARNを設定し、Amazon Redshiftにアクセスするための一時的なセキュリティ資格情報を生成します。
次のいずれかのオプションを使用して、一時的なセキュリティ資格情報を生成できます。
AWSの設定
接続の詳細
オプション1: IAMユーザーを有効にするようにAssumeRoleを設定します。
IAMユーザーにAssumeRoleを使用するには、以下のIAMユーザーの詳細を指定します。
- - - オプション2: EC2インスタンスを定義して、Redshift IAMロールを引き受けます。
Amazon EC2のAssumeRoleを使用するには、次のようにします。
- [Redshift IAMロールARN] 値を指定します。- [ロールの引き受けにEC2ロールを使用] チェックボックスをオンにします。
アプリケーション取り込みとレプリケーションタスクおよびデータベース取り込みとレプリケーションタスクでは、オプション2を使用して、EC2ロールがRedshift IAMロールを引き受けるようにします。
要件に基づいて一時的なセキュリティ資格情報を生成します。
Amazon Redshiftの一時的なセキュリティ資格情報ポリシーの生成 一時的なセキュリティ資格情報を使用してAmazon Redshiftに接続するには、IAMユーザーとIAMロールの両方にポリシーが必要です。
次のセクションに、IAMユーザーとIAMロールに必要なポリシーを示します。
IAMユーザー IAMユーザーは、同じAWSアカウントまたは異なるAWSアカウントで一時的なセキュリティ資格情報を使用するために、sts:AssumeRole ポリシーを持っている必要があります。IAMユーザーの資格情報は、接続プロパティでRedshiftアクセスキーとRedshift秘密鍵を入力するために使用されます。 次のサンプルポリシーでは、IAMユーザーにAWSアカウントで一時的なセキュリティ資格情報を使用することを許可しています。 Redshift IAMロールの信頼ポリシー Redshift IAMロールポリシーは、[Redshift IAMロールARN]で指定されたロールに関係します。IAMユーザーが一時的なセキュリティ資格情報を使用してRedshiftにアクセスできるようにするには、IAMロールに信頼ポリシーがアタッチされている必要があります。 次のポリシーは、サンプルの信頼ポリシーです。
{
例えば、ロールまたはユーザーを次の形式で指定できます。
{"AWS": "arn:aws:iam::<AWS-account>:role/<name-of-the-role>" "AWS": " arn:aws:iam::<AWS-account>:user/<name-of-the-user>"
Redshift IAMロールの最小限のアクセス許可ポリシー 次のポリシーは、Redshift IAMロールに必要なアクセス許可を示しています。これは、既存のAmazon Redshiftユーザーを使用してRedshiftデータベースに接続するためにIAMユーザーが引き受けます。
次のポリシーは、Redshift IAMロールにアタッチする必要があるアクセス許可を示しています。これは、[DBUserの自動作成] チェックボックスで新規作成されたユーザーがRedshiftデータベースに接続するために、IAMユーザーが引き受けます。
EC2にAssumeRoleを使用した一時的なセキュリティ資格情報の生成 Amazon EC2ロールにAssumeRoleを使用した一時的なセキュリティ資格情報を使用すると、同じAWSアカウントまたは異なるAWSアカウントからAmazon Redshiftに接続することができます。
Amazon EC2ロールにより、RedshiftアクセスキーとRedshiftシークレットキーを必要とせずに、同じAWSアカウントまたは異なるAWSアカウントから別のIAMロールを引き受けることができます。
AssumeRole for EC2を使用して一時的なセキュリティ資格情報を使用する場合は、次の前提条件を考慮してください。
• • • [Redshift IAMロールARN]接続プロパティで指定したIAMロールを引き受けるようにEC2ロールを設定するには、接続プロパティの[ロールの引き受けにEC2ロールを使用] チェックボックスをオンにします。
EC2サービスロールの信頼ポリシー 以下は、EC2インスタンスにアタッチされたEC2ロールの信頼関係で定義されている信頼ポリシーの例です。 {
EC2のロールを引き受ける場合のRedshift IAMロールの信頼ポリシーの例を以下に示します。
EC2インスタンスにアタッチする必要がある権限ポリシーは、IAMユーザーに対して定義されたポリシーと同じです。
Amazon S3ステージングの引き受けロールの設定 S3ステージングのAssumeRole認証を設定するには、AWSコンソールでIAMユーザーとIAMロールに最小限の権限ポリシーと信頼ポリシーをアタッチする必要があります。
IAMユーザーは、AssumeRoleを使用して、Amazon S3リソースに一時的にアクセスできます。Amazon S3リソースの引き受けロールの使用方法の詳細については、次のHow-Toライブラリの記事も参照してください:
Using an assume role for Amazon S3 resources Amazon S3ステージング用のAssumeRoleを使用して一時的なセキュリティ資格情報を生成すると、Amazon S3ステージングバケットにアクセスできます。EC2インスタンスがIAMロールを引き受けてS3ステージングバケットに安全にアクセスできるようにする場合は、AssumeRole for EC2インスタンスを使用して生成された一時的なセキュリティ資格情報を使用します。
注: 一時的なセキュリティ資格情報を生成する場合は、AWSアカウントのルートユーザー資格情報を使用しないでください。一時的なセキュリティ資格情報を生成するには、IAMユーザーの資格情報を使用する必要があります。
要件に基づいて一時的なセキュリティ資格情報を生成します。
Amazon S3ステージングにAssumeRoleを使用した一時的なセキュリティ資格情報の生成 AssumeRoleを使用した一時的なセキュリティ資格情報を使用すると、同じAWSアカウントまたは異なるAWSアカウントからAmazon S3ステージングバケットにアクセスできます。
sts:AssumeRole 権限が割り当てられており、AWSアカウント内に一時的なセキュリティ資格情報を使用するための信頼関係が構築されていることを確認します。信頼関係は、ロールを作成するときに、IAMロールの信頼ポリシーで定義します。IAMロールにより、IAMユーザーを信頼されたエンティティとして追加し、IAMユーザーに一時的なセキュリティ資格情報の使用とAWSアカウントへのアクセスを許可します。信頼関係を構築する方法の詳細については、AWSのマニュアルを参照してください。
信頼されたIAMユーザーが一時的なセキュリティ資格情報を要求すると、AWS Security Token Service(AWS STS)によって、指定した期間有効な一時的なセキュリティ資格情報が動的に生成され、信頼されたIAMユーザーにその資格情報が提供されます。一時的なセキュリティ資格情報は、アクセスキーID、シークレットアクセスキー、シークレットトークンで構成されます。
動的に生成された一時的なセキュリティ資格情報を使用するには、Amazon Redshift V2接続を作成するときに[S3 IAMロールARN] 接続プロパティの値を入力します。IAMロールARNでは、AWSリソースが一意に識別されます。次に、[一時的な資格情報の期間] 詳細ソースプロパティおよびターゲットプロパティで、一時的なセキュリティ資格情報を使用できる期間を秒単位で指定します。
外部ID Amazon S3バケットがIAMユーザーまたはEC2インスタンスとは別のAWSアカウントにある場合に、Amazon S3バケットへのより安全なアクセスを確立するための外部IDを指定できます。
注: アプリケーション取り込みとレプリケーション タスクとデータベース取り込みとレプリケーション タスクでは、外部IDの使用はサポートされていません。
必要に応じて、AWS Security Token Service(STS)へのAssumeRole要求で外部IDを指定できます。
外部IDは文字列である必要があります。次のサンプルは、引き継がれたIAMロールの信頼ポリシー内の外部ID条件を示しています。
"Statement": [
一時的なセキュリティ資格情報のポリシー 一時的なセキュリティ資格情報を使用してAmazon S3ステージングバケットにアクセスするには、IAMユーザーとIAMロールにポリシーが必要です。
次のセクションに、IAMユーザーとIAMロールに必要なポリシーを示します。
IAMユーザー IAMユーザーは、同じAWSアカウントまたは異なるAWSアカウントで一時的なセキュリティ資格情報を使用するために、sts:AssumeRole ポリシーを持っている必要があります。 次のサンプルポリシーでは、IAMユーザーにAWSアカウントで一時的なセキュリティ資格情報を使用することを許可しています。 次のサンプルポリシーでは、中国地域のIAMユーザーにAWSアカウントで一時的なセキュリティ資格情報を使用することを許可しています。 IAMロール IAMロールには、IAMユーザーに対して一時的なセキュリティ資格情報を使用したAmazon S3バケットへのアクセスを許可するために、sts:AssumeRole ポリシーとIAMロールにアタッチされた信頼ポリシーが必要です。このポリシーは、IAMユーザーがアクセスできるAmazon S3バケットと、IAMユーザーが実行できるアクションを指定します。信頼ポリシーは、Amazon S3バケットにアクセスできるAWSアカウントのIAMユーザーを指定します。 次のポリシーは、サンプルの信頼ポリシーです。
{
KMSに対する一時的なセキュリティ資格情報 AWS Key Management Service(AWS KMS)で管理されたカスタママスタキーを使用する一時的なセキュリティ資格情報を使用し、KMSを使用した暗号化を有効にするには、KMSポリシーを作成する必要があります。
次の操作を実行すると、一時的なセキュリティ資格情報を使用し、KMSを使用した暗号化を有効にすることができます。
• • • • • 次のサンプルポリシーを使用できます。
{
KMSを設定し、中国地域のAmazon S3エンドポイントにアクセスする場合は、次のサンプルポリシーを使用します。
{
EC2にAssumeRoleを使用した一時的なセキュリティ資格情報の生成 Amazon EC2ロールにAssumeRoleを使用した一時的なセキュリティ資格情報を使用すると、同じAWSアカウントまたは異なるAWSアカウントからAmazon S3ステージングバケットにアクセスできます。
Amazon EC2ロールにより、永続的なアクセスキーとシークレットキーを必要とせずに、同じAWSアカウントまたは異なるAWSアカウントから別のIAMロールを引き受けることができます。Amazon EC2ロールにより、別のリージョンから別のIAMロールを引き受けることもできます。
AssumeRole for EC2を使用した一時的なセキュリティ資格情報を使用する場合は、次の前提条件を考慮してください。
• • • [IAMロールARN] 接続プロパティで指定したIAMロールを引き受けるようにEC2ロールを設定するには、接続プロパティの[ロールの引き受けにEC2ロールを使用] チェックボックスをオンにします。
暗号化を有効にする Amazon S3でデータをステージングするために、Amazon Redshift V2接続でクライアントサイド暗号化とサーバーサイド暗号化を有効にすることができます。
Amazon Redshift V2接続で設定する暗号化のタイプに応じた前提条件を満たします。
クライアントサイド暗号化 クライアントサイド暗号化には、Base64形式の256ビットAES暗号化キーが必要です。暗号化キーは、サードパーティ製ツールを使用して生成できます。 Amazon Redshift V2接続を作成するときに、[マスタ対称キー] フィールドにキー値を指定します。 サーバーサイド暗号化 サーバーサイド暗号化を有効にするには、AWS Key Management Service(AWS KMS)で管理される顧客マスタキーを作成します。 Amazon S3ステージングバケットが存在するリージョンの顧客マスタキーIDを生成します。顧客マスタキーの生成の詳細については、AWSのドキュメントを参照してください。 カスタママスタキーを使用した暗号化を有効にするには、最小限のKMSポリシーを作成する必要があります。Amazon Redshift V2接続を作成するときに、顧客マスタキーIDを指定できます。 注: マスタ対称キーを使用したサーバーサイド暗号化と、顧客マスタキーを使用したクライアントサイド暗号化を設定することはできません。
AWS KMSを使用するための最小限のポリシーの作成 AWS Key Management Service(AWS KMS)で管理された顧客マスタキーを使用し、KMSを使用した暗号化を有効にするには、KMSポリシーを作成する必要があります。
KMSを使用した暗号化を有効にするには、次の操作を実行します。
• • • • • サンプルポリシー:
{
KMSを設定し、中国地域のAmazon S3エンドポイントにアクセスする場合は、次のサンプルポリシーを使用します。
{
Amazon Redshift への接続 Amazon Redshiftに接続するようにAmazon Redshift V2接続プロパティを設定してみましょう。
始める前に 開始する前に、設定する認証タイプに基づいてAmazon Redshiftアカウントから情報を取得する必要があります。
接続を設定する前に、
認証の準備 を参照して認証要件を確認してください。
接続の詳細 次の表に、基本接続プロパティを示します。
プロパティ
説明
接続名
接続の名前。各接続名は組織内で一意である必要があります。接続名には、英数字、スペース、および次の特殊文字を含めることができます。_.+ -。最大長は255文字です。
説明
接続の説明。最大長は4000文字です。
タイプ
Amazon Redshift V2
ランタイム環境
タスクを実行するランタイム環境の名前。
ホステッドエージェントまたはサーバーレスランタイム環境では、アプリケーション取り込みとレプリケーション タスク、データベース取り込みとレプリケーション タスク、ファイル取り込みとレプリケーション タスク、ストリーミング取り込みとレプリケーション タスクを実行することはできません。
認証タイプ Amazon Redshiftにアクセスするために、デフォルトの認証タイプおよびRedshift IAM AssumeRole認証タイプを設定できます。
注: アプリケーション取り込みとレプリケーション タスクおよびデータベース取り込みとレプリケーション タスクは、EC2インスタンスが定義されていないRedshift IAM AssumeRole認証をサポートしていません。
必要な認証方法を選択し、認証固有のパラメータを設定します。
デフォルト認証 次の表に、デフォルト認証の基本接続プロパティを示します。
プロパティ
説明
JDBC URL
Amazon Redshiftクラスタに接続するためのJDBC URL。
JDBC URLは、Amazon AWS Redshiftクラスタ設定ページから取得できます。
JDBC URLは次の形式で入力します。
jdbc:redshift://<cluster_endpoint>:<port_number>/<database_name> ここで、エンドポイントにはRedshiftクラスタ名とリージョンが含まれます。
例: jdbc:redshift://infa-rs-cluster.abc.us-west-2.redshift.amazonaws.com:5439/rsdb
この例では、
- - - - ユーザー名
Amazon Redshiftクラスタ内のデータベースインスタンスのユーザー名。
パスワード
Amazon Redshiftデータベースユーザーのパスワード。
ロールの引き受けにEC2ロールを使用
S3 IAMロールを引き受けるEC2インスタンスがS3リソースにアクセスし、一時的なセキュリティ資格情報を使用してデータをステージングできるようにします。
EC2ロールには、S3 IAMロールを引き受ける権限がアタッチされたポリシーが必要です。S3 IAMロールとEC2インスタンスは、同じAWSアカウントでも異なるAWSアカウントでもかまいません。
このチェックボックスを選択すると、EC2ロールが[S3 IAMロールARN]オプションで指定されたS3 IAMロールを引き受けて、ステージングデータ用のS3リソースにアクセスできるようになります。
このプロパティは、アプリケーション取り込みとレプリケーション タスク、およびデータベース取り込みとレプリケーション タスクには適用されません。デフォルトでは、このチェックボックスは選択されていません。
S3 IAMロールARN
Amazon S3にデータをステージングする目的で動的に生成された一時的なセキュリティ資格情報を使用するためにIAMユーザーまたはEC2に引き受けられたIAMロールのAmazon Resource Number(ARN)。
このプロパティは、EC2インスタンス、またはS3 IAMロールを引き受けるIAMユーザーを使用してS3ステージングバケットにアクセスするための一時的なセキュリティ資格情報を生成する場合に適用されます。
一時的なセキュリティ資格情報を使用してAmazon S3ステージングバケットにアクセスするためのS3 IAMロール名を指定します。
S3 IAMロールのARNの取得方法の詳細については、
AWS documentation を参照してください。
注: ロールベースの認証を利用するアプリケーション取り込みとレプリケーション タスクまたはデータベース取り込みとレプリケーション タスクの接続を使用していても、AWSクラスタのデフォルトのロールではない場合は、[IAMロールARN]を指定します。デフォルトロールを使用する場合、このフィールドは空白のままにします。
詳細設定 次の表に、デフォルト認証の詳細接続プロパティを示します。
プロパティ
説明
S3アクセスキーID
Amazon S3ステージングバケットにアクセスするためのIAMユーザーのアクセスキー。
S3ステージングに次の方法を使用する場合は、アクセスキーIDを入力します。
- - IAM認証またはEC2の引き受けロールを使用してS3にアクセスする場合は、S3アクセスキーIDを入力する必要はありません。
注: キーベースの認証を利用するアプリケーション取り込みとレプリケーション タスクまたはデータベース取り込みとレプリケーション タスクの接続を使用する場合は、アクセスキーの値を指定します。
S3シークレットアクセスキー
Amazon S3ステージングバケットにアクセスするためのシークレットアクセスキー。
秘密鍵はアクセスキーに関連付けられており、アカウントを一意に識別します。
S3ステージングに次の方法を使用する場合は、シークレットアクセスキー値を入力します。
- - IAM認証またはEC2の引き受けロールを使用してS3にアクセスする場合は、S3シークレットアクセスキーを入力する必要はありません。
注: キーベースの認証を利用するアプリケーション取り込みとレプリケーション タスクまたはデータベース取り込みとレプリケーション タスクの接続を使用する場合は、アクセスキーの値を指定します。
S3 VPCエンドポイントタイプ
Amazon S3用のAmazon Virtual Private Cloudエンドポイントのタイプ。
VPCエンドポイントを使用して、Amazon S3とのプライベート通信を有効にすることができます。
次のいずれかのオプションを選択します。
- - Amazon S3のエンドポイントDNS名
Amazon S3インタフェースエンドポイントのDNS名。
DNS名のアスタリスク記号をbucket キーワードで置き換えます。
DNS名は以下の形式で入力します。
bucket.<インタフェースエンドポイントのDNS名>
例: bucket.vpce-s3.us-west-2.vpce.amazonaws.com
STS VPCエンドポイントタイプ
AWS Security Token Service用のAmazon Virtual Private Cloudエンドポイントのタイプ。
VPCエンドポイントを使用して、Amazon Security Token Serviceとのプライベート通信を有効にすることができます。
次のいずれかのオプションを選択します。
- - AWS STSのエンドポイントDNS名
AWS STSインタフェースエンドポイントのDNS名。
例: vpce-01f22cc14558c241f-s8039x4c.sts.us-west-2.vpce.amazonaws.com
KMS VPCエンドポイントタイプ
AWS Key Management Service用のAmazon Virtual Private Cloudエンドポイントのタイプ。
VPCエンドポイントを使用して、Amazon Key Management Serviceとのプライベート通信を有効にすることができます。
次のいずれかのオプションを選択します。
- - AWS KMSのエンドポイントDNS名
AWS KMSインタフェースエンドポイントのDNS名。
例: vpce-0e722f5c721e19232-g2pkm2r7.kms.us-west-2.vpce.amazonaws.com
外部ID
IAMロールに関連付けられた外部ID。
Amazon S3バケットへのより安全なアクセスを提供する場合は、外部IDを指定できます。Amazon S3ステージングバケットとIAMロールは、同じAWSアカウントでも異なるAWSアカウントでもかまいません。
必要に応じて、引き受けたIAMロールの信頼ポリシーの外部ID条件を使用して、AWS Security Token Service(STS)へのAssumeRole要求で外部IDを指定することもできます。
このプロパティは、アプリケーション取り込みとレプリケーション タスク、およびデータベース取り込みとレプリケーション タスクには適用されません。
クラスタリージョン
Redshiftクラスタが存在するAWSクラスタリージョン。
[JDBC URL] フィールドプロパティで指定されているものとは異なるクラスタリージョンのカスタムJDBC URLを指定する場合は、リストからクラスタリージョンを選択します。[JDBC URL] フィールドプロパティで指定されているクラスタリージョン名を引き続き使用するには、このプロパティでクラスタリージョンとして[なし] を選択します。
AWS SDKによってサポートされるクラスタリージョンとの間でのみ、データの読み取りと書き込みを行うことができます。
次のいずれかのクラスタリージョンを選択します。
なし
アジアパシフィック(ムンバイ)
アジアパシフィック(ソウル)
アジアパシフィック(シンガポール)
アジアパシフィック(シドニー)
アジアパシフィック(東京)
アジアパシフィック(香港)
AWS GovCloud(米国)
AWS GovCloud (米国東部)
カナダ(中部)
中国(北京)
中国(寧夏)
欧州(アイルランド)
欧州(フランクフルト)
欧州(パリ)
欧州(ストックホルム)
南米(サンパウロ)
中東(バーレーン)
米国東部(バージニア北部)
米国東部(オハイオ)
米国西部(北カリフォルニア)
米国西部(オレゴン)
デフォルトは[なし] です。
注: アプリケーション取り込みとレプリケーション タスク、およびデータベース取り込みとレプリケーション タスクには、リージョン値が必要です。
接続環境SQL
セッション全体に適用されるデータベース環境を設定するためのSQL文。
複数の値をセミコロン(;)で区切ります。
SQL文では、データベース環境の設定のみを指定してください。SQL文にはDDLコマンドやDMLコマンドを指定しないようにしてください。
マスタ対称キー
Amazon S3でステージングするためにデータを送信する前にクライアントサイド暗号化でデータを暗号化できる、Base64形式の256ビットAES暗号化キー。
詳細については、「
暗号化を有効にする 」を参照してください。
このプロパティは、アプリケーション取り込みとレプリケーション タスク、およびデータベース取り込みとレプリケーション タスクには適用されません。
顧客マスタキーID
AWS Key Management Service(AWS KMS)によって生成されたカスタママスタキーID、またはAmazon S3でデータをステージングする際にクロスアカウントアクセスするためのカスタムキーのARN。カスタママスタキーは、データがAmazon S3に保存される前にコピー先で暗号化するためのものです。
顧客が生成した顧客マスタキーID、またはデフォルトの顧客マスタキーIDを入力できます。
このプロパティは、アプリケーション取り込みとレプリケーション タスク、およびデータベース取り込みとレプリケーション タスクには適用されません。
AssumeRoleによるRedshiftのIAM認証。 Redshift AssumeRole認証を使用すると、ユーザーはIAMロールを引き受けるか、必要な信頼ポリシーで設定されたEC2ロールを定義して、Amazon Redshiftにアクセスするための一時的なセキュリティ資格情報を生成できます。
注: アプリケーション取り込みとレプリケーションアプリケーション取り込みとレプリケーション データベース取り込みとレプリケーション タスクでは、EC2ロールを使用する必要があります。
次の表に、Redshift IAM AssumeRole認証の基本接続プロパティを示します。
プロパティ
説明
JDBC URL
Amazon Redshiftクラスタに接続するためのJDBC URL。
JDBC URLは、Amazon AWS Redshiftクラスタ構成ページから取得することができます。
JDBC URLは次の形式で入力します。
jdbc:redshift://<cluster_endpoint>:<port_number>/<database_name> 。ここで、エンドポイントにはRedshiftクラスタ名とリージョンが含まれます。
例: jdbc:redshift://infa-rs-cluster.abc.us-west-2.redshift.amazonaws.com:5439/rsdb
この例では、
- - - - ユーザー名
Amazon Redshiftクラスタ内のデータベースインスタンスのユーザー名。
クラスタ識別子
Amazon Redshiftをホストするクラスタの一意の識別子。
Amazon Redshiftクラスタ名を指定します。
データベース名
アクセスするテーブルが保存されているAmazon Redshiftデータベースの名前。
Redshift IAMロールARN
動的に生成された一時的なセキュリティ資格情報を使用してAmazon RedshiftにアクセスするためにEC2が引き受けるIAMロールのAmazonリソース番号(ARN)。
Redshift IAMロールARNを入力して、Amazon Redshiftクラスタにアクセスします。
ロールの引き受けにEC2ロールを使用
EC2ロールがIAMロールを引き受けて、Redshiftに接続するか、一時的なセキュリティ資格情報を使用してデータをステージングできるようにします。
EC2ロールを使用したIAM認証によるRedshiftへの接続 このチェックボックスをオンにすると、[Redshift IAMロールARN] フィールドで指定されたRedshift IAMロールを引き受けるEC2ロールがAmazon Redshiftにアクセスできるようになります。 EC2ロールには、同じアカウントまたは異なるアカウントからRedshift IAMロールを引き受けるための権限がアタッチされたポリシーが必要です。
データのステージングのためのS3リソースへのアクセス このチェックボックスをオンにすると、[S3 IAMロールARN] フィールドで指定されたS3 IAMロールをEC2ロールが引き受け、S3ステージングバケットにアクセスするための一時的なセキュリティ資格情報を動的に生成できるようになります。 EC2ロールには、同じAWSアカウントまたは異なるAWSアカウントからS3 IAMロールを引き受けるための権限がアタッチされたポリシーが必要です。
S3 IAMロールARN
動的に生成された一時的なセキュリティ資格情報を使用してAmazon S3にデータをステージングするために、IAMユーザーまたはEC2が引き受けるS3 IAMロールのAmazonリソース番号(ARN)。
このプロパティは、EC2インスタンスまたはS3 IAMロールを引き受けるIAMユーザーを使用して、S3ステージングバケットにアクセスするための一時的なセキュリティ資格情報を生成する場合に適用されます。
一時的なセキュリティ資格情報を使用してAmazon S3ステージングバケットにアクセスする場合はS3 IAMロール名を指定します。
IAMロールのARNの取得方法の詳細については、「
AWS documentation 」を参照してください。
注: ロールベースの認証を利用するアプリケーション取り込みとレプリケーション タスクまたはデータベース取り込みとレプリケーション タスクの接続を使用していても、AWSクラスタのデフォルトのロールではない場合は、[IAMロールARN]を指定します。デフォルトロールを使用する場合、このフィールドは空白のままにします。
詳細設定 次の表に、Redshift IAM AssumeRole認証の詳細接続プロパティを示します。
プロパティ
説明
RedshiftアクセスキーID
Redshift IAM AssumeRole ARNを引き受ける権限を持つIAMユーザーのアクセスキー。
このプロパティは、EC2ロールを使用したAmazon Redshift AssumeRole認証には適用されません。
Redshiftシークレットアクセスキー
Redshift IAM AssumeRole ARNを引き受ける権限を持つIAMユーザーのシークレットアクセスキー。
このプロパティは、EC2ロールを使用したAmazon Redshift AssumeRole認証には適用されません。
データベースグループ
この接続プロパティで[DBUserの自動作成] オプションを選択した場合に、データベースユーザーを追加するデータベースグループの名前。
このデータベースグループに追加したユーザーは、指定されたグループ特権を継承します。
データベースグループ名が指定されていない場合、ユーザーはパブリックグループに追加され、関連する特権を継承します。
また、複数のデータベースグループをカンマで区切って入力し、指定した各データベースグループにユーザーを追加することもできます。
有効期限
Amazon Redshiftデータベースユーザーのパスワードの有効期限。
900秒から3600秒の間の値を指定します。
デフォルトは900です。
DBUserの自動作成
実行時に新しいAmazon Redshiftデータベースユーザーの作成を選択します。
エージェントは、[ユーザー名] フィールドで指定したユーザーをデータベースグループに追加します。追加されたユーザーは、データベースグループに割り当てられた特権を引き受けます。
デフォルトでは無効になっています。
S3アクセスキーID
Amazon S3ステージングバケットにアクセスするためのIAMユーザーのアクセスキー。
S3ステージングに次の方法を使用する場合は、アクセスキーIDを入力します。
- - IAM認証またはEC2のロールの引き受けを使用してS3にアクセスする場合、S3アクセスキーIDを入力する必要はありません。
注: キーベースの認証を利用するアプリケーション取り込みとレプリケーション タスクまたはデータベース取り込みとレプリケーション タスクの接続を使用する場合は、アクセスキーの値を指定します。
S3シークレットアクセスキー
Amazon S3ステージングバケットにアクセスするためのシークレットアクセスキー。
秘密鍵はアクセスキーに関連付けられており、アカウントを一意に識別します。
S3ステージングに次の方法を使用する場合は、シークレットアクセスキーの値を入力します。
- - IAM認証またはEC2のロールの引き受けを使用してS3にアクセスする場合、S3シークレットアクセスキーを入力する必要はありません。
注: キーベースの認証を利用するアプリケーション取り込みとレプリケーション タスクまたはデータベース取り込みとレプリケーション タスクの接続を使用する場合は、アクセスキーの値を指定します。
S3 VPCエンドポイントタイプ
Amazon S3用のAmazon Virtual Private Cloudエンドポイントのタイプ。
VPCエンドポイントを使用して、Amazon S3とのプライベート通信を有効にすることができます。
次のいずれかのオプションを選択します。
- - Amazon S3のエンドポイントDNS名
Amazon S3インタフェースエンドポイントのDNS名。
アスタリスク記号をDNS名内のbucket キーワードで置き換えます。
DNS名は以下の形式で入力します。
bucket.<インタフェースエンドポイントのDNS名>
例: bucket.vpce-s3.us-west-2.vpce.amazonaws.com
STS VPCエンドポイントタイプ
AWS Security Token Service用のAmazon Virtual Private Cloudエンドポイントのタイプ。
VPCエンドポイントを使用して、Amazon Security Token Serviceとのプライベート通信を有効にすることができます。
次のいずれかのオプションを選択します。
- - AWS STSのエンドポイントDNS名
AWS STSインタフェースエンドポイントのDNS名。
例: vpce-01f22cc14558c241f-s8039x4c.sts.us-west-2.vpce.amazonaws.com
KMS VPCエンドポイントタイプ
AWS Key Management Service用のAmazon Virtual Private Cloudエンドポイントのタイプ。
VPCエンドポイントを使用して、Amazon Key Management Serviceとのプライベート通信を有効にすることができます。
次のいずれかのオプションを選択します。
- - AWS KMSのエンドポイントDNS名
AWS KMSインタフェースエンドポイントのDNS名。
例: vpce-0e722f5c721e19232-g2pkm2r7.kms.us-west-2.vpce.amazonaws.com
外部ID
IAMロールに関連付けられた外部ID。
Amazon S3ステージングバケットが同じAWSアカウントまたは異なるAWSアカウントにある場合に、Amazon S3バケットへのより安全なアクセスを提供するには、外部IDを指定します。
また、必要に応じて、引き受けたIAMロールの信頼ポリシーの外部ID条件を使用して、AWS Security Token Service(STS)へのAssumeRole要求で外部IDを指定することもできます。
このプロパティは、アプリケーション取り込みとレプリケーション タスク、およびデータベース取り込みとレプリケーション タスクには適用されません。
クラスタリージョン
Redshiftクラスタが存在するAWSジオグラフィカルリージョン。
[JDBC URL] フィールドプロパティで指定されたリージョンとは異なるクラスタリージョンを持つカスタムJDBC URLを指定する場合は、リストからクラスタリージョンを選択します。[JDBC URL] フィールドプロパティで指定されたクラスタリージョン名を引き続き使用するには、このプロパティでクラスタリージョンとして[なし] を選択します。
AWS SDKによってサポートされるクラスタリージョンとの間でのみ、データの読み取りと書き込みを行うことができます。
次のいずれかのクラスタリージョンを選択します。
なし
アジアパシフィック(ムンバイ)
アジアパシフィック(ソウル)
アジアパシフィック(シンガポール)
アジアパシフィック(シドニー)
アジアパシフィック(東京)
アジアパシフィック(香港)
AWS GovCloud(米国)
AWS GovCloud (米国東部)
カナダ(中部)
中国(北京)
中国(寧夏)
欧州(アイルランド)
欧州(フランクフルト)
EU(パリ)
EU(ストックホルム)
南米(サンパウロ)
中東(バーレーン)
米国東部(バージニア北部)
米国東部(オハイオ)
米国西部(北カリフォルニア)
米国西部(オレゴン)
デフォルトは[なし] です。
注: リージョンの値は、アプリケーション取り込みとレプリケーション タスクとデータベース取り込みとレプリケーション タスクでは必須です。
接続環境SQL
セッション全体に適用されるデータベース環境を設定するためのSQL文。
複数の値をセミコロン(;)で区切ります。
SQL文では、データベース環境の設定のみを指定してください。SQL文にはDDLコマンドやDMLコマンドを指定しないようにしてください。
マスタ対称キー
Base64形式の256ビットAES暗号化キー。これにより、Amazon S3でステージング用にデータを送信する前に、クライアント側でデータを暗号化することができます。
詳細については、「
暗号化を有効にする 」を参照してください。
このプロパティは、アプリケーション取り込みとレプリケーション タスク、およびデータベース取り込みとレプリケーション タスクには適用されません。
顧客マスタキーID
AWS Key Management Service(AWS KMS)によって生成された顧客マスタキーID、またはAmazon S3でデータをステージングする場合のアカウント間アクセス用のカスタムキーのARN。顧客マスタキーは、データがAmazon S3に保存される前に保存先でデータを暗号化します。
顧客が生成した顧客マスタキーID、またはデフォルトの顧客マスタキーIDを入力できます。
サーバー側の暗号化を設定する方法の詳細については、「
暗号化を有効にする 」を参照してください。
このプロパティは、アプリケーション取り込みとレプリケーション タスク、およびデータベース取り込みとレプリケーション タスクには適用されません。
プロキシサーバーの設定 組織で送信プロキシサーバーを使用してインターネットに接続する場合、Secure Agentは、そのプロキシサーバー経由でInformatica Intelligent Cloud Servicesに接続します。
WindowsおよびLinuxでプロキシサーバーを使用するようにSecure Agentを設定できます。認証されていないプロキシサーバーのみを使用できます。
Secure Agentのプロキシの設定を行うには、次のいずれかの方法を使用します。
• • Proxy server settings 注: HTTPプロキシとSOCKSプロキシの両方を有効にすると、デフォルトではSOCKSプロキシが使用されます。SOCKSプロキシの代わりにHTTPプロキシを使用する場合は、システムプロパティで[DisableSocksProxy] プロパティの値をtrueに設定します。
Amazon Redshiftとのプライベート通信 トラフィックを公共のインターネットに公開しないようにする場合は、AWSコンソールでゲートウェイエンドポイントを設定することで、Amazon Redshiftとのプライベート通信を有効にすることができます。
Amazon Redshiftとのプライベート接続を確立するには、Secure AgentがAWS Virtual Private Cloud(VPC)のサブネットの一部であることを確認します。ゲートウェイエンドポイントを作成し、Amazon S3データをAmazon Redshiftにステージングできます。
Amazon Redshiftに接続するためのプライベート通信を設定するには、次のタスクを実行する必要があります。
• • • これにより、Amazon Redshift V2接続プロパティでゲートウェイエンドポイントを指定できるようになります。
Amazon S3とのプライベート通信 ステージング用にAmazon S3とのプライベート通信を確立するようにAmazon Redshift V2接続を設定できます。
AWSコンソールでインタフェースエンドポイントを設定して、Amazon S3でデータをステージングするためのプライベート通信を有効にする必要があります。AWS S3 VPCエンドポイントを使用すると、インターネットに接続せずにS3要求をAmazon S3サービスにルーティングすることができます。
Amazon S3とのプライベート通信を確立する場合は、次のガイドラインを考慮してください。
• •