AWS リソースへの認証
CelerData は、AWS リソースと統合するために、インスタンスプロファイルベースの認証、ロールベースの認証、IAM ユーザーベースの認証の 3 つの認証方法をサポートしています。このトピックでは、これらの認証方法を使用して AWS 資格情報を設定�する方法について説明します。
認証方法
インスタンスプロファイルベースの認証
インスタンスプロファイルベースの認証方法では、AWS リソースに対して直接 CelerData クラスターに権限を付与できます。理論的には、クラスターにログインできるクラスター ユーザーは、設定したアクセス ポリシーに従って AWS リソース上で許可されたアクションを実行できます。このユースケースの典型的なシナリオは、クラスター内の複数のクラスター ユーザー間で AWS リソース アクセス制御が不要な場合です。この認証方法は、同じクラスター内での分離が不要であることを意味します。
ただし、この認証方法は、クラスターにログインできる人がクラスター管理者によって制御されているため、クラスター レベルの安全なアクセス制御ソリューションと見なすことができます。
ロールベースの認証
インスタンスプロファイルベースの認証とは異なり、ロールベースの認証��方法では、AWS IAM ロールを引き受けて AWS リソースにアクセスすることをサポートしています。詳細については、ロールの引き受けを参照してください。
IAM ユーザーベースの認証
IAM ユーザーベースの認証方法では、IAM ユーザー資格情報を使用して AWS リソースにアクセスすることをサポートしています。詳細については、IAM ユーザーを参照してください。
準備
まず、CelerData クラスターを正常に起動したことを確認してください。この手順を完了していない場合は、CelerData クラスターの作成を参照してください。
次のステップでは、以下に示すように Data credential に移動して、クラスターのデータ資格情報で参照される IAM ロールの Instance profile ARN を取得し、取得したインスタンスプロファイル ARN に基づいてデータ資格情報ロールの名前を推測します。以下の例では、インスタンスプロファイル ARN は arn:aws:iam::081976408565:instance-profile/byoc_common であり、データ資格情報ロールの名前が byoc_common であることを推測できます。
次に、データ資格情報ロールの ARN を取得します。この例では、次の手順を実行します。
-
IAM コンソール にログインします。
-
Roles ページに移動し、検索ボックスに byoc_common と入力してデータ資格情報ロールを検索します。次に、見つけたデータ資格情報ロールをクリックします。
-
ロールの詳細ページで、データ資格情報ロールの ARN (例:
arn:aws:iam::081976408565:role/byoc-common) をコピーし、後でアクセスできる場所に保存します。
インスタンスプロファイルベースの認証にはデータ資格情報ロールが必要であり、ロールベースの認証にはデータ資格情報ロールとその ARN が必要です。
3 番目のステップでは、アクセスしたい AWS リソースの種類と CelerData 内の特定の操作シナリオに基づいて IAM ポリシーを作成します。AWS IAM のポリシーは、特定の AWS リソースに対する一連の権限を宣言します。ポリシーを作成した後、IAM ロールまたはユーザーにアタッチする必要があります。このようにして、IAM ロールまたはユーザーは、ポリシーで宣言された権限を割り当てられ、指定された AWS リソースにアクセスできます。
注意
2 番��目と 3 番目のステップでこれらの準備を行うには、AWS IAM コンソール にサインインして IAM ユーザーとロールを編集する権限が必要です。
特定の AWS リソースにアクセスするために必要な IAM ポリシーについては、次のセクションを参照してください。
インスタンスプロファイルベースの認証の準備
必要な AWS リソースにアクセスするための IAM ポリシー を CelerData クラスターのデータ資格情報ロール (例: byoc-common) にアタッチします。
ロールベースの認証の準備
IAM ロールの作成とポリシーのアタッチ
アクセスしたい AWS リソースに応じて、1 つ以上の IAM ロールを作成します。詳細は IAM ロールの作成 を参照してください。次に、必要な AWS リソースにアクセスするための IAM ポリシー を作成した IAM ロールにアタッチします。
例えば、CelerData クラスターが AWS S3 と AWS Glue にアクセスすることを望む場合、この状況では、1 つの IAM ロール (例: s3_assumed_role) を作成し、AWS S3 にアクセスするためのポリシーと AWS Glue にアクセスするためのポリシーの両方をそのロールにアタッチすることができます。あるいは、2 つの異なる IAM ロール (例: s3_assumed_role と glue_assumed_role) を作成し、これらのポリシーをそれぞれのロールにアタッチすることもできます (つまり、AWS S3 にアクセスするためのポリシーを s3_assumed_role にアタッチし、AWS Glue にアクセスするためのポリシーを glue_assumed_role にアタッチします)。
作成した IAM ロールは、指定された AWS リソースにアクセスするために CelerData クラスターのデータ資格情報ロール (例: byoc-common) によって引き受けられます。
このセクションでは、1 つの引き受けロール s3_assumed_role を作成し、AWS S3 にアクセ�スするためのポリシーと AWS Glue にアクセスするためのポリシーの両方をそのロールに追加したと仮定しています。
信頼関係の設定
引き受けロールを次のように設定します。
-
AWS IAM コンソール にサインインします。
-
左側のナビゲーションペインで、Access management > Roles を選択します。
-
引き受けロール (
s3_assumed_role) を見つけて、その名前をクリックします。 -
ロールの詳細ページで、Trust relationships タブをクリックし、Trust relationships タブで Edit trust policy をクリックします。
-
Edit trust policy ページで、既存の JSON ポリシー ドキュメントを削除し、次の IAM ポリシーを貼り付けます。このとき、上記で取得したデータ資格情報ロールの ARN (例:
arn:aws:iam::081976408565:role/byoc-common) に<data_credential_role_ARN>を置き換える必要があります。次に、Update policy をクリックします。{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "<data_credential_role_ARN>"
},
"Action": "sts:AssumeRole"
}
]
}異なる AWS リソースにアクセスするために異なる引き受けロールを作成した場合は、他の引き受けロールを設定するために前述の手順を繰り返す必要があります。例えば、AWS S3 と AWS Glue にアクセスするために
s3_assumed_roleとglue_assumed_roleを作成した場合、この状況では、glue_assumed_roleを設定するために前述の手順を繰り返す必要があります。
データ資格情報ロールを次のように設定します。
-
AWS IAM コンソール にサインインします。
-
左側のナビゲーションペインで、Access management > Roles を選択します。
-
データ資格情報ロール (
byoc-common) を見つけて、その名前をクリックします。 -
表示されるページの Permissions policies セクションで、Add permissions をクリックし、Create inline policy を選択します。
-
Specify permissions ステップで、JSON タブをクリックし、既存の JSON ポリシー ドキュメントを削除し、次の IAM ポリシーを貼り付けます。このとき、引き受けロール
s3_assumed_roleの ARN に<s3_assumed_role_ARN>を置き換える必要があります。次に、Review policy をクリックします。{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["sts:AssumeRole"],
"Resource": ["<s3_assumed_role_ARN>"]
}
]
}異なる AWS リソースにアクセスするために異なる引き受けロールを作成した場合は、前述の IAM ポリシーの Resource 要素にこれらの引��き受けロールの ARN をすべて記入し、カンマ (,) で区切る必要があります。例えば、AWS S3 と AWS Glue にアクセスするために
s3_assumed_roleとglue_assumed_roleを作成した場合、この状況では、Resource 要素を次の形式で記入する必要があります:"<s3_assumed_role_ARN>","<glue_assumed_role_ARN>"。 -
Review Policy ステップで、ポリシー名を入力し、Create policy をクリックします。
IAM ユーザーベースの認証の準備
IAM ユーザーを作成します。詳細は AWS アカウントでの IAM ユーザーの作成 を参照してください。
次に、必要な AWS リソースにアクセスするための IAM ポリシー を作成した IAM ユーザーにアタッチします。
認証方法の比較
次の図は、CelerData におけるインスタンスプロファイルベースの認証とロールベースの認証のメカニズムの違いを高レベルで説明しています。
SQL コマンドでの AWS 資格情報の設定
AWS S3 へのアクセスのための認証パラメータ
CelerData が AWS S3 と統合する必要があるさまざまなシナリオ、たとえば、external catalog や file external table を作成する場合、または AWS S3 からデータを取り込む、バックアップする、または復元する場合に、AWS S3 へのアクセスのための認証パラメータを次のように設定します。
- インスタンスプロファイルベースの認証の場合、
aws.s3.use_instance_profileをtrueに設定します。 - ロールベースの認証の場合、
aws.s3.use_instance_profileをtrueに設定し、aws.s3.iam_role_arnを AWS S3 にアクセスできる引き受けロール (たとえば、上記で作成したs3_assumed_role) の ARN として設定します。 - IAM ユーザーベースの認証の場合、
aws.s3.use_instance_profileをfalseに設定し、aws.s3.access_keyとaws.s3.secret_keyを AWS IAM ユーザーのアクセスキーとシークレットキーとして設定します。
次の表は、パラメータを説明しています。
| パラメータ | 必須 | 説明 |
|---|---|---|
| aws.s3.use_instance_profile | はい | インスタンスプロファイルベースの認証方法とロールベースの認証方法を有効にするかどうかを指定します。有効な値: true および false。デフォルト値: false。 |
| aws.s3.iam_role_arn | いいえ | AWS S3 バケットに対する権限を持つ IAM ロールの ARN。ロールベースの認証方法を使用して AWS S3 にアクセスする場合、このパラメータを指定する必要があります。 |
| aws.s3.access_key | いいえ | IAM ユーザーのアクセスキー。IAM ユーザーベースの認証方法を使用して AWS S3 にアクセスする場合、このパラメータを指定する必要があります。 |
| aws.s3.secret_key | いいえ | IAM ユーザーのシークレットキー。IAM ユーザーベースの認証方法を使用して AWS S3 にアクセスする場合、このパラメータを指定する必要があります。 |
AWS Glue へのアクセスのための認証パラメータ
CelerData が AWS Glue と統合する必要があるさまざまなシナリオ、たとえば、external catalog を作成する場合に、AWS Glue へのアクセスのための認証パラメータを次のように設定します。
- インスタンスプロファイルベースの認証の場合、
aws.glue.use_instance_profileをtrueに設定します。 - ロールベースの認証の場合、
aws.glue.use_instance_profileをtrueに設定し、aws.glue.iam_role_arnを AWS Glue にアクセスできる引き受けロール (たとえば、上記で作成した glue_assumed_role) の ARN として設定します。 - IAM ユーザーベースの認証の場合、
aws.glue.use_instance_profileをfalseに設定し、aws.glue.access_keyとaws.glue.secret_keyを AWS IAM ユーザーのアクセスキーとシークレットキーとして設定します。
次の表は、パラメータを説明しています。
| パラメータ | 必須 | 説明 |
|---|---|---|
| aws.glue.use_instance_profile | はい | インスタンスプロファイルベースの認証方法とロールベースの認証を有効にするかどうかを指定します。有効な値: true および false。デフォルト値: false。 |
| aws.glue.iam_role_arn | いいえ | AWS Glue Data Catalog に対する権限を持つ IAM ロールの ARN。ロールベースの認証方法を使用して AWS Glue にアクセスする場合、このパラメータを指定する必要があります。 |
| aws.glue.access_key | いいえ | AWS IAM ユーザーのアクセスキー。IAM ユーザーベースの認証方法を使用して AWS Glue にアクセスする場合、このパラメータを指定する必要があります。 |
| aws.glue.secret_key | いいえ | AWS IAM ユーザーのシークレットキー。IAM ユーザーベースの認証方法を使用して AWS Glue にアクセスする場合、このパラメータを指定する必要があります。 |
統合例
external catalog
CelerData クラスターで external catalog を作成することは、ターゲットデータレイクシステムとの統合を構築することを意味し、これは次の 2 つの主要コンポーネントで構成されます。
-
ファイルストレージ 例: AWS S3 はテーブルファイルを保存します
-
メタストア 例: Hive metastore または AWS Glue はテーブルファイルのメタデータと場所を保存します
注意
Hive metastore を選択する場合、external catalog を作成する前に CelerData クラスターが Hive metastore のホストにアクセスできることを確認してください。通常のケースでは、次のいずれかのアクションを実行して、CelerData クラスターと Hive metastore の統合を有効にできます。
- CelerData クラスターと Hive metastore を同じ VPC にデプロイします。
- CelerData クラスターの VPC と Hive metastore の VPC の間に VPC ピアリング接続を設定します。
次に、Hive metastore のセキュリティグループの設定を確認して、そのインバウンドルールが CelerData クラスターのセキュリティグループからのインバウンドトラフィックを許可し、そのポート範囲がデ�フォルトポート 9083 をカバーしていることを確認します。
CelerData は次のタイプの catalog をサポートしています。
次の例では、使用するメタストアのタイプに応じて、hive_catalog_hms または hive_catalog_glue という名前の Hive catalog を作成し、Hive クラスターからデータをクエリします。詳細な構文とパラメータについては、Hive catalog を参照してください。
インスタンスプロファイルベースの認証
-
Amazon EMR Hive クラスターで Hive metastore を使用する場合、次のようなコマンドを実行します。
CREATE EXTERNAL CATALOG hive_catalog_hms
PROPERTIES
(
"type" = "hive",
"aws.s3.use_instance_profile" = "true",
"aws.s3.region" = "us-west-2",
"hive.metastore.uris" = "thrift://xx.xx.xx.xx:9083"
); -
Amazon EMR Hive クラスターで AWS Glue を使用する場合、次のようなコマンドを実行します。
CREATE EXTERNAL CATALOG hive_catalog_glue
PROPERTIES
(
"type" = "hive",
"aws.s3.use_instance_profile" = "true",
"aws.s3.region" = "us-west-2",
"hive.metastore.type" = "glue",
"aws.glue.use_instance_profile" = "true",
"aws.glue.region" = "us-west-2"
);
ロールベースの認証
-
Amazon EMR Hive クラスターで Hive metastore を使用する場合、次のようなコマンドを実行します。
CREATE EXTERNAL CATALOG hive_catalog_hms
PROPERTIES
(
"type" = "hive",
"aws.s3.use_instance_profile" = "true",
"aws.s3.iam_role_arn" = "arn:aws:iam::081976408565:role/s3_assumed_role",
"aws.s3.region" = "us-west-2",
"hive.metastore.uris" = "thrift://xx.xx.xx.xx:9083"
); -
Amazon EMR Hive クラスターで AWS Glue を使用する場合、次のようなコマンドを実行します。
CREATE EXTERNAL CATALOG hive_catalog_glue
PROPERTIES
(
"type" = "hive",
"aws.s3.use_instance_profile" = "true",
"aws.s3.iam_role_arn" = "arn:aws:iam::081976408565:role/s3_assumed_role",
"aws.s3.region" = "us-west-2",
"hive.metastore.type" = "glue",
"aws.glue.use_instance_profile" = "true",
"aws.glue.iam_role_arn" = "arn:aws:iam::081976408565:role/glue_assumed_role",
"aws.glue.region" = "us-west-2"
);
IAM ユーザーベースの認証
-
Hive クラスターで Hive metastore を使用する場合、次のようなコマンドを実行します。
CREATE EXTERNAL CATALOG hive_catalog_hms
PROPERTIES
(
"type" = "hive",
"aws.s3.use_instance_profile" = "false",
"aws.s3.access_key" = "<iam_user_access_key>",
"aws.s3.secret_key" = "<iam_user_access_key>",
"aws.s3.region" = "us-west-2",
"hive.metastore.uris" = "thrift://xx.xx.xx.xx:9083"
); -
Amazon EMR Hive クラスターで AWS Glue を使用する場合、次のようなコマンドを実行します。
CREATE EXTERNAL CATALOG hive_catalog_glue
PROPERTIES
(
"type" = "hive",
"aws.s3.use_instance_profile" = "false",
"aws.s3.access_key" = "<iam_user_access_key>",
"aws.s3.secret_key" = "<iam_user_secret_key>",
"aws.s3.region" = "us-west-2",
"hive.metastore.type" = "glue",
"aws.glue.use_instance_profile" = "false",
"aws.glue.access_key" = "<iam_user_access_key>",
"aws.glue.secret_key" = "<iam_user_secret_key>",
"aws.glue.region" = "us-west-2"
);
ファイル外部テーブル
ファイル外部テーブルは、default_catalog という名前の internal catalog に作成する必要があります。
次の例では、test_s3_db という既存のデータベースに file_table という名前のファイル外部テーブルを作成します。詳細な構文とパラメータについては、File external table を参照してください。
インスタンスプロファイルベースの認証
次のようなコマンドを実行します。
CREATE EXTERNAL TABLE test_s3_db.file_table
(
id varchar(65500),
attributes map<varchar(100), varchar(2000)>
)
ENGINE=FILE
PROPERTIES
(
"path" = "s3://celerdata-test/",
"format" = "ORC",
"aws.s3.use_instance_profile" = "true",
"aws.s3.region" = "us-west-2"
);
ロールベースの認証
次のようなコマンドを実行します。
CREATE EXTERNAL TABLE test_s3_db.file_table
(
id varchar(65500),
attributes map<varchar(100), varchar(2000)>
)
ENGINE=FILE
PROPERTIES
(
"path" = "s3://celerdata-test/",
"format" = "ORC",
"aws.s3.use_instance_profile" = "true",
"aws.s3.iam_role_arn" = "arn:aws:iam::081976408565:role/s3_assumed_role",
"aws.s3.region" = "us-west-2"
);
IAM ユーザーベースの認証
次のようなコマンドを実行します。
CREATE EXTERNAL TABLE test_s3_db.file_table
(
id varchar(65500),
attributes map<varchar(100), varchar(2000)>
)
ENGINE=FILE
PROPERTIES
(
"path" = "s3://starrocks-test/",
"format" = "ORC",
"aws.s3.use_instance_profile" = "false",
"aws.s3.access_key" = "<iam_user_access_key>",
"aws.s3.secret_key" = "<iam_user_secret_key>",
"aws.s3.region" = "us-west-2"
);
データの取り込み
LOAD LABEL を使用して AWS S3 からデータをロードできます。
次の例では、s3a://test-bucket/test_brokerload_ingestion パスに保存されているすべての Parquet データファイルから、既存のデータベース test_s3_db の test_ingestion_2 テーブルにデータをロードします。詳細な構文とパラメータについては、BROKER LOAD を参照してください。
インスタンスプロファイルベースの認証
次のようなコマンドを実行します。
LOAD LABEL test_s3_db.test_credential_instanceprofile_7
(
DATA INFILE("s3a://test-bucket/test_brokerload_ingestion/*")
INTO TABLE test_ingestion_2
FORMAT AS "parquet"
)
WITH BROKER
(
"aws.s3.use_instance_profile" = "true",
"aws.s3.region" = "us-west-1"
)
PROPERTIES
(
"timeout" = "1200"
);
ロールベースの認証
次のようなコマンドを実行します。
LOAD LABEL test_s3_db.test_credential_instanceprofile_7
(
DATA INFILE("s3a://test-bucket/test_brokerload_ingestion/*")
INTO TABLE test_ingestion_2
FORMAT AS "parquet"
)
WITH BROKER
(
"aws.s3.use_instance_profile" = "true",
"aws.s3.iam_role_arn" = "arn:aws:iam::081976408565:role/s3_assumed_role",
"aws.s3.region" = "us-west-1"
)
PROPERTIES
(
"timeout"="1200"
);
IAM ユーザーベースの認証
次のようなコマンドを実行します。
LOAD LABEL test_s3_db.test_credential_instanceprofile_7
(
DATA INFILE("s3a://test-bucket/test_brokerload_ingestion/*")
INTO TABLE test_ingestion_2
FORMAT AS "parquet"
)
WITH BROKER
(
"aws.s3.use_instance_profile" = "false",
"aws.s3.access_key" = "<iam_user_access_key>",
"aws.s3.secret_key" = "<iam_user_secret_key>",
"aws.s3.region" = "us-west-1"
)
PROPERTIES
(
"timeout" = "1200"
);