Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'intégrations zéro ETL d'Aurora à Amazon Redshift
Lorsque vous créez une intégration Aurora Zero-ETL, vous spécifiez le cluster de DB source et l'entrepôt de données Amazon Redshift cible. Vous pouvez également personnaliser les paramètres de chiffrement et ajouter des balises. Aurora crée une intégration entre le cluster de source et sa cible. Une fois l'intégration active, toutes les données que vous insérez dans le cluster de source seront répliquées dans la cible Amazon Redshift configurée.
Rubriques
Prérequis
Avant de créer une intégration zéro ETL, vous devez créer un cluster de source et un entrepôt de données Amazon Redshift cible. Vous devez également autoriser la réplication dans l'entrepôt de données en ajoutant le cluster en tant que source d'intégration autorisée.
Pour obtenir des instructions sur la réalisation de chacune de ces étapes, consultez Bien démarrer avec les intégrations zéro ETL d'Aurora à Amazon Redshift.
Autorisations requises
Certaines autorisations IAM sont requises pour créer une intégration zéro ETL. Vous avez au moins besoin des autorisations requises pour effectuer les actions suivantes :
Créez des intégrations zéro ETL pour le cluster source.
Afficher et supprimer toutes les intégrations zéro ETL.
Créer des intégrations entrantes dans l'entrepôt de données cible. Vous n'avez pas besoin de cette autorisation si le même compte est propriétaire de l'entrepôt des données Amazon Redshift et que ce compte est un principal autorisé pour cet entrepôt des données. Pour obtenir des informations sur l'ajout de principaux autorisés, consultez Configuration de l'autorisation pour votre entrepôt de données Amazon Redshift.
L'exemple de politique suivant illustre les autorisations de moindre privilège requises pour créer et gérer des intégrations. Il se peut que vous n'ayez pas besoin de ces autorisations exactes si votre utilisateur ou votre rôle dispose d'autorisations plus étendues, telles qu'une politique AdministratorAccess gérée.
Note
Les noms de ressources Redshift Amazon (ARNs) ont le format suivant. Notez l'utilisation d'une barre oblique ((/) à la place du caractère deux-points (:) avant l'UUID de l'espace de noms sans serveur.
-
Cluster provisionné –
arn:aws:redshift:{region}:{account-id}:namespace:namespace-uuid -
Sans serveur –
arn:aws:redshift-serverless:{region}:{account-id}:namespace/namespace-uuid
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "rds:CreateIntegration" ], "Resource": [ "arn:aws:rds:{region}:{account-id}:cluster:source-db", "arn:aws:rds:{region}:{account-id}:integration:*" ] }, { "Effect": "Allow", "Action": [ "rds:DescribeIntegrations" ], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "rds:DeleteIntegration", "rds:ModifyIntegration" ], "Resource": [ "arn:aws:rds:{region}::integration:*" ] }, { "Effect": "Allow", "Action": [ "redshift:CreateInboundIntegration" ], "Resource": [ "arn:aws:redshift:{account-id}{region}::namespace:{account-id}namespace-uuid" ] }] }
Choix d'un entrepôt de données cible dans un autre compte
Si vous prévoyez de spécifier un entrepôt de données Amazon Redshift cible situé dans un autre Compte AWS, vous devez créer un rôle permettant aux utilisateurs du compte courant d'accéder aux ressources du compte cible. Pour plus d'informations, consultez la section Fournir un accès à un utilisateur IAM dans un autre utilisateur Compte AWS dont vous êtes le propriétaire.
Le rôle doit disposer des autorisations suivantes, qui permettent à l'utilisateur de consulter les clusters provisionnés Amazon Redshift et les espaces de noms Redshift sans serveur disponibles dans le compte cible.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "redshift:DescribeClusters", "redshift-serverless:ListNamespaces" ], "Resource":[ "*" ] } ] }
Le rôle doit respecter la politique d'approbation suivante, qui spécifie l'ID du compte cible.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS": "arn:aws:iam:::root" }, "Action":"sts:AssumeRole" } ] }{external-account-id}
Pour obtenir des instructions quant à la création du rôle, consultez Création d'un rôle à l'aide de politiques d'approbation personnalisées.
Création d'intégrations zéro ETL
Vous pouvez créer une intégration zéro ETL à l'aide de l'API AWS Management Console, de AWS CLI, ou de l'API RDS.
Pour créer une intégration zéro ETL
Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à https://console.aws.amazon.com/rds/
l'adresse. -
Dans le panneau de navigation de gauche, choisissez Intégrations Zero-ETL.
-
Choisissez Créer une intégration Zero-ETL.
-
Dans Identifiant d'intégration, saisissez un nom pour l'intégration. Ce nom peut comporter jusqu'à 63 caractères alphanumériques et peut inclure des traits d'union.
-
Choisissez Suivant.
Pour Source, sélectionnez le cluster de Aurora DB d'où proviendront les données.
Note
RDS vous avertit si les paramètres du cluster de base de données ne sont pas configurés correctement. Si vous recevez ce message, vous pouvez soit choisir Fix it for me, soit les configurer manuellement. Pour obtenir des instructions pour les corriger manuellement, reportez-vous à Étape 1 : Créer un groupe de paramètres de cluster de base de données personnalisé.
La modification des paramètres du cluster de base de données nécessite un redémarrage. Avant de créer l'intégration, le redémarrage doit être terminé et les nouvelles valeurs de paramètres doivent être correctement appliquées au cluster de .
-
(Facultatif) Sélectionnez Personnaliser les options de filtrage des données et ajoutez des filtres de données à votre intégration. Vous pouvez utiliser des filtres de données pour définir l'étendue de la réplication vers l'entrepôt de données cible. Pour de plus amples informations, veuillez consulter Filtrage des données pour les ETL intégrations zéro d'Aurora avec Amazon Redshift.
-
Une fois que le cluster source est correctement configuré, choisissez Next.
Pour Cible, procédez comme suit :
(Facultatif) Pour utiliser un autre Compte AWS compte pour la cible Amazon Redshift, choisissez Spécifier un autre compte. Saisissez ensuite l'ARN d'un rôle IAM doté d'autorisations pour afficher vos entrepôts des données. Pour obtenir des instructions sur la création du rôle IAM, consultez Choix d'un entrepôt de données cible dans un autre compte.
Pour l'entrepôt de données Amazon Redshift, sélectionnez la cible pour les données répliquées à partir du cluster de source. Vous pouvez choisir un cluster Amazon Redshift provisionné ou un espace de noms Redshift sans serveur comme cible.
Note
RDS vous avertit si la politique de ressources ou les paramètres de sensibilité à la casse pour l'entrepôt des données spécifié ne sont pas correctement configurés. Si vous recevez ce message, vous pouvez soit choisir Fix it for me, soit les configurer manuellement. Pour obtenir des instructions pour les corriger manuellement, consultez Activation de la sensibilité à la casse pour votre entrepôt des données et Configuration de l'autorisation pour votre entrepôt des données dans le Guide de gestion Amazon Redshift.
La modification de la sensibilité à la casse pour un cluster Redshift provisionné nécessite un redémarrage. Avant de créer l'intégration, le redémarrage doit être terminé et la nouvelle valeur de paramètre doit être correctement appliquée au cluster.
Si la source et la cible que vous avez sélectionnées se trouvent dans des Comptes AWS différents, Amazon RDS ne peut pas corriger ces paramètres pour vous. Vous devez accéder à l'autre compte et les corriger manuellement dans Amazon Redshift.
-
Une fois que votre entrepôt des données cible est correctement configuré, choisissez Suivant.
-
(Facultatif) Pour Balises, ajoutez une ou plusieurs balises à l'intégration. Pour de plus amples informations, veuillez consulter Marquage d'Amazon Aurora et des ressources Amazon RDS.
-
Pour Chiffrement, spécifiez la manière dont vous souhaitez que votre intégration soit chiffrée. Par défaut, RDS chiffre toutes les intégrations avec un. Clé détenue par AWS Pour choisir plutôt une clé gérée par le client, activez Personnaliser les paramètres de chiffrement et choisissez une clé KMS à utiliser pour le chiffrement. Pour de plus amples informations, veuillez consulter Chiffrement des ressources Amazon Aurora.
Ajoutez éventuellement un contexte de chiffrement. Consultez Contexte de chiffrement dans le AWS Key Management Service guide du développeur pour en savoir plus.
Note
Amazon RDS ajoute les paires de contextes de chiffrement suivantes en plus de celles que vous ajoutez :
-
aws:redshift:integration:arn-IntegrationArn -
aws:servicename:id-Redshift
Cela réduit le nombre total de paires que vous pouvez ajouter de 8 à 6 et contribue à la limite de caractères globale de la contrainte de subvention. Pour plus d'informations, consultez la section Utilisation des contraintes de subvention dans le Guide du AWS Key Management Service développeur.
-
-
Choisissez Suivant.
Vérifiez vos paramètres d'intégration et choisissez Créer une intégration zéro ETL.
Si la création échoue, consultez Je ne peux pas créer une ETL intégration zéro pour obtenir les étapes de résolution des problèmes.
L'intégration a un statut de Creating lors de sa création et l'entrepôt de données Amazon Redshift cible a un statut de Modifying. Pendant ce temps, vous ne pouvez pas interroger l'entrepôt de données ni y apporter aucune modification de configuration.
Quand l'intégration est créée avec succès, le statut de l'intégration et celui de l'entrepôt de données Amazon Redshift cible passent tous deux à Active.
Pour créer une intégration zéro ETL à l'aide de AWS CLI, utilisez la commande create-integration avec les options suivantes :
-
--integration-name: spécifiez le nom de l'intégration. -
--source-arn— Spécifiez l'ARN du cluster de Aurora DB qui sera la source de l'intégration. -
--target-arn: spécifiez l'ARN de l'entrepôt des données Amazon Redshift qui sera la cible de l'intégration.
Dans Linux, macOS, ou Unix:
aws rds create-integration \ --integration-namemy-integration\ --source-arn arn:aws:rds:{region}:{account-id}:my-db\ --target-arn arn:aws:redshift:{region}:{account-id}:namespace:namespace-uuid
Dans Windows:
aws rds create-integration ^ --integration-namemy-integration^ --source-arn arn:aws:rds:{region}:{account-id}:my-db^ --target-arn arn:aws:redshift:{region}:{account-id}:namespace:namespace-uuid
Pour créer une intégration zéro ETL à l'aide de l'API Amazon RDS, utilisez l'opération CreateIntegration avec les paramètres suivants :
-
IntegrationName: spécifiez le nom de l'intégration. -
SourceArn— Spécifiez l'ARN du cluster de Aurora DB qui sera la source de l'intégration. -
TargetArn: spécifiez l'ARN de l'entrepôt des données Amazon Redshift qui sera la cible de l'intégration.
Chiffrer les intégrations à l'aide d'une clé gérée par le client
Si vous spécifiez une clé KMS personnalisée plutôt qu'une clé Clé détenue par AWS lorsque vous créez une intégration, la politique de clé doit fournir au service Amazon Redshift l'accès principal à l'CreateGrantaction. En outre, il doit autoriser l'utilisateur actuel à effectuer les CreateGrant actions DescribeKey et.
L'exemple de politique suivant montre comment fournir les autorisations requises dans la politique clé. Il inclut des clés contextuelles pour réduire davantage la portée des autorisations.
{ "Version": "2012-10-17", "Id": "Key policy", "Statement": [ { "Sid": "Enables IAM user permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{account-ID}:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allows the Redshift service principal to add a grant to a KMS key", "Effect": "Allow", "Principal": { "Service": "redshift.amazonaws.com" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:{context-key}":"{context-value}" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "GenerateDataKey", "CreateGrant" ] } } }, { "Sid": "Allows the current user or role to add a grant to a KMS key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{account-ID}:role/{role-name}" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:{context-key}":"{context-value}", "kms:ViaService": "rds.us-east-1.amazonaws.com" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "GenerateDataKey", "CreateGrant" ] } } }, { "Sid": "Allows the current uer or role to retrieve information about a KMS key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{account-ID}:role/{role-name}" }, "Action": "kms:DescribeKey", "Resource": "*" } ] }
Pour plus d'informations, consultez Création d'une stratégie de clé dans le Guide du développeur AWS Key Management Service .
Étapes suivantes
Une fois que vous avez réussi à créer une intégration zéro ETL, vous devez créer une base de données de destination au sein de votre cluster ou groupe de travail Amazon Redshift cible. Vous pouvez ensuite commencer à ajouter des données au cluster Aurora DB de la source et à les interroger dans Amazon Redshift. Pour obtenir des instructions, consultez Création de bases de données de destination dans Amazon Redshift.
