amazon redshift - guia de gerenciamento de clusters€¦ · amazon redshift guia de gerenciamento...

Amazon RedshiftGuia de gerenciamento de clusters

Amazon Redshift Guia de gerenciamento de clusters

Amazon Redshift: Guia de gerenciamento de clustersCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsO que é o Amazon Redshift? ............................................................................................................... 1

Você é um usuário iniciante do Amazon Redshift? .......................................................................... 1Visão geral de gerenciamento do Amazon Redshift ......................................................................... 1

Gerenciamento de clusters ................................................................................................... 2Segurança e acesso a clusters ............................................................................................. 2Monitoramento de clusters ................................................................................................... 3Bancos de dados ............................................................................................................... 4

Clusters ............................................................................................................................................. 5Visão geral de clusters do Amazon Redshift ................................................................................... 5

Clusters e nós ................................................................................................................... 5Uso do EC2-VPC ao criar o cluster ............................................................................................... 9

EC2-VPC ........................................................................................................................... 9EC2-Classic ....................................................................................................................... 9Executar um cluster ............................................................................................................ 9

Visão Geral dos tipos de nó RA3 ................................................................................................ 10Trabalhar com o armazenamento gerenciado pelo Amazon Redshift ......................................... 11Gerenciar tipos de nó RA3 ................................................................................................. 11Disponibilidade do tipo de nó RA3 nas regiões da AWS ......................................................... 11

Atualizar para os tipos de nó RA3 ............................................................................................... 12Atualizar de tipos de nó DC1 para tipos de nó DC2 ....................................................................... 13Considerações sobre regiões e zonas de disponibilidade ................................................................ 14Manutenção do cluster .............................................................................................................. 15

Janelas de manutenção ..................................................................................................... 15Adiamento da manutenção ................................................................................................. 16Selecionar acompanhamentos de manutenção do cluster ........................................................ 16Gerenciar versões do cluster .............................................................................................. 17Reverter a versão do cluster .............................................................................................. 18Determinar a versão de manutenção de cluster ..................................................................... 19

Alarme padrão de espaço em disco ............................................................................................ 20Status do cluster ....................................................................................................................... 20Visão geral do gerenciamento de clusters .................................................................................... 22

Redimensionar clusters ...................................................................................................... 22Pausar e retomar clusters .................................................................................................. 31Renomeação de clusters .................................................................................................... 32Desativação e exclusão de clusters ..................................................................................... 33

Gerenciar limites de uso ............................................................................................................ 33Gerenciamento de clusters usando o console ............................................................................... 35

Criar um cluster ................................................................................................................ 37Modificar um cluster .......................................................................................................... 47Excluir um cluster ............................................................................................................. 50Reinicialização de um cluster ............................................................................................. 51Redimensionamento de um cluster ...................................................................................... 52Atualizar a versão de um cluster ......................................................................................... 54Informações sobre a configuração de clusters ....................................................................... 55Obter uma visão geral do status de clusters ......................................................................... 56Criar um snapshot de um cluster ........................................................................................ 57Criar ou editar um alarme de espaço em disco ..................................................................... 58Utilização dos dados de desempenho do cluster .................................................................... 60

Gerencie clusters usando a CLI e a API do Amazon Redshift .......................................................... 60Gerenciar clusters usando o AWS SDK para Java ......................................................................... 61Gerenciamento de clusters em uma VPC ..................................................................................... 63

Visão geral ...................................................................................................................... 63Criar um cluster em uma VPC ............................................................................................ 65Gerenciar grupos de segurança da VPC de um cluster ........................................................... 67

iii


Grupos de sub-rede de clusters .......................................................................................... 68Histórico das versões de cluster ................................................................................................. 75

Consultar um banco de dados ............................................................................................................ 76Consultar um banco de dados usando o Query Editor .................................................................... 76

Considerações .................................................................................................................. 77Habilitar o acesso ............................................................................................................. 77Usar o Query Editor .......................................................................................................... 78

Conectar-se a um cluster usando as ferramentas do cliente SQL ..................................................... 80Configuração de conexões no Amazon Redshift .................................................................... 81Configurar as opções de segurança para conexões .............................................................. 102Conexão com clusters a partir das ferramentas do cliente e do código ..................................... 107Solução de problemas de conexão no Amazon Redshift ....................................................... 118

Enhanced VPC routing ..................................................................................................................... 124Trabalhar com VPC endpoints .................................................................................................. 125Habilitar o roteamento aprimorado de VPC ................................................................................. 125Usar o Amazon Redshift Spectrum com o roteamento aprimorado de VPC ....................................... 128

Considerações sobre o uso do roteamento aprimorado de VPC para o Redshift Spectrum ........... 129Grupos de parâmetros ..................................................................................................................... 132

Visão geral ............................................................................................................................. 132Sobre grupos de parâmetros .................................................................................................... 132Valores de parâmetro padrão .................................................................................................... 133Configurar valores de parâmetro usando a AWS CLI .................................................................... 134Configurar o gerenciamento da carga de trabalho ........................................................................ 135

Propriedades dinâmicas e estáticas do WLM ....................................................................... 135Propriedades para o parâmetro wlm_json_configuration ......................................................... 135Configurar o parâmetro wlm_json_configuration usando a AWS CLI ....................................... 139

Gerenciamento de grupos de parâmetros usando o console .......................................................... 145Criar um parameter group ................................................................................................ 145Modificar um parameter group .......................................................................................... 146Criação ou modificação de uma regra de monitoramento de consulta usando o console .............. 150Exclusão de um grupo de parâmetros ................................................................................ 153Associar um parameter group a um cluster ......................................................................... 154

Gerenciar grupos de parâmetros usando o AWS SDK para Java .................................................... 154Gerenciar grupos de parâmetros usando a CLI e a API do Amazon Redshift .................................... 158

Snapshots ...................................................................................................................................... 159Visão geral ............................................................................................................................. 159Snapshots automatizados ......................................................................................................... 160Programações de snapshots automatizados ................................................................................ 160Formato da programação de snapshot ....................................................................................... 160Snapshots manuais ................................................................................................................. 162Gerenciar armazenamento de snapshots .................................................................................... 162Excluir tabelas de snapshots .................................................................................................... 162Copiar snapshots para outra região da AWS ............................................................................... 163Restauração de um cluster usando um snapshot ......................................................................... 163Restaurar uma tabela de um snapshot ....................................................................................... 165Compartilhar snapshots ............................................................................................................ 169Gerenciamento de snapshots usando o console .......................................................................... 170

Criar uma programação de snapshot ................................................................................. 171Criação de um snapshot manual ....................................................................................... 172Alterar o período de retenção do snapshot manual ............................................................... 174Excluir snapshots manuais ............................................................................................... 176Copiar um snapshot automatizado ..................................................................................... 177Restauração de um cluster usando um snapshot ................................................................. 178Compartilhamento de um snapshot de cluster ..................................................................... 181Configuração de cópia de snapshots entre regiões para um cluster não criptografado ................. 182Configurar cópia de snapshots entre regiões para um cluster criptografado pelo AWS KMS ......... 183Alteração do período de retenção para a cópia de snapshots entre regiões .............................. 184

iv


Gerenciamento de snapshots usando o AWS SDK para Java ........................................................ 185Gerenciar snapshots usando a CLI e a API do Amazon Redshift .................................................... 187

Compra de nós reservados .............................................................................................................. 189Visão geral ............................................................................................................................. 189

Sobre as ofertas de nós reservados .................................................................................. 189Comparação das definições de preço entre as ofertas de nós reservados ................................ 190Como os nós reservados funcionam .................................................................................. 191Nós reservados e faturamento consolidado ......................................................................... 191Exemplos de nós reservados ............................................................................................ 192

Comprar uma oferta de nó reservados com o console .................................................................. 193Atualizar nós reservados com a AWS CLI ........................................................................... 196

Comprar uma oferta de nó reservado usando Java ...................................................................... 197Comprar uma oferta de nó reservado usando a AWS CLI e a API do Amazon Redshift ....................... 200

Segurança ...................................................................................................................................... 201Proteção de dados .................................................................................................................. 202

Criptografia de dados ...................................................................................................... 202Privacidade do tráfego entre redes .................................................................................... 219

Identity and Access Management .............................................................................................. 219Autenticação ................................................................................................................... 219Controle de acesso ......................................................................................................... 220Visão geral do gerenciamento de acesso ............................................................................ 221Usar políticas baseadas em identidade (políticas do IAM) ...................................................... 226Referência de permissões da API do Amazon Redshift ......................................................... 235Uso de funções vinculadas a serviço ................................................................................. 235Usar a autenticação do IAM para gerar credenciais do usuário do banco de dados .................... 237Autorizar o Amazon Redshift a acessar serviços da AWS ...................................................... 275

Registro em log e monitoramento .............................................................................................. 285Registro em log da auditoria de banco de dados ................................................................. 285

Validação de conformidade ....................................................................................................... 299Resiliência .............................................................................................................................. 300Segurança da infraestrutura ...................................................................................................... 301

Isolamento de rede ......................................................................................................... 219Grupos de segurança ...................................................................................................... 301

Análise de configuração e vulnerabilidade ................................................................................... 315Usar as interfaces de gerenciamento do Amazon Redshift .................................................................... 316

Using the AWS SDK for Java ................................................................................................... 317Execução de exemplos de Java usando o Eclipse ............................................................... 317Execução de exemplos de Java da linha de comando .......................................................... 318Definição do endpoint ...................................................................................................... 319

Assinatura de uma solicitação HTTP .......................................................................................... 319Exemplo de cálculo de assinatura ..................................................................................... 320

Configurar a CLI do Amazon Redshift ........................................................................................ 321Instruções de instalação ................................................................................................... 321Conceitos básicos do AWS Command Line Interface ............................................................ 322

Monitoramento do desempenho de cluster .......................................................................................... 326Visão geral ............................................................................................................................. 326Dados de desempenho ............................................................................................................ 327

Métricas do Amazon Redshift ........................................................................................... 327Dimensões para métricas do Amazon Redshift .................................................................... 332Dados de desempenho de consulta e carga do Amazon Redshift ........................................... 333

Trabalhar com dados de desempenho ........................................................................................ 334Visualizar dados de desempenho do cluster ........................................................................ 335Visualizar dados do histórico de consultas .......................................................................... 342Visualizar dados de desempenho do banco de dados ........................................................... 345Visualizar dados de escalabilidade da simultaneidade e simultaneidade da carga de trabalho ...... 349Visualizar consultas e cargas ............................................................................................ 352Visualizar métricas do cluster durante as operações de carga ................................................ 364

v


Analisar o desempenho da carga de trabalho ...................................................................... 366Criar um alarme .............................................................................................................. 370Trabalhar com métricas de desempenho no console do CloudWatch ....................................... 373

Eventos ......................................................................................................................................... 374Visão geral ............................................................................................................................. 374Visualização de eventos usando o console ................................................................................. 374Visualizar eventos usando o AWS SDK para Java ....................................................................... 376Visualização de eventos usando a CLI e API do Amazon Redshift .................................................. 377Notificações de eventos ........................................................................................................... 377

Visão geral ..................................................................................................................... 377Categorias de eventos e mensagens de eventos do Amazon Redshift ..................................... 379Gerenciamento de notificações de evento usando o console do Amazon Redshift ...................... 389Gerenciamento de notificações de evento usando a CLI e a API do Amazon Redshift ................. 394

Cotas e limites ................................................................................................................................ 395Cotas do Amazon Redshift ....................................................................................................... 395Cotas e limites do Amazon Redshift Spectrum ............................................................................ 397Restrições de nomenclatura ...................................................................................................... 398

Atribuição de tags (tagging) .............................................................................................................. 400Visão geral da marcação .......................................................................................................... 400

Requisitos de marcação ................................................................................................... 401Gerenciamento de tags de recursos usando o console ................................................................. 401Gerenciar tags usando a API do Amazon Redshift ....................................................................... 404

Histórico do documento .................................................................................................................... 406

vi

Amazon Redshift Guia de gerenciamento de clustersVocê é um usuário iniciante do Amazon Redshift?

O que é o Amazon Redshift?Bem-vindo ao Amazon Redshift Cluster Management Guide. O Amazon Redshift é um serviço dearmazenamento de dados em escala de petabytes totalmente gerenciado na nuvem. Você pode começarcom apenas algumas centenas de gigabytes de dados e escalar para um petabyte ou mais. Isso permiteque você use seus dados para adquirir novos insights para seus negócios e clientes.

A primeira etapa para criar um data warehouse é executar um conjunto de nós, chamado cluster doAmazon Redshift. Depois de provisionar o seu cluster, você pode fazer upload do seu conjunto de dadose executar consultas de análise de dados. Independente do tamanho do conjunto de dados, o AmazonRedshift oferece desempenho rápido de consultas usando as mesmas ferramentas baseadas em SQL eaplicativos de inteligência de negócios que você já usa.

Você é um usuário iniciante do Amazon Redshift?Se você estiver usando o Amazon Redshift pela primeira vez, recomendamos que você leia as seguintesseções para começar:

• Visão geral de gerenciamento do Amazon Redshift (p. 1) – Este tópico fornece uma visão geral doAmazon Redshift.

• Destaques e definição de preço do serviço – Essa página de detalhes do produto mostra a proposta devalor, os destaques do serviço e a definição de preço do Amazon Redshift.

• Conceitos básicos do Amazon Redshift – Este guia conduz você através do processo de criação de umcluster, criação de tabelas de banco de dados, carregamento de dados e teste de consultas.

• Amazon Redshift Cluster Management Guide (este guia) – Este guia mostra como criar e gerenciarclusters do Amazon Redshift.

• Amazon Redshift Database Developer Guide – Se você é um desenvolvedor de banco de dados, esteguia explica como projetar, construir, consultar e manter bancos de dados que compõem seu datawarehouse.

Há várias maneiras de gerenciar clusters. Se preferir uma maneira mais interativa de gerenciar clusters,você pode usar o Amazon Redshift console ou a AWS Command Line Interface (AWS CLI). Se você éum desenvolvedor de aplicativos, pode usar a API de Consulta do Amazon Redshift ou as bibliotecas doKit de desenvolvimento de software (SDK) do AWS para gerenciar clusters programaticamente. Se vocêusar a API de consulta do Amazon Redshift, deve autenticar cada solicitação HTTP ou HTTPS para a APIassinando-a. Para obter mais informações sobre a assinatura de solicitações, acesse Assinatura de umasolicitação HTTP (p. 319).

Para obter informações sobre a CLI, API e SDKs, acesse os seguintes links:

• AWS CLI Command Reference• Amazon Redshift API Reference• Referências de SDK em Ferramentas para a Amazon Web Services.

Visão geral de gerenciamento do Amazon RedshiftO serviço do Amazon Redshift gerencia todo o trabalho de configuração, operação e escalabilidade de umdata warehouse. Essas tarefas incluem o provisionamento de capacidade, monitoramento e backup docluster, e aplicação de patches e atualizações para o mecanismo do Amazon Redshift.

1

https://aws.amazon.com/redshift/

https://docs.aws.amazon.com/redshift/latest/gsg/

https://docs.aws.amazon.com/redshift/latest/mgmt/

https://docs.aws.amazon.com/redshift/latest/dg/

https://docs.aws.amazon.com/cli/latest/reference/

https://docs.aws.amazon.com/redshift/latest/APIReference/

https://aws.amazon.com/tools/

Amazon Redshift Guia de gerenciamento de clustersGerenciamento de clusters

Gerenciamento de clustersUm cluster do Amazon Redshift é um conjunto de nós, que consiste em um nó de liderança e em umou mais nós de computação. O tipo e o número de nós de computação que você necessita depende dotamanho de seus dados, do número de consultas que você executará e do desempenho de execução deconsulta necessários.

Criar e gerenciar clustersDependendo de suas necessidades de data warehouse, você pode começar com um cluster pequeno denó único e facilmente escalar para um cluster maior de vários nós à medida que suas exigências mudam.Você pode adicionar ou remover nós de computação do cluster sem nenhuma interrupção no serviço. Paraobter mais informações, consulte Clusters do Amazon Redshift (p. 5).

Reservar nós de computaçãoSe você pretende manter seu cluster em execução durante um ano ou mais, pode economizar reservandonós de computação para um período de um ano ou três anos. A reserva de nós de computação ofereceeconomia significativa em comparação às taxas por hora que você paga quando provisiona nós decomputação sob demanda. Para obter mais informações, consulte Compra de nós reservados do AmazonRedshift (p. 189).

Criar snapshots de clusterSnapshots são backups pontuais de um cluster. Existem dois tipos de snapshots: automatizados emanuais. O Amazon Redshift armazena esses snapshots internamente no Amazon Simple StorageService (Amazon S3) usando uma conexão Secure Sockets Layer (SSL) criptografada. Se você precisarrestaurar a partir de um snapshot, o Amazon Redshift criará um novo cluster e importará dados dosnapshot especificado. Para obter mais informações sobre snapshots, consulte Snapshots do AmazonRedshift (p. 159).

Segurança e acesso a clustersHá vários recursos relacionados ao acesso e à segurança de clusters no Amazon Redshift. Esses recursosajudam você a controlar o acesso ao seu cluster, definir regras de conectividade e criptografas dados econexões. Esses recursos são além dos recursos relacionados ao acesso e à segurança de banco dedados no Amazon Redshift. Para obter mais informações sobre segurança de banco de dados, consulteGerenciamento de segurança de banco de dados, no Amazon Redshift Database Developer Guide.

Contas da AWS e credenciais do IAMPor padrão, um cluster do Amazon Redshift é acessível somente para a conta da AWS que cria o cluster.O cluster é bloqueado para que ninguém mais tenha acesso. Dentro da sua conta da AWS, você usao serviço do AWS Identity and Access Management (IAM) para criar contas de usuário e gerenciar aspermissões dessas contas para controlar operações de cluster. Para obter mais informações, consulteSegurança no Amazon Redshift (p. 201).

Grupos de segurançaPor padrão, todos os clusters que você cria são fechados para todos. As credenciais do IAM controlamsomente o acesso aos recursos relacionados à API do Amazon Redshift: o Amazon Redshift console, ainterface de linha de comando (CLI), a API e o SDK. Para permitir acesso ao cluster a partir de ferramentasde cliente SQL via JDBC ou ODBC, você usa security groups:

• Se você estiver usando a plataforma EC2-VPC para seu cluster do Amazon Redshift, deverá usarsecurity groups de VPC. Recomendamos que você execute o cluster em uma plataforma EC2-VPC.

2

https://docs.aws.amazon.com/redshift/latest/dg/r_Database_objects.html

Amazon Redshift Guia de gerenciamento de clustersMonitoramento de clusters

Não será possível mover um cluster para uma VPC depois que ele for executado com a plataformaEC2-Classic. No entanto, você pode restaurar um snapshot de EC2-Classic em um cluster de EC2-VPC usando o console do Amazon Redshift. Para obter mais informações, consulte Restauração de umcluster usando um snapshot (p. 178).

• Se você estiver usando a plataforma EC2-Classic para seu cluster do Amazon Redshift, deverá usarsecurity groups do Amazon Redshift.

Em ambos os casos, você adiciona regras ao security group para conceder acesso de entrada explícitoa um intervalo específico de endereços CIDR/IP, ou para um security group do Amazon Elastic ComputeCloud (Amazon EC2) se o seu cliente SQL for executado em uma instância do Amazon EC2. Para obtermais informações, consulte Grupos de segurança de clusters do Amazon Redshift (p. 301).

Além das regras de acesso de entrada, você cria usuários do banco de dados para fornecer credenciaispara autenticar o banco de dados no próprio cluster. Para obter mais informações, consulte Bancos dedados (p. 4) neste tópico.

CriptografiaQuando você provisiona o cluster, opcionalmente, pode optar por criptografar o cluster para segurançaadicional. Ao permitir a criptografia, o Amazon Redshift armazena todos os dados em tabelas criadas pelousuário em um formato criptografado. Também é possível usar o AWS Key Management Service (AWSKMS) para gerenciar suas chaves de criptografia do Amazon Redshift.

A criptografia é uma propriedade imutável do cluster. A única forma de mudar de um cluster criptografadopara um cluster não criptografado é descarregar os dados e recarregá-los em um novo cluster. Acriptografia aplica-se ao cluster e a todos os backups. Quando você restaura um cluster a partir de umsnapshot criptografado, o novo cluster também é criptografado.

Para obter mais informações sobre a criptografia, chaves e módulos de segurança de hardware, consulteCriptografia do banco de dados do Amazon Redshift (p. 203).

Conexões SSLVocê pode usar criptografia de Secure Sockets Layer (SSL) para criptografar a conexão entre o clienteSQL e seu cluster. Para obter mais informações, consulte Configurar as opções de segurança paraconexões (p. 102).

Monitoramento de clustersHá vários recursos relacionados ao monitoramento no Amazon Redshift. Você pode usar o log de auditoriado banco de dados para gerar logs de atividades, configurar eventos e assinaturas de notificações pararastrear informações de seu interesse. Use as métricas em Amazon Redshift e Amazon CloudWatch parasaber sobre a integridade e o desempenho de seus clusters e bancos de dados.

Registro em log da auditoria de banco de dadosVocê pode usar o recurso de registro de auditoria do banco de dados para acompanhar informações sobretentativas de autenticação, conexões, desconexões, alterar as definições de usuário do banco de dadose consultas executadas no banco de dados. Essas informações são úteis para fins de segurança e desolução de problemas no Amazon Redshift. Os logs são armazenados em buckets do Amazon S3. Paraobter mais informações, consulte Registro em log da auditoria de banco de dados (p. 285).

Eventos e notificaçõesO Amazon Redshift rastreia eventos e retém informações sobre eles por um período de várias semanasem sua conta da AWS. Para cada evento, o Amazon Redshift registra informações tais como a data em

3

Amazon Redshift Guia de gerenciamento de clustersBancos de dados

que o evento ocorreu, uma descrição, a origem do evento (por exemplo, um cluster, um parameter groupou snapshot) e o ID de origem. Você pode criar assinaturas de notificação de evento do Amazon Redshiftque especificam um conjunto de filtros de evento. Quando um evento que corresponde aos critérios dofiltro ocorrer, o Amazon Redshift usará o Amazon Simple Notification Service para informá-lo ativamentede que o evento ocorreu. Para obter mais informações sobre eventos e notificações, consulte Eventos doAmazon Redshift (p. 374).

DesempenhoO Amazon Redshift fornece métricas e dados de desempenho para que você possa acompanhar a saúdee o desempenho de seus clusters e bancos de dados. O Amazon Redshift usa métricas do AmazonCloudWatch para monitorar os aspectos físicos do cluster, como utilização da CPU, latência e taxa detransferência. O Amazon Redshift também fornece dados de desempenho de consulta e carregamentopara ajudá-lo a monitorar a atividade do banco de dados em seu cluster. Para obter mais informaçõessobre métricas de desempenho e monitoramento, consulte Monitoramento do desempenho de cluster doAmazon Redshift (p. 326).

Bancos de dadosO Amazon Redshift cria um banco de dados quando você provisiona um cluster. Este é o banco de dadosque você usa para carregar dados e executar consultas em seus dados. Você pode criar bancos de dadosadicionais executando um comando SQL, conforme necessário. Para obter mais informações sobre acriação de bancos de dados adicionais, acesse Etapa 1: criar um banco de dados, no Amazon RedshiftDatabase Developer Guide.

Quando você provisiona um cluster, especifica um usuário principal que tem acesso a todos os bancos dedados criados no cluster. Este usuário principal é um superusuário que é, inicialmente, o único usuário comacesso ao banco de dados, embora esse usuário possa criar outros superusuários e usuários. Para obtermais informações, consulte Superusuários e Usuários, no Amazon Redshift Database Developer Guide.

O Amazon Redshift usa parameter groups para definir o comportamento de todos os bancos de dadosem um cluster, tais como estilo de apresentação de data e a precisão de ponto flutuante. Se você nãoespecificar um parameter group ao provisionar seu cluster, o Amazon Redshift associará um parametergroup padrão ao cluster. Para obter mais informações, consulte Grupos de parâmetros do AmazonRedshift (p. 132).

Para obter mais informações sobre bancos de dados no Amazon Redshift, acesse o Amazon RedshiftDatabase Developer Guide.

4

https://docs.aws.amazon.com/redshift/latest/dg/t_creating_database.html

https://docs.aws.amazon.com/redshift/latest/dg/r_superusers.html

https://docs.aws.amazon.com/redshift/latest/dg/r_Users.html



Amazon Redshift Guia de gerenciamento de clustersVisão geral de clusters do Amazon Redshift

Clusters do Amazon RedshiftNas seguintes seções, você pode saber os princípios básicos para criar um data warehouse por meio daexecução de um conjunto de nós de computação denominado cluster do Amazon Redshift.

Tópicos• Visão geral de clusters do Amazon Redshift (p. 5)• Uso do EC2-VPC ao criar o cluster (p. 9)• Visão Geral dos tipos de nó RA3 (p. 10)• Atualizar para os tipos de nó RA3 (p. 12)• Atualizar de tipos de nó DC1 para tipos de nó DC2 (p. 13)• Considerações sobre regiões e zonas de disponibilidade (p. 14)• Manutenção do cluster (p. 15)• Alarme padrão de espaço em disco (p. 20)• Status do cluster (p. 20)• Visão geral do gerenciamento de clusters no Amazon Redshift (p. 22)• Gerenciar limites de uso no Amazon Redshift (p. 33)• Gerenciamento de clusters usando o console (p. 35)• Gerencie clusters usando a CLI e a API do Amazon Redshift (p. 60)• Gerenciar clusters usando o AWS SDK para Java (p. 61)• Gerenciamento de clusters em uma VPC (p. 63)• Histórico das versões de cluster (p. 75)

Visão geral de clusters do Amazon RedshiftUm data warehouse do Amazon Redshift é um conjunto de recursos de computação chamados de nós,que são organizados em um grupo chamado de cluster. Cada cluster executa um mecanismo do AmazonRedshift e contém um ou mais bancos de dados.

Note

No momento, o mecanismo de versão 1.0 do Amazon Redshift está disponível. No entanto, àmedida que o mecanismo é atualizado, várias versões do mecanismo do Amazon Redshift podemestar disponíveis para seleção.

Clusters e nós no Amazon RedshiftUm cluster do Amazon Redshift consiste em nós. Cada cluster tem um nó de liderança e um ou mais nósde computação. O nó líder recebe consultas de aplicativos cliente, analisa as consultas e desenvolveplanos de execução de consulta. Em seguida, o nó principal coordena a execução paralela desses planoscom os nós de computação e agrega os resultados intermediários desses nós. Então, ele retorna osresultados de volta para os aplicativos cliente.

Nós de computação executam planos de execução de consultas e transmitem dados entre si para atenderessas consultas. Os resultados intermediários são enviados ao nó de liderança para agregação antesde serem enviados novamente para os aplicativos clientes. Para obter mais informações sobre nós deliderança e nós de computação, consulte Arquitetura do sistema de data warehouse no Amazon RedshiftDatabase Developer Guide.

Quando você executa um cluster, uma opção que você especifica é o tipo de nó. O tipo de nó determina aCPU, RAM, capacidade de armazenamento e o tipo de unidade de armazenamento de cada nó.

5

https://docs.aws.amazon.com/redshift/latest/dg/c_high_level_system_architecture.html

Amazon Redshift Guia de gerenciamento de clustersClusters e nós

O Amazon Redshift oferece diferentes tipos de nós para acomodar as cargas de trabalho, erecomendamos a escolha de RA3 ou DC2, dependendo do desempenho necessário, do tamanho dosdados e do crescimento de dados esperado.

Os nós RA3 com armazenamento gerenciado permitem que otimizar o data warehouse com escalabilidadee pagando separadamente por computação e armazenamento gerenciado. Com o RA3, você escolhe onúmero de nós com base nos requisitos de desempenho e paga apenas pelo armazenamento gerenciadoutilizado. Dimensione o cluster RA3 com base na quantidade de dados processada diariamente. Vocêpode executar clusters que usam os tipos de nó RA3 em uma virtual private cloud (VPC). Não é possíveliniciar clusters RA3 no EC2-Classic. Para obter mais informações, consulte Criar um cluster em umaVPC (p. 65).

O armazenamento gerenciado do Amazon Redshift usa SSDs grandes e de alto desempenho em cadanó RA3 para armazenamento rápido no local e o Amazon S3 para armazenamento resiliente de longoprazo. Se os dados de um nó ultrapassarem o tamanho dos SSDs grandes no local, o armazenamentogerenciado do Amazon Redshift transferirá automaticamente esses dados para o Amazon S3. Você pagaa mesma taxa reduzida pelo armazenamento gerenciado do Amazon Redshift, independentemente se osdados estiverem em SSDs de alto desempenho ou no Amazon S3. Para cargas de trabalho que exigemarmazenamento crescente, o armazenamento gerenciado permite que você escale automaticamente acapacidade de armazenamento do data warehouse sem adicionar e pagar por nós adicionais.

Os nós DC2 permitem criar data warehouses com uso intensivo de computação e armazenamento SSDlocal. Você escolhe o número de nós necessários com base no tamanho dos dados e nos requisitosde desempenho. Os nós DC2 armazenam os dados localmente para alto desempenho e, conforme otamanho dos dados cresce, é possível adicionar mais nós de computação para aumentar a capacidadede armazenamento do cluster. Para conjuntos de dados abaixo de 1 TB (compactados), recomendamosos tipos de nós DC2 para obter o melhor desempenho com o menor preço. Se você espera que osdados cresçam, recomendados o uso dos nós RA3, para que você possa dimensionar computação earmazenamento de forma independente para atingir preço e desempenho melhores. Você executa clustersque usam os tipos de nó DC2 em uma nuvem privada virtual (VPC). Não é possível executar clusters DC2no EC2-Classic. Para obter mais informações, consulte Criar um cluster em uma VPC (p. 65).

Os nós DS2 permitem criar grandes data warehouses usando discos rígidos (HDDs) e recomendamoso uso dos nós RA3 em seu lugar. Se você estiver usando nós DS2, consulte Atualizar para os tipos denó RA3 (p. 12) para obter diretrizes de atualização. Se estiver usando oito ou mais nós de ds2.xlargeou qualquer número de nós ds2.8xlarge, agora você poderá atualizar para o RA3 para obter 2x maisarmazenamento e melhor desempenho pelo mesmo preço sob demanda.

Os tipos de nó estão disponíveis em diferentes tamanhos. O tamanho do nó e o número de nósdeterminam o armazenamento total de um cluster. Para obter mais informações, consulte Detalhes do tipode nó (p. 7).

Alguns tipos de nó permitem um nó (single-node) ou dois ou mais nós (multi-node). O número mínimo denós para clusters de alguns tipos de nó é de dois nós. Em um cluster de single-node, o nó é compartilhadopara a funcionalidade principal e de computação. Os clusters de nó único não são recomendados paraexecutar cargas de trabalho de produção. Em um cluster de multi-node, o nó de liderança é separado dosnós de computação. O nó de liderança é o mesmo tipo de nó que os nós de computação. Você só pagapelos nós de computação.

O Amazon Redshift aplica cotas aos recursos para cada conta da AWS em cada região da AWS. Uma cotarestringe o número de recursos que sua conta pode criar para determinado tipo de recurso, como nós ousnapshots, em uma região da AWS. Para obter mais informações sobre as cotas padrão que se aplicamaos recursos do Amazon Redshift, consulte Limites do Amazon Redshift no Referência geral do AmazonWeb Services. Para solicitar um aumento, envie um Formulário de aumento de limite do Amazon Redshift.

O custo do cluster depende da região da AWS, do tipo de nó, do número de nós e se os nós sãoreservados com antecedência. Para obter mais informações sobre o custo de nós, consulte a página deDefinição de preço do Amazon Redshift.

6

https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html#limits_redshift

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-redshift

https://aws.amazon.com/redshift/pricing/


Detalhes do tipo de nóAs tabelas a seguir resumem as especificações de nó para cada tipo e tamanho de nó. Os títulos nastabelas têm estes significados:

• vCPU é o número de CPUs virtuais para cada nó.• RAM é a quantidade de memória em gibibytes (GiB) para cada nó.• Fatias por nó padrão é o número de fatias nas quais um nó de computação é particionado quando um

cluster é criado ou redimensionado por meio do redimensionamento clássico.

O número de fatias por nó poderá ser alterado se o cluster for redimensionado usando oredimensionamento elástico. No entanto, o número total de fatias em todos os nós de computação nocluster permanece o mesmo após o redimensionamento elástico.

Ao criar um cluster com a operação de restauração do snapshot, o número de fatias do cluster resultantepode ser alterado do cluster original se você alterar o tipo de nó.

• Storage é capacidade e o tipo de armazenamento de cada nó.• Intervalo de nó é o número mínimo e máximo de nós que o Amazon Redshift aceita para o tipo e o

tamanho de nó.

Note

Você pode ficar restrito a menos nós, dependendo da cota aplicada à sua conta da AWS naregião da AWS selecionada. Para solicitar um aumento, envie um Formulário de aumento delimite do Amazon Redshift.

• Capacidade total é a capacidade de armazenamento total para o cluster se você implantar o númeromáximo de nós especificado no intervalo de nó.

Tipos de nó RA3

Tamanho donó

vCPU RAM(GiB)

Fatiaspadrãopor nó

Cota dearmazenamentogerenciadopor nó

Intervalo denós com acriação decluster

Capacidadetotal

ra3.4xlarge 12 96 4 64 TB1 2–322 4096 TB2,3

ra3.16xlarge 48 384 16 64 TB1 2 – 128 8192 TB3

1 Indica a cota de armazenamento do armazenamento gerenciado do Amazon Redshift.

2 Um tipo de nó ra3.4xlarge pode ser criado com 32 nós, mas redimensionado por meio doredimensionamento elástico para um máximo de 64 nós.

3 A cota total de armazenamento gerenciado é o número máximo de nós vezes 64 TB.

Tipos de nós de armazenamento denso

Tamanho donó

vCPU RAM(GiB)


Armazenamentopor nó

Intervalo denó

Capacidadetotal

ds2.xlarge 4 13 2 2 TB HDD 1–32 64 TB

ds2.8xlarge 36 244 16 16 TB HDD 2–128 2 PB

7




Tipos de nós de computação densa

Tamanho donó

vCPU RAM(GiB)


Armazenamentopor nó

Intervalo denó

Capacidadetotal

dc2.large 2 15 2 NVMe-SSDde 160 GB

1–32 5.12 TB

dc2.8xlarge 32 244 16 NVMe-SSDde 2.56 TB

2–128 326 TB

dc1.large1 2 15 2 160 GB SSD 1–32 5.12 TB

dc1.8xlarge1 32 244 32 2.56 TB SSD 2–128 326 TB

1 Recomendamos os tipos de nó DC2 em vez dos tipos de nó DC1. Para obter mais informações sobrecomo atualizar, consulte Atualizar de tipos de nó DC1 para tipos de nó DC2 (p. 13).

Nomes dos tipos anteriores de nó

Em versões anteriores do Amazon Redshift, alguns tipos de nó tinham nomes diferentes. É possívelusar os nomes anteriores na AWS CLI e na API do Amazon Redshift. Contudo, recomendamos que vocêatualize todos os scripts que façam referência a esses nomes para usarem os nomes atuais. Os nomesatuais e anteriores são conforme se segue.

Nome atual Nomes anteriores

ds2.xlarge ds1.xlarge, dw.hs1.xlarge, dw1.xlarge

ds2.8xlarge ds1.8xlarge, dw.hs1.8xlarge, dw1.8xlarge

dc1.large dw2.large

dc1.8xlarge dw2.8xlarge

Determinação do número de nósComo o Amazon Redshift distribui e executa consultas em paralelo por todos os nós de computação deum cluster, você pode aumentar o desempenho da consulta ao adicionar nós ao seu cluster. Quando vocêexecuta um cluster de, pelo menos, dois nós de computação, os dados em cada nó são espelhados emdiscos de outro nó para reduzir o risco de perda de dados.

É possível monitorar o desempenho da consulta no Amazon Redshift console e com métricas do AmazonCloudWatch. Também é possível adicionar ou remover nós conforme necessário para alcançar o equilíbrioentre preço e desempenho para o cluster. Quando você solicita um nó adicional, o Amazon Redshift cuidade todos os detalhes de implantação, balanceamento de carga e manutenção de dados. Para obter maisinformações sobre desempenho do cluster, consulte Monitoramento do desempenho de cluster do AmazonRedshift (p. 326).

Os nós reservados são adequados para cargas de trabalho de produção estáveis e oferecem grandesdescontos em relação aos nós sob demanda. É possível comprar nós reservados depois de executarexperimentos e prova de conceitos para validar a configuração de produção. Para obter mais informações,consulte Compra de nós reservados do Amazon Redshift (p. 189).

Ao pausar um cluster, você suspende o faturamento sob demanda durante o tempo em que o cluster ficapausado. Durante esse tempo pausado, você só paga pelo armazenamento de backup. Desse modo, você

8

Amazon Redshift Guia de gerenciamento de clustersUso do EC2-VPC ao criar o cluster

fica livre de planejar e comprar antecipadamente capacidade de data warehouse para atender às suasnecessidades e pode gerenciar com economia ambientes para desenvolvimento ou testes.

Para obter informações sobre a definição de preço de nós sob demanda e reservados, consulte Definiçãode preço do Amazon Redshift.

Uso do EC2-VPC ao criar o clusterClusters do Amazon Redshift são executados em instâncias do Amazon Elastic Compute Cloud (AmazonEC2) configuradas para o tipo de nó do Amazon Redshift e o tamanho de nó que você seleciona. Crie ocluster usando o EC2-VPC. Se você ainda estiver usando o EC2-Classic, recomendamos usar o EC2-VPCpara obter melhor desempenho e segurança. Para obter mais informações sobre essas plataformas deredes, consulte Plataformas compatíveis no Guia do usuário do Amazon EC2 para instâncias do Linux.Suas configurações de conta da AWS determinam se o EC2-VPC ou o EC2-Classic estão disponíveis paravocê.

Note

Para evitar problemas de conexão entre as ferramentas do cliente SQL e o banco de dadosdo Amazon Redshift, recomendamos a execução de um dos procedimentos a seguir. Vocêpode configurar uma regra de entrada que permita aos hosts negociar o tamanho do pacote.Como alternativa, você pode desativar grandes frames de TCP/IP configurando a unidade detransmissão máxima (MTU) como 1500 na interface de rede (NIC) de suas instâncias do AmazonEC2. Para obter mais informações sobre essas abordagens, consulte As consultas parecemtravar e, às vezes, não se comunicam com o cluster (p. 121).

EC2-VPCAo usar o EC2-VPC, o cluster é executado em uma nuvem privada virtual (VPC) que é logicamente isoladaà sua conta da AWS. Se provisionar o cluster no EC2-VPC, você controlará seu acesso associando um oumais grupos de segurança de VPC ao cluster. Para obter mais informações, consulte Grupos de segurançapara sua VPC no Guia do usuário da Amazon VPC.

Para criar um cluster em uma VPC, crie um grupo de sub-rede de cluster do Amazon Redshift fornecendoinformações da sub-rede de sua VPC e forneça o grupo de sub-rede ao executar o cluster. Para obter maisinformações, consulte Grupos de sub-rede de clusters do Amazon Redshift (p. 68).

Para obter mais informações sobre a Amazon Virtual Private Cloud (Amazon VPC), consulte a página dedetalhes do produto da Amazon VPC.

EC2-ClassicNo EC2-Classic, o cluster é executado em uma única rede simples que você compartilha com outrosclientes da AWS. Se provisionar o cluster no EC2-Classic, você controlará o acesso ao cluster associandoum ou mais grupos de segurança de cluster do Amazon Redshift ao cluster. Para obter mais informações,consulte Grupos de segurança de clusters do Amazon Redshift (p. 301).

Executar um clusterSua conta da AWS pode executar instâncias do EC2-VPC e do EC2-Classic, ou somente do EC2-VPC,de acordo com a região. Para determinar qual plataforma de redes é compatível com sua conta e depoisexecutar um cluster, faça o seguinte:

9



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-platforms.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html


https://aws.amazon.com/vpc/


Amazon Redshift Guia de gerenciamento de clustersVisão Geral dos tipos de nó RA3

1. Decida em qual região da AWS você deseja implantar um cluster. Para obter uma lista das regiões daAWS em que o Amazon Redshift está disponível, consulte Regiões e endpoints no Referência geral doAmazon Web Services.

2. Saiba quais plataformas do Amazon EC2 são compatíveis com sua conta para a região da AWSescolhida. Você pode encontrar estas informações no console do Amazon EC2. Para obter instruçõesdetalhadas, consulte Plataformas compatíveis no Guia do usuário do Amazon EC2 para instâncias doLinux.

3. Se a sua conta for compatível com ambas as plataformas, recomendamos a EC2-VPC. Se sua conta forcompatível somente com EC2-VPC, você deve implantar seu cluster em VPC.

4. Execute o cluster do Amazon Redshift. É possível criar um cluster usando o Amazon Redshiftconsole, ou usando a AWS CLI, a API do Amazon Redshift ou bibliotecas SDK. Para obter maisinformações sobre essas opções e links para a documentação relacionada, consulte O que é o AmazonRedshift? (p. 1).

Visão Geral dos tipos de nó RA3Recomendamos que você atualize as cargas de trabalho existentes em execução em clusters do tipo denó DS2 para os tipos de nó RA3 a fim de aproveitar o desempenho aprimorado e obter mais capacidadede armazenamento. Os nós RA3 fornecem as seguintes vantagens:

• Eles são flexíveis para aumentar a capacidade computacional sem aumentar os custos dearmazenamento. Além disso, eles dimensionam o armazenamento sem provisionar em excesso acapacidade computacional.

• Eles usam SSDs de alto desempenho para os dados quentes (recentes) e o Amazon S3 para dados frios(inativos). Assim, eles oferecem facilidade de uso, armazenamento econômico e alto desempenho deconsultas.

• Eles usam redes de alta largura de banda criadas no AWS Nitro System para reduzir ainda mais o temponecessário para que os dados sejam descarregados e recuperados do Amazon S3.

Considere escolher tipos de nó RA3 nos seguintes casos:

• Você precisa de flexibilidade para escalar e pagar pela computação separada do armazenamento.• Você consulta uma fração de seus dados totais.• Seu volume de dados está crescendo rapidamente ou espera-se que ele cresça rapidamente.• Você quer a flexibilidade de dimensionar o cluster com base somente em suas necessidades de

desempenho.

Para usar tipos de nó RA3, a região da AWS deverá ser compatível com RA3. Para obter maisinformações, consulte Disponibilidade do tipo de nó RA3 nas regiões da AWS (p. 11).

Important

Só é possível usar tipos de nó ra3.4xlarge com a versão de cluster 1.0.14104 ou posterior. Vocêpode visualizar a versão de um cluster existente com o console do Amazon Redshift. Para obtermais informações, consulte Determinar a versão de manutenção de cluster (p. 19).Certifique-se de que você usa o novo console do Amazon Redshift ao trabalhar com tipos de nóRA3. O console original não é compatível com todas as operações RA3.Além disso, para usar tipos de nó RA3 com operações do Amazon Redshift que usamacompanhamento de manutenção, o valor da faixa de manutenção deverá ser definido para umaversão de cluster compatível com RA3. Para obter mais informações sobre o acompanhamentode manutenção, consulte Selecionar acompanhamentos de manutenção do cluster (p. 16).

10

https://docs.aws.amazon.com/general/latest/gr/rande.html


Amazon Redshift Guia de gerenciamento de clustersTrabalhar com o armazenamentogerenciado pelo Amazon Redshift

Trabalhar com o armazenamento gerenciado peloAmazon RedshiftCom o armazenamento gerenciado pelo Amazon Redshift, você pode armazenar e processar todosos dados no Amazon Redshift ao mesmo tempo que obtém mais flexibilidade para dimensionar ascapacidades de computação e armazenamento separadamente. Você pode continuar a ingerir dados como comando COPY ou INSERT. Para otimizar o desempenho e gerenciar o posicionamento automáticode dados nos níveis de armazenamento, o Amazon Redshift aproveita otimizações, como temperatura etempo de vida do bloco de dados e padrões de carga de trabalho. Quando necessário, o Amazon Redshiftdimensiona o armazenamento automaticamente para o Amazon S3, sem a necessidade de qualquer açãomanual.

Para obter mais informações sobre os custos de armazenamento, consulte Definição de preços doAmazon Redshift.

Gerenciar tipos de nó RA3Para aproveitar a separação entre a computação e o armazenamento, é possível criar ou atualizar ocluster com o tipo de nó RA3. Para usar os tipos de nó RA3, crie seus clusters em uma virtual private cloud(EC2-VPC).

Para alterar o número de nós de clusters do Amazon Redshift com um tipo de nó RA3, siga um destesprocedimentos:

• Adicione ou remova nós com a operação de redimensionamento elástico. Em algumas situações, aremoção de nós de um cluster RA3 não é permitida com o redimensionamento elástico. Por exemplo,quando uma atualização de contagem de nós 2:1 coloca o número de fatias por nó em 32. Para obtermais informações, consulte Redimensionar clusters (p. 22). Se o redimensionamento elástico nãoestiver disponível, use o redimensionamento clássico.

• Adicione ou remova nós com a operação clássica de redimensionamento. Escolha essa opçãoquando estiver redimensionando para uma configuração que não esteja disponível por meio deredimensionamento elástico. O redimensionamento elástico é mais rápido do que o redimensionamentoclássico. Para obter mais informações, consulte Redimensionar clusters (p. 22).

Disponibilidade do tipo de nó RA3 nas regiões daAWSOs tipos de nó RA3 estão disponíveis somente nas seguintes regiões da AWS:

• Leste dos EUA (Norte da Virgínia) Região (us-east-1)• Região do Leste dos EUA (Ohio) (us-east-2)• Região do Oeste dos EUA (Norte da Califórnia) (us-west-1)• Região Oeste dos EUA (Oregon) (us-west-2)• Região da Ásia-Pacífico (Mumbai) (ap-south-1)• Região da Ásia-Pacífico (Seul) (ap-northeast-2)• Região Ásia-Pacífico (Cingapura) (ap-southeast-1)• Região Ásia-Pacífico (Sydney) (ap-southeast-2)• Região Ásia-Pacífico (Tóquio) (ap-northeast-1)• Região do Canadá (Central) (ca-central-1)

11



Amazon Redshift Guia de gerenciamento de clustersAtualizar para os tipos de nó RA3

• Região Europa (Frankfurt) (eu-central-1)• Região da Europa (Irlanda) (eu-west-1)• Região Europa (Londres) (eu-west-2)• Região Europa (Paris) (eu-west-3)• Região América do Sul (São Paulo) (sa-east-1)

Atualizar para os tipos de nó RA3Para atualizar o tipo de nó existente para o RA3, você tem as seguintes opções para alterar o tipo de nó:

• Restauração usando um snapshot – O Amazon Redshift usa o snapshot mais recente do cluster DS2 ouDC2 e o restaura para criar um cluster RA3. Assim que a criação do cluster for concluída (geralmenteem minutos), os nós RA3 estarão prontos para executar a carga de trabalho de produção completa.Como a computação é separada do armazenamento, os dados quentes são trazidos para o cache localem velocidades rápidas graças a uma grande largura de banda de rede. Se você restaurar usando osnapshot DS2 ou DC2 mais recente, o RA3 preservará as informações de blocos quentes da cargade trabalho DS2 ou DC2 e preencherá o cache local com os blocos mais quentes. Para obter maisinformações, consulte Restauração de um cluster usando um snapshot (p. 163).

Para manter o mesmo endpoint para seus aplicativos e usuários, você pode renomear o novo clusterRA3 com o mesmo nome do cluster DS2 ou DC2 original. Para renomear o cluster, modifique-o noconsole do Amazon Redshift ou na operação de API ModifyCluster. Para obter mais informações,consulte Renomeação de clusters (p. 32) ou operação de API ModifyCluster na Amazon RedshiftAPI Reference.

• Redimensionar elástico – redimensione o cluster usando o redimensionamento elástico. Quando vocêusa o redimensionamento elástico para alterar o tipo de nó, o Amazon Redshift cria automaticamenteum snapshot, cria um cluster, exclui o cluster antigo e renomeia o novo cluster. A operação deredimensionamento elástico pode ser executada sob demanda ou pode ser programada para execuçãoem um momento futuro. É possível atualizar rapidamente os clusters de tipo de nó DS2 ou DC2existentes para o RA3 com redimensionamento elástico. Para obter mais informações, consulte Elasticresize (Redimensionamento elástico) (p. 23).

A tabela a seguir mostra recomendações ao atualizar para os tipos de nó RA3.

Tipo de nóexistente

Intervalo donúmero de nósexistente

Novo tipo de nórecomendado

Ação deatualização

ds2.xlarge 1–7 none Mantenha ocluster ds2.xlargeexistente ouatualize para umcluster dc2.large.Se você não tiverdados suficientespara preenchero disco local,atualizar paraum dc2.largepode melhorar odesempenho ereduzir custos.

12

https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyCluster.html

Amazon Redshift Guia de gerenciamento de clustersAtualizar de tipos de nó DC1 para tipos de nó DC2

Tipo de nóexistente

Intervalo donúmero de nósexistente

Novo tipo de nórecomendado

Ação deatualização

ds2.xlarge 8–128 ra3.4xlarge Crie 1 nó dera3.4xlarge paracada 4 nós deds2.xlarge.

ds2.8xlarge 2–15 ra3.4xlarge Crie 2 nós dera3.4xlargepara cada nó deds2.8xlarge.

ds2.8xlarge 16–128 ra3.16xlarge Crie 1 nó dera3.16xlarge paracada 2 nós deds2.8xlarge.

dc2.8xlarge 2–15 ra3.4xlarge Crie 2 nós dera3.4xlargepara cada nó dedc2.8xlarge1.

dc2.8xlarge 16–128 ra3.16xlarge Crie 1 nó dera3.16xlarge paracada 2 nós dedc2.8xlarge1.

dc2.large 1–15 none Mantenha ocluster dc2.largeexistente.

dc2.large 16–128 ra3.4xlarge Crie 1 nó dera3.4xlarge paracada 8 nós dedc2.large1.

1Poderão ser necessários nós adicionais dependendo dos requisitos de carga de trabalho. Adicione ouremova nós com base nos requisitos de computação do desempenho de consulta necessário.

O número mínimo de nós para clusters RA3 é de 2 nós. Leve isso em consideração ao criar um clusterRA3.

Se você já adquiriu nós reservados DS2, entre em contato com a AWS para obter ajuda com a conversãode nós reservados DS2 para nós reservados RA3. Para entrar em contato com a AWS a fim de obter maisinformações, consulte Instâncias RA3 do Amazon Redshift com armazenamento gerenciado.

Atualizar de tipos de nó DC1 para tipos de nó DC2Para aproveitar as melhorias de desempenho, é possível atualizar o cluster DC1 para os tipos de nó DC2.

Clusters que utilizam os tipos de nó DC2 devem ser executados em uma nuvem privada virtual (EC2-VPC).

Se o cluster DC1 não estiver em uma VPC:

13

https://pages.awscloud.com/Redshift_RA3instances.html

Amazon Redshift Guia de gerenciamento de clustersConsiderações sobre regiões e zonas de disponibilidade

1. Crie um snapshot do cluster DC1. Para obter mais informações, consulte Snapshots do AmazonRedshift (p. 159).

2. Crie uma VPC e depois crie um cluster DC2 na VPC. Para obter mais informações, consulteGerenciamento de clusters em uma VPC (p. 63).

3. Restaure o snapshot para o novo cluster DC2 na VPC. Para obter mais informações, consulteRestauração de um cluster usando um snapshot (p. 163).

Se o cluster DC1 já estiver em uma VPC, escolha um dos seguintes métodos:

• Redimensione o cluster DC1 e altere o tipo de nó para DC2 como parte da operação. O cluster ficaindisponível por um período durante a operação de redimensionamento. Para obter mais informações,consulte Redimensionar clusters no Amazon Redshift (p. 22).

• Crie um snapshot do cluster DC1 e restaure o snapshot para um cluster DC2 na VPC. Para obter maisinformações, consulte Restauração de um cluster usando um snapshot (p. 163).

Considere o seguinte ao atualizar os tipos de nós DC1 para DC2.

• Os clusters DC1 100% completos podem não atualizar para um número equivalente de nós DC2. Sehouver necessidade de mais espaço em disco, é possível:• Redimensionar para uma configuração com mais espaço em disco disponível.• Limpe os dados desnecessários ao truncar as tabelas ou ao excluir linhas.

• Os clusters do DC2 não oferecem suporte para redes do EC2-Classic. Se o seu cluster do DC1 nãoestiver em execução em uma VPC, crie uma para sua migração ao DC2. Para obter mais informações,consulte Gerenciamento de clusters em uma VPC (p. 63).

• Se você redimensionar o cluster, ele poderá ser colocado no modo somente leitura durante a operação.Para obter mais informações, consulte Redimensionar clusters no Amazon Redshift (p. 22).

• Se você comprou nós reservados DC1, é possível atualizar os nós reservados DC1 para nós DC2 para orestante do período de vigência. Para obter mais informações sobre como alterar a reserva com a AWSCLI, consulte Atualizar nós reservados com a AWS CLI (p. 196).

• Se você usar a restauração para atualizar de dc1.large para dc2.large e alterar o número de nós, osnapshot deverá ter sido criado na versão do cluster 1.0.10013 ou posterior.

• Se você usar a restauração para atualizar de dc1.8xlarge para dc2.8xlarge, o snapshot deverá ter sidocriado na versão do cluster 1.0.10013 ou posterior.

• Se você usar o redimensionamento elástico para atualizar de DC1 para DC2 e alterar o número de nós,o cluster deverá estar na versão do cluster 1.0.10013 ou posterior.

Considerações sobre regiões e zonas dedisponibilidade

O Amazon Redshift está disponível em diversas regiões da AWS. Por padrão, o Amazon Redshiftprovisiona o cluster em uma zona de disponibilidade (AZ) selecionada aleatoriamente na região da AWSescolhida. Todos os nós de cluster são provisionados na mesma zona de disponibilidade.

Se preferir, você poderá solicitar uma zona de disponibilidade específica se o Amazon Redshift estiverdisponível nessa zona. Por exemplo, se você já tem uma instância do Amazon EC2 em execução em umazona de disponibilidade, pode querer criar o cluster do Amazon Redshift na mesma zona para reduzira latência. Por outro lado, talvez você queira escolher outra zona de disponibilidade para obter maiordisponibilidade. O Amazon Redshift pode não estar disponível em todas as zonas de disponibilidade emuma região da AWS.

14

Amazon Redshift Guia de gerenciamento de clustersManutenção do cluster

Para obter uma lista das regiões da AWS compatíveis onde você pode provisionar um cluster do AmazonRedshift, consulte Regiões e endpoints, na Referência geral do Amazon Web Services.

Manutenção do clusterO Amazon Redshift executa manutenções periodicamente para aplicar atualizações ao seu cluster.Durante essas atualizações, seu cluster do Amazon Redshift não fica disponível para operações normais.Você tem várias maneiras de controlar como mantemos seu cluster. Por exemplo, você pode controlarquando implantamos atualizações em seus clusters. Também é possível escolher se o cluster executará aversão lançada mais recentemente ou a versão lançada antes da versão lançada mais recentemente. Porfim, você tem a opção de adiar atualizações de manutenção não obrigatórias por um período.

Tópicos• Janelas de manutenção (p. 15)• Adiamento da manutenção (p. 16)• Selecionar acompanhamentos de manutenção do cluster (p. 16)• Gerenciar versões do cluster (p. 17)• Reverter a versão do cluster (p. 18)• Determinar a versão de manutenção de cluster (p. 19)

Janelas de manutençãoO Amazon Redshift atribui aleatoriamente uma janela de manutenção de 30 minutos a partir de um blocode tempo de 8 horas por região da AWS, ocorrendo em um dia da semana aleatório (de segunda-feira adomingo, inclusive).

Janelas de manutenção padrãoA lista a seguir mostra os blocos de tempo de cada região da AWS pelos quais as janelas de manutençãopadrão são atribuídas:

• Região Leste dos EUA (Norte da Virgínia): 03:00–11:00 UTC• Região Leste dos EUA (Ohio): 03:00–11:00 UTC• Região Oeste dos EUA (Norte da Califórnia): 06:00–14:00 UTC• Região Oeste dos EUA (Oregon): 06:00–14:00 UTC• África (Cidade do Cabo) Região: 20:00 – 04:00 UTC• Região Ásia-Pacífico (Hong Kong): 13:00–21:00 UTC• Região Ásia Pacífico (Mumbai): 16:30–00:30 UTC• Região Ásia-Pacífico (Osaka – Local): 13:00–21:00 UTC• Região Ásia-Pacífico (Seul): 13:00–21:00 UTC• Região Ásia-Pacífico (Cingapura): 14:00–22:00 UTC• Região Ásia-Pacífico (Sydney): 12:00–20:00 UTC• Região Ásia-Pacífico (Tóquio): 13:00–21:00 UTC• Região Canadá (Central): 03:00–11:00 UTC• Região China (Pequim): 13:00–21:00 UTC• Região China (Ningxia): 13:00–21:00 UTC• Região Europa (Frankfurt): 06:00–14:00 UTC• Região Europa (Irlanda): 22:00–06:00 UTC

15

https://docs.aws.amazon.com/general/latest/gr/rande.html#redshift_region

Amazon Redshift Guia de gerenciamento de clustersAdiamento da manutenção

• Região Europa (Londres): 22:00–06:00 UTC• Região Europa (Milão): 21:00 – 05:00 UTC• Região Europa (Paris): 23:00–07:00 UTC• Região Europa (Estocolmo): 23:00–07:00 UTC• Região Oriente Médio (Bahrein): 13:00–21:00 UTC• Região América do Sul (São Paulo): 19:00–03:00 UTC

Se um evento de manutenção estiver agendado para determinada semana, ele começará durante a janelade manutenção de 30 minutos atribuída. Enquanto o Amazon Redshift está executando a manutenção,ele encerra todas as consultas ou outras operações que estiverem em andamento. A maior parte damanutenção é concluída durante a janela de manutenção de 30 minutos, mas algumas tarefas demanutenção podem continuar sendo executadas após o fechamento da janela. Se não há tarefas demanutenção a executar durante a janela de manutenção programada, seu cluster continua a operarnormalmente até a próxima janela de manutenção programada.

Você pode alterar a janela de manutenção programada modificando o cluster, de forma programática ouutilizando o Amazon Redshift console. A janela deve ter, pelo menos, 30 minutos e não mais do que 24horas. Para obter mais informações, consulte Gerenciamento de clusters usando o console (p. 35).

Adiamento da manutençãoSe precisar reprogramar a janela de manutenção do cluster, você terá a opção de adiar a manutenção ematé 45 dias. Por exemplo, se a janela de manutenção do cluster estiver definida para quarta-feira das 8:30às 9:00 UTC e você precisar acessar o cluster nesse período, será possível adiar a manutenção para ummomento posterior. Não faremos nenhuma manutenção em seu cluster quando você tiver especificado umadiamento, a menos que precisemos atualizar o hardware.

Se precisarmos atualizar o hardware ou fazer outras atualizações obrigatórias durante o período deadiamento, notificaremos você e faremos as alterações necessárias. O cluster não ficará disponíveldurante essas atualizações.

Se você adiar a manutenção do cluster, a janela de manutenção após o período de adiamento éobrigatória. Não pode ser adiada.

Note

Você não pode adiar a manutenção depois que ela foi iniciada.

Para obter mais informações, consulte Modificar um cluster (p. 47).

Selecionar acompanhamentos de manutenção doclusterQuando o Amazon Redshift libera uma nova versão do cluster, seu cluster será atualizado durante a janelade manutenção. É possível controlar se o cluster será atualizado para a versão mais recente aprovada oupara a versão anterior.

O acompanhamento de manutenção controla qual versão do cluster será aplicada durante uma janela demanutenção. Quando o Amazon Redshift libera uma nova versão do cluster, essa versão é atribuída aoacompanhamento atual, enquanto a versão anterior é atribuída ao acompanhamento anterior. Para definiro acompanhamento de manutenção para o cluster, especifique um dos seguintes valores:

• Atual – Use a versão de cluster aprovada mais recente.• Anterior – Use a versão do cluster antes da versão atual.• Demonstração – use a versão do cluster que contém os novos recursos disponíveis para demonstração.

16

Amazon Redshift Guia de gerenciamento de clustersGerenciar versões do cluster

Por exemplo, suponha que seu cluster esteja atualmente executando a versão 1.0.2762 e a versão atualdo Amazon Redshift seja 1.0.3072. Se você definir o valor do acompanhamento de manutenção paraCurrent (Atual), o cluster será atualizado para a versão 1.0.3072 (a próxima versão aprovada) durante apróxima janela de manutenção. Se o valor do acompanhamento de manutenção do cluster for definidopara Trailing (Anterior), o cluster não será atualizado até que haja uma nova versão após a 1.0.3072.

Trilhas de demonstração

Uma trilha de Preview (Demonstração) pode não estar disponível para escolha. Ao escolher uma trilhade Preview (Demonstração), um nome de trilha deve ser selecionado. As trilhas de demonstração e seusrecursos relacionados são temporários, têm limitações funcionais e podem não conter todos os recursosdo Amazon Redshift disponíveis em outras trilhas. Ao trabalhar com trilhas de demonstração:

• Use o novo console do Amazon Redshift ao trabalhar com acompanhamentos de demonstração. Porexemplo, quando você cria um cluster para usar com recursos de demonstração.

• Não é possível alternar um cluster de uma trilha de demonstração para outra.• Não é possível alternar um cluster para uma trilha de demonstração de uma trilha atual ou inicial.• Não é possível restaurar um snapshot criado em uma trilha de demonstração diferente.• Só é possível usar a trilha de demonstração ao criar um novo cluster ou ao restaurar de um snapshot.• Não é possível restaurar de um snapshot criado em uma trilha de demonstração diferente ou com uma

versão de manutenção do cluster posterior à versão do cluster da trilha de demonstração. Por exemplo,ao restaurar um cluster para uma trilha de demonstração, você só pode usar um snapshot criado emuma versão de manutenção de cluster anterior à da trilha de demonstração.

Alternar entre acompanhamentos de manutenção

Alterar o acompanhamento de um cluster costuma ser uma decisão única. Você deve ter cuidado aomudar de acompanhamento. Se você alterar o acompanhamento de manutenção de Trailing (Anterior)para Current (Atual), atualizaremos o cluster para a versão de acompanhamento Current (Atual) durante apróxima janela de manutenção. No entanto, se você alterar o acompanhamento de manutenção do clusterpara Trailing (Anterior), não atualizaremos seu cluster até que haja uma nova versão após a versão deacompanhamento Current (Atual).

Acompanhamento de manutenção e restaurar

Um snapshot herda o acompanhamento de manutenção do cluster de origem. Se você alterar oacompanhamento de manutenção do cluster de origem depois de obter um snapshot, o snapshot e ocluster de origem estarão em acompanhamentos diferentes. Quando você fizer a restauração de umsnapshot, o novo cluster estará no acompanhamento de manutenção herdado do cluster de origem. Épossível alterar o acompanhamento de manutenção após a conclusão da operação de restauração. Oredimensionamento de um cluster não afeta o acompanhamento de manutenção do cluster.

Para obter mais informações, consulte, Configurar o acompanhamento de manutenção de umcluster (p. 48).

Gerenciar versões do clusterUm acompanhamento de manutenção é uma série de versões. Você pode decidir se o clusterestará no acompanhamento Atual ou no acompanhamento Anterior. Se você colocar seu cluster noacompanhamento Atual, ele sempre será atualizado para a versão mais recente do cluster durante a janelade manutenção. Se você colocar seu cluster no acompanhamento Anterior, ele sempre executará a versãodo cluster lançada imediatamente antes da versão lançada mais recentemente.

A coluna Release Status (Status de versão) na lista de clusters do console do Amazon Redshift indica seum de seus clusters está disponível para atualização.

17

Amazon Redshift Guia de gerenciamento de clustersReverter a versão do cluster

Reverter a versão do clusterSe o cluster estiver atualizado com a versão mais recente, você poderá optar por revertê-lo para a versãoanterior.

Para obter informações detalhadas sobre os recursos e as melhorias incluídas em cada versão de cluster,consulte Histórico das versões de cluster (p. 75).

Note

Um novo console está disponível para o Amazon Redshift. Selecione as instruções New console(Novo console) ou Original console (Console original) com base no console que você estáusando. As instruções New console (Novo console) estão abertas por padrão.

Novo console

Para reverter para uma versão anterior do cluster

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em https://console.aws.amazon.com/redshift/.

2. No menu de navegação, escolha CLUSTERS.3. Selecione o cluster a ser revertido.4. Em Actions (Ações), escolha Roll back cluster version (Reverter versão de cluster). A página Roll back

cluster version (Reverter versão de cluster) é exibida.5. Se houver uma versão disponível para reversão, siga as instruções na página.6. Escolha Roll back now (Reverter agora).

Console original

Para reverter para uma versão anterior do cluster


2. No painel de navegação, escolha Clusters.3. Escolha o cluster que você deseja reverter e selecione a guia Status.

Se houver uma versão disponível para a qual reverter, ela aparecerá na guia de status da página dedetalhes.

4. Selecione Rollback to release (release number) (Reverter para versão [número da versão]).

18

https://console.aws.amazon.com/redshift/




Amazon Redshift Guia de gerenciamento de clustersDeterminar a versão de manutenção de cluster

Determinar a versão de manutenção de clusterVocê pode determinar o mecanismo do Amazon Redshift e a versão do banco de dados com o console doAmazon Redshift.

Note


Novo console

Para encontrar a versão de um cluster


2. No menu de navegação, escolha CLUSTERS e escolha o nome do cluster na lista para abrir osdetalhes. Os detalhes do cluster são exibidos, incluindo as guias Query monitoring (Monitoramento deconsultas), Cluster performance (Desempenho do cluster), Maintenance and monitoring (Manutençãoe monitoramento), Backup, Properties (Propriedades) e Schedule (Programação).

3. Escolha a guia Maintenance and monitoring (Manutenção e monitoramento) para obter mais detalhes.4. Na seção Maintenance (Manutenção), localize a Current cluster version (Versão atual do cluster).

Note

Embora o console exiba essas informações em um único campo, elas correspondem a doisparâmetros na API do Amazon Redshift: ClusterVersion e ClusterRevisionNumber. Paraobter mais informações, consulte Cluster em Amazon Redshift API Reference.

Console original

Você pode determinar as versões do mecanismo e banco de dados do Amazon Redshift para o seu clusterno campo Cluster Version (Versão de cluster) do console. As primeiras duas seções do número são aversão do cluster e a última seção é o número de revisão específico do banco de dados no cluster. Noexemplo a seguir, a versão do cluster é 1.0 e o número de revisão do banco de dados é 884.

Note

Embora o console exiba essas informações em um único campo, elas correspondem a doisparâmetros na API do Amazon Redshift: ClusterVersion e ClusterRevisionNumber. Paraobter mais informações, consulte Cluster em Amazon Redshift API Reference.

19



https://docs.aws.amazon.com/redshift/latest/APIReference/API_Cluster.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_Cluster.html

Amazon Redshift Guia de gerenciamento de clustersAlarme padrão de espaço em disco

Para especificar se o mecanismo do Amazon Redshift deve ser atualizado automaticamente em seucluster se uma nova versão do mecanismo for disponibilizada, use a configuração Allow version upgrade(Permitir atualização de versão). Essa configuração não afeta as atualizações de versões do banco dedados, que são aplicadas durante o intervalo de manutenção que você especifica para o cluster. Osupgrades de mecanismo do Amazon Redshift são upgrades de versão principal, enquanto upgradesde banco de dados do Amazon Redshift são upgrades de versão secundária. Você pode desabilitaratualizações automáticas somente para versões principais. Para obter mais informações sobre as janelasde manutenção para atualizações de versões secundárias, consulte Janelas de manutenção (p. 15).

Alarme padrão de espaço em discoQuando você cria um cluster do Amazon Redshift, tem a opção de configurar um alarme do AmazonCloudWatch para monitorar a porcentagem média de espaço em disco usada ao longo de todos os nós emseu cluster. Nos referiremos a este alarme como o alarme padrão de espaço em disco.

A finalidade do alarme padrão de espaço em disco é ajudá-lo a monitorar a capacidade dearmazenamento de seu cluster. Você pode configurar este alarme com base nas necessidades de seudata warehouse. Por exemplo, você pode usar o aviso como um indicador de que talvez seja necessárioredimensionar seu cluster. É possível redimensionar selecionando um tipo de nó diferente ou adicionandonós, ou talvez comprando nós reservados para uma expansão futura.

O alarme padrão de espaço em disco é acionado quando o uso de disco atinge ou excede umaporcentagem especificada por determinado número de vezes e por uma duração específica. Por padrão,este alarme é acionado quando a porcentagem que você especifica é alcançada e permanece acima ounaquela porcentagem por cinco minutos ou mais. Você pode editar os valores padrão depois que executaro cluster.

Quando o alarme do CloudWatch é acionado, o Amazon Simple Notification Service (Amazon SNS)envia uma notificação para os destinatários especificados para alertá-los de que o limite de porcentagemfoi alcançado. O Amazon SNS usa um tópico para especificar os destinatários e a mensagem que sãoenviados em uma notificação. Você pode usar um tópico do Amazon SNS existente; caso contrário, umtópico é criado com base nas configurações que você especifica quando executa o cluster. Você podeeditar o tópico para este alarme depois que executar o cluster. Para obter mais informações sobre acriação de tópicos do Amazon SNS, consulte Conceitos básicos do Amazon Simple Notification Service.

Depois que você executar o cluster, é possível visualizar e editar o alarme a partir da janela Status emAlarmes do CloudWatch. O nome é percentage-disk-space-used-default-<string>. Você pode abrir oalarme para visualizar o tópico do Amazon SNS ao qual ele está associado e editar as configurações dealarme. Se você não selecionou um tópico do Amazon SNS existente para uso, o tópico criado para vocêse chama <clustername>-default-alarms (<destinatário>); por exemplo, examplecluster-default-alarms ([email protected]).

Para obter mais informações sobre como configurar e editar o alarme padrão de espaço em disco, consulteCriar um cluster (p. 37) e Criar ou editar um alarme de espaço em disco (p. 58).

Note

Se você excluir seu cluster, o alarme associado a ele não será excluído, mas não será acionado.Você pode excluir o alarme do console do CloudWatch se não precisar mais dele.

Status do clusterO status de cluster exibe o estado atual do cluster. A tabela a seguir fornece uma descrição para cadastatus de cluster.

20

https://docs.aws.amazon.com/sns/latest/dg/GettingStarted.html

Amazon Redshift Guia de gerenciamento de clustersStatus do cluster

Status Descrição

available O cluster está em execução e disponível.

available, prep-for-resize

O cluster está sendo preparado para redimensionamento elástico. O clusterestá em execução e disponível para consultas de leitura e gravação, mas asoperações de cluster, como a criação de um snapshot, não estão disponíveis.

available, resize-cleanup

Uma operação de redimensionamento elástico está concluindo a transferênciade dados para os novos nós do cluster. O cluster está em execução edisponível para consultas de leitura e gravação, mas as operações de cluster,como a criação de um snapshot, não estão disponíveis.

cancelling-resize A operação de redimensionamento está sendo cancelada.

creating O Amazon Redshift está criando o cluster. Para obter mais informações,consulte Criar um cluster (p. 37).

deleting O Amazon Redshift está excluindo o cluster. Para obter mais informações,consulte Excluir um cluster (p. 50).

final-snapshot O Amazon Redshift está tirando um snapshot final do cluster antes de excluí-lo. Para obter mais informações, consulte Excluir um cluster (p. 50).

hardware-failure O cluster sofreu uma falha de hardware.

Se você tem um cluster de único nó, o nó não pode ser substituído. Pararecuperar seu cluster, restaure um snapshot. Para obter mais informações,consulte Snapshots do Amazon Redshift (p. 159).

incompatible-hsm O Amazon Redshift não pode conectar-se ao módulo de segurança dehardware (HSM). Verifique a configuração de HSM entre o cluster e o HSM.Para obter mais informações, consulte Criptografia para o Amazon Redshiftusando módulos de segurança de hardware (p. 205).

incompatible-network

Há um problema com a configuração de rede subjacente. Certifique-se de quea VPC em que você implementou o cluster existe e que suas configuraçõesestão corretas. Para obter mais informações, consulte Gerenciamento declusters em uma VPC (p. 63).

incompatible-parameters

Há um problema com um ou mais valores de parâmetros no parameter groupassociado e o valor ou valores de parâmetro não podem ser aplicados.Modifique o parameter group e atualize todos os valores inválidos. Paraobter mais informações, consulte Grupos de parâmetros do AmazonRedshift (p. 132).

incompatible-restore

Houve um problema ao restaurar o cluster a partir do snapshot. Tenterestaurar o cluster novamente com um snapshot diferente. Para obter maisinformações, consulte Snapshots do Amazon Redshift (p. 159).

modifying O Amazon Redshift está aplicando alterações no cluster. Para obter maisinformações, consulte Modificar um cluster (p. 47).

paused O cluster está pausado. Para obter mais informações, consulte Pausar eretomar clusters (p. 31).

rebooting O Amazon Redshift está reinicializando o cluster. Para obter maisinformações, consulte Reinicialização de um cluster (p. 51).

21

Amazon Redshift Guia de gerenciamento de clustersVisão geral do gerenciamento de clusters

Status Descrição

renaming O Amazon Redshift está aplicando um novo nome para o cluster. Para obtermais informações, consulte Renomeação de clusters (p. 32).

resizing O Amazon Redshift está redimensionando o cluster. Para obter maisinformações, consulte Redimensionamento de um cluster (p. 52).

rotating-keys O Amazon Redshift está alternando as chaves de criptografia para o cluster.Para obter mais informações, consulte Rotação de chave de criptografia noAmazon Redshift (p. 206).

storage-full O cluster alcançou sua capacidade de armazenamento. Redimensione ocluster para adicionar nós ou escolha um tamanho diferente de nó. Para obtermais informações, consulte Redimensionamento de um cluster (p. 52).

updating-hsm Amazon Redshift está atualizando a configuração de HSM. .

Visão geral do gerenciamento de clusters noAmazon Redshift

Depois que o cluster é criado, há várias operações que poderão ser executadas nele. As operaçõesincluem redimensionamento, pausa, retomada, renomeação e exclusão.

Redimensionar clusters no Amazon RedshiftÀ medida que a capacidade e o desempenho de data warehouse precisam mudar ou crescer, você poderedimensionar o cluster para fazer um uso melhor das opções de computação e armazenamento queo Amazon Redshift oferece. É possível usar o redimensionamento elástico para dimensionar o clusteralterando o tipo de nó e o número de nós. Ou, se a nova configuração do nó não estiver disponível pormeio do redimensionamento elástico, você poderá usar o redimensionamento clássico.

Para redimensionar o cluster, use uma das seguintes abordagens:

• Redimensionamento elástico – para alterar o tipo de nó, o número de nós ou ambos, use oredimensionamento elástico. Se você alterar somente o número de nós, as consultas serãotemporariamente pausadas, e as conexões serão mantidas abertas, quando possível. Durante aoperação de redimensionamento, o cluster é somente leitura. Normalmente, o redimensionamentoelástico leva de 10 a 15 minutos. Recomendamos usar o redimensionamento elástico sempre quepossível.

• Redimensionamento clássico – para alterar o tipo de nó, o número de nós ou ambos, use oredimensionamento clássico. Escolha essa opção quando estiver redimensionando para umaconfiguração que não esteja disponível por meio de redimensionamento elástico. Um exemplo é de oupara um cluster de nó único. Durante a operação de redimensionamento, o cluster é somente leitura.Normalmente, o redimensionamento clássico leva de duas horas a dois dias ou mais, dependendo dotamanho dos dados.

• Snapshot e restauração com o redimensionamento clássico – para manter o cluster disponível duranteum redimensionamento clássico, você pode primeiro fazer uma cópia de um cluster existente eredimensione o novo cluster.

É possível redimensionar (redimensionamento elástico e clássico) o cluster com base em umacronograma. Ao usar o novo console do Amazon Redshift, você pode configurar um cronograma

22

Amazon Redshift Guia de gerenciamento de clustersRedimensionar clusters

para redimensionar o cluster. Para obter mais informações, consulte Redimensionamento de umcluster (p. 52). Você também pode usar as operações de API do Amazon Redshift ou a AWS CLI paraagendar um redimensionamento. Para obter mais informações, consulte create-scheduled-action na AWSCLI Command Reference ou CreateScheduledAction na Amazon Redshift API Reference.

Tópicos• Elastic resize (Redimensionamento elástico) (p. 23)• Classic resize (Redimensionamento clássico) (p. 27)• Snapshot, restauração e redimensionamento (p. 28)• Detalhes do redimensionamento de um cluster (p. 29)

Elastic resize (Redimensionamento elástico)O redimensionamento elástico é o método mais rápido para redimensionar um cluster. Você pode usar oredimensionamento elástico para adicionar ou remover nós e alterar tipos de nó de um cluster existente.

Quando um cluster é redimensionado usando o redimensionamento elástico com o mesmo tipo de nó,ele redistribui automaticamente os dados para os novos nós. Como não cria um cluster nesse cenário, aoperação de redimensionamento elástico é concluída de forma rápida, geralmente em alguns minutos.Você pode perceber um pequeno aumento no tempo de execução de algumas consultas enquanto osdados são redistribuídos em segundo plano. Uma operação de redimensionamento elástico ocorre nosseguintes estágios:

1. O redimensionamento elástico tira um snapshot do cluster.

O snapshot que o redimensionamento elástico cria inclui tabelas sem backup (p. 162). Se o clusternão tiver um snapshot recente porque você desabilitou os snapshots automatizados, a operação debackup levará mais tempo. Para minimizar o tempo antes do início da operação de redimensionamento,recomendamos que você habilite snapshots automatizados ou crie um snapshot manual antes deiniciar um redimensionamento elástico. Quando você inicia um redimensionamento elástico e umaoperação de snapshot está em andamento, o redimensionamento elástico poderá falhar se a operaçãode snapshot não for concluída em alguns minutos. Para obter mais informações, consulte Snapshots doAmazon Redshift (p. 159).

2. O cluster está temporariamente indisponível enquanto o redimensionamento elástico migra osmetadados do cluster.

Esse estágio é muito curto, apenas alguns minutos no máximo. O Amazon Redshift mantém conexõesde sessão e as consultas permanecem enfileiradas. Algumas sessões e consultas podem expirar.

3. As conexões de sessão são restabelecidas e as consultas são retomadas.4. O redimensionamento elástico redistribui os dados para as fatias do nó no plano de fundo.

O cluster está disponível para operações de leitura e gravação, mas algumas consultas podem levarmais tempo para execução.

Quando um cluster é redimensionado usando o redimensionamento elástico para alterar o tipo de nó, umsnapshot é criado. Um novo cluster é provisionado para você com os dados mais recentes do snapshot.O cluster fica temporariamente indisponível para gravações quando os dados são transferidos para onovo cluster. Ele está disponível para leituras. O novo cluster é preenchido em segundo plano. Depoisque o novo cluster está totalmente preenchido, as consultas devem atingir o desempenho ideal. Quandoo processo de redimensionamento está próximo da conclusão, o Amazon Redshift atualiza o endpoint docluster e todas as conexões ao cluster original são encerradas.

Depois que o redimensionamento é concluído, o Amazon Redshift envia uma notificação de evento. Vocêpode se conectar ao novo cluster e retomar a execução de consultas de leitura e gravação.

23

https://docs.aws.amazon.com/cli/latest/reference/redshift/create-scheduled-action.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateScheduledAction.html


Note


Novo console

Para monitorar o andamento de uma operação de redimensionamento usando o console do AmazonRedshift, escolha CLUSTERS e aquele que está sendo redimensionado para ver os detalhes.

Console original

Para monitorar o progresso de uma operação de redimensionamento elástico usando o console doAmazon Redshift, selecione a guia Status na página de detalhes do cluster.

Não é possível usar o redimensionamento elástico em clusters de nó único.

Para executar um redimensionamento elástico em um cluster que está transferindo dados de um snapshotcompartilhado, pelo menos um backup deve estar disponível para o cluster. É possível visualizar osbackups na lista de snapshots do console do Amazon Redshift, com o comando describe-cluster-snapshots da CLI ou com a operação de API DescribeClusterSnapshots.

O redimensionamento elástico não classifica tabelas ou recupera espaço em disco; por isso, não é umsubstituto para uma operação de vacuum. Um redimensionamento clássico copia as tabelas para um novocluster, de modo a reduzir a necessidade de vacuum. Para obter mais informações, consulte Vacuum detabelas.

O redimensionamento elástico possui as seguintes restrições:

• O redimensionamento elástico está disponível apenas para clusters que usam a plataforma EC2-VPC.Para obter mais informações, consulte Uso do EC2-VPC ao criar o cluster (p. 9).

• A nova configuração de nó deve ter armazenamento suficiente para os dados existentes. Mesmoquando você adiciona nós, sua nova configuração pode não ter armazenamento suficiente por causa damaneira como os dados são redistribuídos.

24

https://docs.aws.amazon.com/redshift/latest/dg/t_Reclaiming_storage_space202.html



• As configurações possíveis para as quais você pode redimensionar são determinadas pelo númerode nós no cluster original e pelo tipo de nó de destino do cluster redimensionado. Para determinar aspossíveis configurações disponíveis, você pode usar o console do Amazon Redshift ou o comandodescribe-node-configuration-options da AWS CLI com action-type resize-cluster.Para obter mais informações sobre o redimensionamento usando o console do Amazon Redshift,consulte Redimensionamento de um cluster (p. 52).

Com a AWS CLI, execute o comando a seguir para descrever as opções de configuração disponíveis.Neste exemplo, o cluster chamado mycluster é um cluster dc2.large de 8 nós.

aws redshift describe-node-configuration-options --cluster-identifier mycluster --region eu-west-1 -—action-type resize-cluster

Este comando retorna uma lista de opções com os tipos de nós, o número de nós e a utilização dodisco recomendados para cada opção. Você pode escolher uma dessas configurações ao especificar asopções do comando resize-cluster da AWS CLI.

{ "NodeConfigurationOptionList": [ { "NodeType": "dc2.8xlarge", "NumberOfNodes": 2, "EstimatedDiskUtilizationPercent": 21.57 }, { "NodeType": "dc2.8xlarge", "NumberOfNodes": 3, "EstimatedDiskUtilizationPercent": 14.71 }, { "NodeType": "dc2.8xlarge", "NumberOfNodes": 4, "EstimatedDiskUtilizationPercent": 11.29 }, { "NodeType": "dc2.large", "NumberOfNodes": 16, "EstimatedDiskUtilizationPercent": 58.53 }, { "NodeType": "dc2.large", "NumberOfNodes": 32, "EstimatedDiskUtilizationPercent": 37.46 }, { "NodeType": "ds2.8xlarge", "NumberOfNodes": 2, "EstimatedDiskUtilizationPercent": 3.45 }, { "NodeType": "ds2.8xlarge", "NumberOfNodes": 3, "EstimatedDiskUtilizationPercent": 2.35 }, { "NodeType": "ds2.8xlarge", "NumberOfNodes": 4, "EstimatedDiskUtilizationPercent": 1.81 }, { "NodeType": "ds2.xlarge", "NumberOfNodes": 8,

25


"EstimatedDiskUtilizationPercent": 7.86 }, { "NodeType": "ds2.xlarge", "NumberOfNodes": 16, "EstimatedDiskUtilizationPercent": 4.57 }, { "NodeType": "ds2.xlarge", "NumberOfNodes": 32, "EstimatedDiskUtilizationPercent": 2.93 }, { "NodeType": "ra3.16xlarge", "NumberOfNodes": 2, "EstimatedDiskUtilizationPercent": 0.9 }, { "NodeType": "ra3.16xlarge", "NumberOfNodes": 3, "EstimatedDiskUtilizationPercent": 0.62 }, { "NodeType": "ra3.16xlarge", "NumberOfNodes": 4, "EstimatedDiskUtilizationPercent": 0.47 }, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 3, "EstimatedDiskUtilizationPercent": 0.62 }, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 4, "EstimatedDiskUtilizationPercent": 0.47 }, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 5, "EstimatedDiskUtilizationPercent": 0.39 }, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 6, "EstimatedDiskUtilizationPercent": 0.33 }, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 7, "EstimatedDiskUtilizationPercent": 0.29 }, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 8, "EstimatedDiskUtilizationPercent": 0.26 }, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 9, "EstimatedDiskUtilizationPercent": 0.23 }, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 10, "EstimatedDiskUtilizationPercent": 0.21

26


}, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 11, "EstimatedDiskUtilizationPercent": 0.2 }, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 12, "EstimatedDiskUtilizationPercent": 0.19 }, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 13, "EstimatedDiskUtilizationPercent": 0.17 }, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 14, "EstimatedDiskUtilizationPercent": 0.17 }, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 15, "EstimatedDiskUtilizationPercent": 0.16 }, { "NodeType": "ra3.4xlarge", "NumberOfNodes": 16, "EstimatedDiskUtilizationPercent": 0.15 } ]}

Note

Há cenários em que você não pode usar o redimensionamento elástico para alterar o númerode nós para um valor específico. Por exemplo, se você usa o redimensionamento elásticopara alterar um cluster dc2.8xlarge de 4 nós para um cluster de 6 nós e, depois, para umcluster de 8 nós, o número máximo de nós para esse cluster dc2.8xlarge foi atingido em 8nós. Para ir além do limite de 8 nós, por exemplo, para 10 nós, você pode usar Classic resize(Redimensionamento clássico) (p. 27) para aumentar o número de nós para um clusterdc2.8xlarge de 10 nós. O uso do redimensionamento clássico nesse cenário também aumentao número máximo de nós para 20 para futuras operações de redimensionamento elástico nestecluster.

Classic resize (Redimensionamento clássico)Com a operação de redimensionamento clássico, os dados são copiados em paralelo do nó ou dos nósde computação no cluster de origem para o nó ou os nós de computação no cluster de destino. O temponecessário para redimensionar depende do valor de dados e do número de nós no menor cluster. Podedemorar de algumas horas a alguns dias ou mais.

A duração de um redimensionamento clássico varia com base em vários fatores, incluindo:

• A carga de trabalho no cluster de origem.• O número e o tamanho das tabelas que estão sendo transferidas.• Como os dados são distribuídos uniformemente pelas fatias e pelos nós de computação.• A configuração do nó nos clusters de origem e de destino.

27


Quando você inicia a operação resize, o Amazon Redshift coloca o cluster existente em modo somenteleitura até a conclusão do redimensionamento. Durante esse tempo, você só pode executar consultas quesão lidas do banco de dados. Não é possível executar consultas que gravam no banco de dados, incluindoconsultas de leitura-gravação. Para obter mais informações, consulte Operações de gravação e leitura/gravação, no Amazon Redshift Database Developer Guide.

Note

Para redimensionar com impacto mínimo na produção, você pode usar os passos na seção aseguir, Snapshot, restauração e redimensionamento (p. 28). É possível usar estas etapas paracriar uma cópia do cluster, redimensionar a cópia e alternar o endpoint da conexão para o clusterredimensionado quando o redimensionamento for concluído.

As abordagens de redimensionamento clássico e de snapshot e redimensionamento copiamtabelas e dados de usuário para o novo cluster; elas não retêm tabelas e dados do sistema. Com oredimensionamento clássico ou snapshot e restauração, se tiver habilitado o registro em log de auditoriano cluster de origem, você poderá continuar acessando os logs no Amazon S3. Com essas abordagens,você ainda pode acessar os logs depois de excluir o cluster de origem. Você pode manter ou excluir essesconforme a especificação das políticas de dados. O redimensionamento elástico mantém as tabelas de logdo sistema.

Depois que o Amazon Redshift coloca o cluster de origem no modo somente leitura, ele provisiona umnovo cluster, o cluster de destino. Ele faz isso usando as informações que você especifica para o tipo denó, tipo de cluster e número de nós. Em seguida, o Amazon Redshift copia os dados do cluster de origempara o cluster de destino. Quando isso terminar, todas as conexões alternarão para o uso do cluster dedestino. Se você tiver alguma consulta em andamento no momento em acontecer a troca, a conexão seráperdida e você deverá reiniciar a consulta no cluster de destino. Você pode visualizar o andamento doredimensionamento no Amazon Redshift console.

Como o Amazon Redshift não classifica tabelas durante uma operação de redimensionamento, a ordem declassificação existente é mantida. Quando você redimensiona um cluster, o Amazon Redshift distribui astabelas do banco de dados para os novos nós com base nos estilos de distribuição e executa um comandoANALYZE para atualizar as estatísticas. Como as linhas que estão marcadas para exclusão não sãotransferidas, você precisará executar somente um comando VACUUM se suas tabelas precisarem serreclassificadas. Para obter mais informações, consulte Limpar tabelas, no Amazon Redshift DatabaseDeveloper Guide.

Você pode cancelar uma operação de redimensionamento clássico antes da conclusão, selecionandocancel resize (cancelar redimensionamento) nos detalhes do cluster no console do Amazon Redshift. Aquantidade de tempo necessária para cancelar um redimensionamento depende do estágio da operaçãode redimensionamento durante o cancelamento. O cluster não está disponível até que a operação deredimensionamento de cancelamento seja concluída. Se a operação de redimensionamento estiver noestágio final, você não poderá cancelar a operação.

Snapshot, restauração e redimensionamentoConforme descrito na seção anterior, o tempo necessário para redimensionar um cluster com a operaçãode redimensionamento clássico depende muito do volume de dados no cluster.

O redimensionamento elástico (p. 23) é o método mais rápido para redimensionar o cluster do AmazonRedshift. Se o redimensionamento elástico não for uma opção para você e precisar de acesso de gravaçãoquase constante ao cluster, use as operações snapshot e redimensionamento clássico descritas na seçãoa seguir. Essa abordagem requer que todos os dados gravados no cluster de origem depois do snapshotter sido feito devam ser copiados manualmente para o cluster de destino após a mudança. Dependendo dotempo que a cópia leva, você pode precisar repetir isso várias vezes até que tenha os mesmos dados emambos os clusters. Depois, é possível fazer a mudança para o cluster de destino. Esse processo poderáter um impacto negativo sobre consultas existentes até o conjunto de dados completo estar disponível nocluster de destino. No entanto, minimiza o tempo que você não pode gravar no banco de dados.

28

https://docs.aws.amazon.com/redshift/latest/dg/c_write_readwrite.html

https://docs.aws.amazon.com/redshift/latest/dg/c_write_readwrite.html



A abordagem de snapshot, restauração e redimensionamento clássico usa o seguinte processo:

1. Faça um snapshot do cluster existente. O cluster existente é o cluster de origem.2. Observe a hora em que o snapshot foi tirado. Fazer isso significa que você pode identificar depois o

ponto em que precisará reexecutar novamente os processos Extract, Transform, Load (ETL – Extração,transformação, carga) para carregar dados pós-snapshot no banco de dados de destino.

3. Restaure o snapshot em um novo cluster. Este novo cluster é o cluster de destino. Verifique se os dadosde exemplo estão no cluster de destino.

4. Redimensione o cluster de destino. Selecione o novo tipo de nó, o número de nós e outrasconfigurações do cluster de destino.

5. Revise as cargas dos processos ETL ocorridos depois que você tiver feito um snapshot do cluster deorigem. Certifique-se de recarregar os mesmos dados na mesma ordem no cluster de destino. Se tivercargas de dados em andamento, repita esse processo várias vezes até os dados serem iguais nosclusters de origem e de destino.

6. Pare todas as consultas em execução no cluster de origem. Para isso, reinicie o cluster ou faça logincomo um superusuário e use os comandos PG_CANCEL_BACKEND e PG_TERMINATE_BACKEND.Recarregar o cluster é a maneira mais fácil de verificar se o cluster está indisponível.

7. Renomeie o cluster de origem. Por exemplo, renomeie-o de examplecluster paraexamplecluster-source.

8. Renomeie o cluster de destino para usar o cluster de origem antes de renomeá-lo. Por exemplo,renomeie o cluster de destino do anterior para examplecluster. Deste ponto em diante, todos osaplicativos que usarem o endpoint contendo examplecluster se conectarão ao cluster de destino.

9. Exclua o cluster de origem depois de alternar para o cluster de destino e verifique se todos os processosfuncionam conforme esperado.

Como alternativa, você pode renomear os clusters de origem e de destino antes de recarregar dados nocluster de destino. Essa abordagem funciona se você não tiver um requisito de que todos os sistemas erelatórios dependentes estejam atualizados com eles para o cluster de destino. Nesse caso, a etapa 6 serámovida para o final do processo descrito anteriormente.

O processo rename somente será necessário se você quiser que os aplicativos continuem usando omesmo endpoint para se conectar ao cluster. Se não precisar disso, você poderá atualizar todos osaplicativos que se conectarem ao cluster para usar o endpoint do cluster de destino sem renomear ocluster.

Existem alguns benefícios em reutilizar um nome de cluster. Primeiro, você não precisa atualizar stringsde conexão do aplicativo porque o endpoint não muda, mesmo que o cluster subjacente mude. Emsegundo lugar, itens relacionados, como alarmes do Amazon CloudWatch e notificações do AmazonSimple Notification Service (Amazon SNS) estão associados ao nome do cluster. Essa associaçãosignifica que você pode continuar usando os mesmos alarmes e notificações configurados para o cluster.Esse uso continuado é basicamente uma preocupação em ambientes de produção nos quais vocêdeseja a flexibilidade para redimensionar o cluster sem reconfigurar itens relacionados, como alarmes enotificações.

Detalhes do redimensionamento de um clusterSe seu armazenamento e desempenho precisarem ser alterados depois da provisão inicial do cluster,ele poderá ser redimensionado. Você pode escalar o cluster para mais ou para menos ao adicionar ouremover nós. Além disso, você pode escalar o cluster para mais ou para menos ao especificar um tipo denó diferente.

Por exemplo, você pode adicionar mais nós, alterar os tipos de nó, alterar um cluster de nó único paraum cluster de vários nós ou alterar um cluster de vários nós para um cluster de nó único. Entretanto, você

29

https://docs.aws.amazon.com/redshift/latest/dg/PG_CANCEL_BACKEND.html

https://docs.aws.amazon.com/redshift/latest/dg/PG_TERMINATE_BACKEND.html


deve certificar-se de que o cluster resultante seja grande o suficiente para guardar os dados que vocêatualmente possui ou haverá falha de redimensionamento. Ao usar a API, é necessário especificar o tipo, otamanho e o número de nós, mesmo se você alterar somente uma das propriedades.

O seguinte processo descreve o redimensionamento:

1. Quando você inicia o processo de redimensionamento, o Amazon Redshift envia uma notificação quereconhece a solicitação de redimensionamento e começa a provisionar o novo cluster (de destino).

2. Quando o novo cluster (de destino) é provisionado, o Amazon Redshift envia uma notificação deque o redimensionamento começou e reinicia seu cluster existente (de origem) no modo somenteleitura. A reinicialização encerra todas as conexões existentes com o cluster. Todas as transações nãoconfirmadas (incluindo a COPY) são revertidas. Quando o cluster está no modo somente leitura, vocêpode executar consultas de leituras, mas não de gravação.

3. O Amazon Redshift começa a copiar dados de cluster de origem para o cluster de destino.4. Quando o processo de redimensionamento está próximo da conclusão, o Amazon Redshift atualiza o

endpoint do cluster de destino e todas as conexões com o cluster de origem são encerradas.5. Após a conclusão do redimensionamento, o Amazon Redshift envia uma notificação de evento de que

o redimensionamento foi concluído. Você pode se conectar ao cluster de destino e retornar para aexecução de consultas de leitura e gravação.

Quando você redimensiona o seu cluster, ele permanece no modo somente leitura até que oredimensionamento esteja concluído. Você pode visualizar o andamento do redimensionamento noAmazon Redshift console. O tempo necessário para redimensionar um cluster depende da quantidadede dados em cada nó. Normalmente, o processo de redimensionamento varia de duas horas até um dia,embora clusters com quantidades maiores de dados possam levar ainda mais tempo. Isso ocorre pois osdados são copiados em paralelo a partir de cada nó no cluster de origem para os nós no cluster de destino.Para obter mais informações sobre o redimensionamento de clusters, consulte Redimensionamento de umcluster (p. 52).

O Amazon Redshift não classifica tabelas durante uma operação de redimensionamento. Quando vocêredimensiona um cluster, o Amazon Redshift distribui as tabelas do banco de dados para os novosnós de computação com base em seus estilos de distribuição e executa um comando ANALYZE paraatualizar as estatísticas. Como as linhas que estão marcadas para exclusão não são transferidas, vocêprecisará executar um VACUUM somente se suas tabelas precisarem ser reclassificadas. Para obter maisinformações, consulte Limpar tabelas, no Amazon Redshift Database Developer Guide.

Se seu cluster for público e estiver em uma VPC, ele manterá o mesmo endereço IP elástico (EIP) donó líder após o redimensionamento. Se seu cluster é privado e se encontra em uma VPC, ele mantémo mesmo endereço IP privado para o nó de liderança após redimensionamento. Se seu cluster não estáem uma VPC, um novo endereço IP público é atribuído para o nó principal como parte da operação deredimensionamento.

Para obter o endereço IP do nó de liderança de um cluster, use o utilitário dig, conforme mostrado a seguir.

dig mycluster.abcd1234.us-west-2.redshift.amazonaws.com

O endereço IP do nó de liderança está no final da ANSWER SECTION dos resultados, conforme mostradoa seguir.

30


Amazon Redshift Guia de gerenciamento de clustersPausar e retomar clusters

Pausar e retomar clustersSe você tiver um cluster que só precisa estar disponível em horários específicos, poderá pausar o clustere retomá-lo posteriormente. Enquanto o cluster estiver pausado, o faturamento sob demanda ficarásuspenso. Somente o armazenamento do cluster gerará cobranças. Para obter mais informações sobre adefinição de preço, consulte a página de definição de preço do Amazon Redshift.

Quando você pausa um cluster, o Amazon Redshift cria um snapshot, começa a encerrar as consultas ecoloca o cluster em um estado de pausa. Se você excluir um cluster pausado sem solicitar um snapshotfinal, não será possível restaurar o cluster. Não é possível cancelar ou reverter uma pausa ou retomar aoperação após ser iniciada.

É possível pausar e retomar um cluster no novo console do Amazon Redshift (não no console original),com a AWS CLI ou com operações de API do Amazon Redshift.

Você pode agendar ações para pausar e retomar um cluster. Ao usar o novo console do Amazon Redshiftpara criar um cronograma recorrente de pausa e retomada, são criadas duas ações agendadas para ointervalo de datas escolhido. Os nomes das ações agendadas recebem os sufixos -pause e -resume. Ocomprimento total do nome deve caber no tamanho máximo de um nome de ação agendada.

Não é possível pausar os seguintes tipos de clusters:

• Clusters do EC2-Classic.• Clusters que não estão ativos, por exemplo, um cluster que está sendo modificado atualmente.• Clusters do Hardware security module (HSM – Módulo de segurança de hardware)• Clusters com snapshots automatizados desativados.

Ao decidir pausar um cluster, considere o seguinte:

• Conexões ou consultas do cluster ficam indisponíveis.• Não é possível consultar as informações de monitoramento de um cluster pausado no console do

Amazon Redshift.• Não é possível modificar um cluster pausado. Nenhuma das ações agendadas no cluster será realizada.

Isso inclui a criação de snapshots, o redimensionamento de clusters e as operações de manutenção docluster.

• Métricas de hardware não são criadas. Atualize os alarmes do CloudWatch, caso tenha definidos paramétricas ausentes.

31


Amazon Redshift Guia de gerenciamento de clustersRenomeação de clusters

• Não é possível copiar os snapshots automatizados mais recentes de um cluster pausado para snapshotsmanuais.

• Enquanto um cluster estiver no processo de pausa, ele não poderá ser retomado até que a operação depausa seja concluída.

• Ao pausar um cluster, o faturamento fica suspenso. No entanto, a operação de pausa normalmente éconcluída em 15 minutos, dependendo do tamanho do cluster.

• Os logs de auditoria são arquivados e não são restaurados na retomada.

Ao retomar um cluster, considere o seguinte:

• A versão do cluster retomado é atualizada para a versão de manutenção com base na janela demanutenção do cluster.

• Se você excluir a sub-rede associada a um cluster pausado, poderá ter uma rede incompatível. Nessecaso, restaure o cluster do snapshot mais recente.

• Se você excluir um endereço IP elástico enquanto o cluster estiver pausado, um novo endereço IPelástico será solicitado.

• Se o Amazon Redshift não conseguir retomar o cluster com a interface de rede elástica anterior, oAmazon Redshift tentará alocar uma nova.

• Ao retomar um cluster, os endereços IP do nó podem mudar. Talvez seja necessário atualizar asconfigurações da VPC a fim de oferecer suporte a esses novos endereços IP para recursos, comoCOPY do Secure Shell (SSH) ou COPY do Amazon EMR.

• Se você tentar retomar um cluster que não está pausado, a operação de retomada retornará um erro. Sea operação de retomada fizer parte de uma ação agendada, modifique ou exclua a ação agendada paraevitar erros futuros.

• Dependendo do tamanho do cluster, pode demorar vários minutos para retomar o cluster antes que asconsultas possam ser processadas. Além disso, o desempenho da consulta pode ser afetado duranteum período, enquanto o cluster passa por reidratação após a conclusão da retomada.

Renomeação de clustersVocê pode renomear um cluster se quiser que ele use um nome diferente. Como o endpoint para seucluster inclui o nome do cluster (também referido como o identificador do cluster), o endpoint alterapara usar o novo nome após a conclusão da renomeação. Por exemplo, se você tiver um clusterchamado examplecluster e renomeá-lo para newcluster, o endpoint altera para usar o identificadornewcluster. Todos os aplicativos que se conectam ao cluster devem ser atualizados com o novoendpoint.

Você pode renomear um cluster se quiser alterar o cluster aos quais seus aplicativos se conectam sem terque mudar o endpoint nesses aplicativos. Nesse caso, você deve primeiro renomear o cluster original e,em seguida, alterar o segundo cluster a fim de reutilizar o nome do cluster original antes da renomeação.Fazer isso é necessário, pois o identificador do cluster deve ser exclusivo em sua conta e região, portantoo cluster original e segundo cluster não podem ter o mesmo nome. Você pode fazer isso se restaurarum cluster de um snapshot e não quiser alterar as propriedades de conexão de nenhum aplicativodependente.

Note

Se você excluir o cluster original, será responsável pela exclusão de todos os snapshots decluster indesejados.

Quando você renomeia um cluster, o status do cluster muda para renaming até que o processo sejaconcluído. O nome DNS antigo que era usado pelo cluster é excluído imediatamente, embora ele possapermanecer armazenado em cache por alguns minutos. O novo nome DNS do cluster renomeado entra

32

Amazon Redshift Guia de gerenciamento de clustersDesativação e exclusão de clusters

em vigor dentro de, aproximadamente, 10 minutos. O cluster renomeado não fica disponível até queo novo nome entre em vigor. O cluster será reinicializado e todas as conexões existentes com clusterserão encerradas. Após a conclusão, o endpoint será alterado para usar o novo nome. Por este motivo,você deve interromper a execução de consultas antes de iniciar a renomeação e reiniciá-las após suaconclusão.

Snapshots do cluster são retidos e todos os snapshots associados a um cluster permanecem associadosa esse cluster após a renomeação. Por exemplo, suponha que você tenha um cluster que atenda aoseu banco de dados de produção e tenha vários snapshots. Se você renomear o cluster e substituí-lono ambiente de produção com um snapshot, o cluster que você renomeou ainda terá esses snapshotsexistentes associados a ele.

Os alarmes do Amazon CloudWatch e as notificações de evento do Amazon Simple Notification Service(Amazon SNS) são associados ao nome do cluster. Se você renomear o cluster, precisará atualizá-los apropriadamente. Você pode atualizar os alarmes do CloudWatch no console do CloudWatch e asnotificações de evento do Amazon SNS no painel de Eventos do console do Amazon Redshift. Os dadosde carregamento e consulta do cluster continuam a exibir dados de antes e depois da renomeação.Contudo, os dados de desempenho são reiniciados após a conclusão do processo de renomeação.

Para obter mais informações, consulte Modificar um cluster (p. 47).

Desativação e exclusão de clustersVocê pode desativar seu cluster se quiser impedir sua execução e a cobrança de taxas. Quando vocêdesativa um cluster, você pode, opcionalmente, criar um snapshot final. Se você criar um snapshot final,o Amazon Redshift criará um snapshot manual de seu cluster antes de desativá-lo. Você poderá restauraraquele snapshot se quiser retomar a execução do cluster e a consulta de dados.

Se você não precisa mais do seu cluster e de seus dados, pode desativá-lo sem criar um snapshot final.Nesse caso, o cluster e os dados são excluídos permanentemente. Para obter mais informações sobre adesativação e exclusão de clusters, consulte Excluir um cluster (p. 50).

Mesmo que você desative seu cluster com um snapshot final manual, todos os snapshots automatizadosassociados ao cluster serão excluídos quando o cluster for desativado. Todos os snapshots manuaisassociados ao cluster são retidos. Todos os snapshots manuais que são retidos, incluindo o snapshotfinal opcional, serão cobrados com base na taxa de armazenamento do Amazon Simple Storage Servicese você não tiver outro cluster em execução quando desativar esse cluster ou se você exceder oarmazenamento gratuito disponível que é fornecido para seus clusters do Amazon Redshift em execução.Para obter mais informações sobre o custo de armazenamento de snapshots, consulte Definição de preçodo Amazon Redshift.

Gerenciar limites de uso no Amazon RedshiftVocê pode definir limites para monitorar e controlar o uso e o custo associado de alguns recursos doAmazon Redshift. Você pode criar limites de uso diário, semanal e mensal e definir ações que o AmazonRedshift executará automaticamente se esses limites forem atingidos. As ações incluem coisas comoregistrar em log um evento em uma tabela do sistema para registrar o uso que excede seus limitesdefinidos. Outras ações possíveis incluem a geração de alertas com o Amazon SNS e o AmazonCloudWatch para notificar um administrador e desabilitar uso adicional para controlar os custos.

É possível definir limites de uso para cada cluster. Depois que o cluster é criado, você pode definir limitesde uso para os seguintes recursos:

• Amazon Redshift Spectrum• Escalabilidade de simultaneidade do Amazon Redshift

33



Amazon Redshift Guia de gerenciamento de clustersGerenciar limites de uso

Os limites de uso estão disponíveis com a versão 1.0.14677 ou posterior nas regiões da AWS em que aescalabilidade de simultaneidade do Amazon Redshift Spectrum e do Amazon Redshift estão disponíveis.

Um limite do Redshift Spectrum especifica o limite da quantidade total de dados verificados emincrementos de 1 TB. Um limite de escalabilidade de simultaneidade especifica o limite do tempo totalusado pela escalabilidade de simultaneidade em incrementos de 1 minuto. Um limite pode ser especificadopara um período diário, semanal ou mensal (usando UTC para determinar o início e o fim do período). Sevocê criar um limite no meio de um período, o limite será medido desse ponto até o final do período. Porexemplo, se você criar um limite mensal em 15 de março, o primeiro período mensal será medido de 15 demarço a 31 de março.

Você pode definir vários limites de uso para cada recurso. Cada limite pode ter uma ação diferente. Asações possíveis incluem o seguinte:

• Registrar em log na tabela do sistema – essa é a ação padrão. As informações são registradas emlog na tabela STL_USAGE_CONTROL. O registro em log é útil ao avaliar o uso passado e ao decidirsobre limites de uso futuros. Para obter mais informações sobre o que é registrado em log, consulteSTL_USAGE_CONTROL no Amazon Redshift Database Developer Guide.

• Alerta – o Amazon Redshift emite métricas do CloudWatch para uso disponível e consumido. Vocêpode definir até três limites de uso para cada recurso. Se você habilitar a ação de alerta usando oconsole do Amazon Redshift, um alarme do CloudWatch será criado automaticamente nessas métricas.Opcionalmente, você pode associar uma assinatura do Amazon SNS a esse alarme. Se estiver usandouma operação da AWS CLI ou de API, crie o alarme do CloudWatch manualmente. Quando o limite éatingido, os eventos também serão registrados em log em uma tabela do sistema.

• Desabilitar recurso – quando o limite é atingido, o Amazon Redshift desabilita o recurso até que a cotaseja atualizada para o próximo período (diário, semanal ou mensal). Apenas um limite para cada recursopode ter a ação de desativar. Os eventos também são registrados em log em uma tabela do sistema, eos alertas podem ser emitidos.

Os limites de uso persistem até que a própria definição de limite de uso ou o cluster seja excluído.

Você pode definir e gerenciar limites de uso com o novo console do Amazon Redshift, a AWS CLI, ou comoperações da API do Amazon Redshift. Para definir um limite no console do Amazon Redshift, navegue atéo cluster e escolha Configure usage limit (Configurar limite de uso) para Actions (Ações). Para visualizar oslimites de uso definidos anteriormente para o cluster, navegue até o cluster e escolha a guia Maintenanceand monitoring (Manutenção e monitoramento), na seção Usage limits (Limites de uso). Para visualizar aquantidade de uso disponível e consumida para o cluster, navegue até o cluster. Escolha a guia Clusterperformance (Desempenho do cluster) e visualize os gráficos para verificar o uso consumido de umrecurso.

Você pode usar as seguintes operações da CLI do Amazon Redshift para gerenciar limites de uso. Paraobter mais informações, consulte o AWS CLI Command Reference.

• create-usage-limit• describe-usage-limits• modify-usage-limit• delete-usage-limit

Você pode usar as operações da API do Amazon Redshift a seguir para gerenciar limites de uso. Paraobter mais informações, consulte o Amazon Redshift API Reference.

• CreateUsageLimit• DescribeUsageLimits• ModifyUsageLimit• DeleteUsageLimit

34

https://docs.aws.amazon.com/redshift/latest/dg/r_STL_USAGE_CONTROL.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/create-usage-limit.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-usage-limits.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/modify-usage-limit.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-usage-limit.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateUsageLimit.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeUsageLimits.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyUsageLimit.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteUsageLimit.html

Amazon Redshift Guia de gerenciamento de clustersGerenciamento de clusters usando o console

Assista ao vídeo a seguir para saber como criar e monitorar limites de uso usando o console do AmazonRedshift: Cost Controls for Amazon Redshift Spectrum and Concurrency Scaling.

Gerenciamento de clusters usando o consolePara criar, modificar, redimensionar, excluir, reiniciar e fazer backup de clusters, use a seção Clusters noAmazon Redshift console.

Note


Novo consolePara visualizar clusters


2. No menu de navegação, escolha CLUSTERS. Os clusters de sua conta na região atual da AWS sãolistados. Um subconjunto de propriedades de cada cluster é exibido nas colunas na lista. Se você nãotiver nenhum cluster, escolha Create cluster (Criar cluster) para criar um.

3. Escolha o nome do cluster na lista para visualizar mais detalhes sobre o cluster.

Console originalQuando você não tem clusters em uma região da AWS e abre a página Clusters, você tem a opção deiniciar um cluster. Na captura de tela a seguir, a região da AWS é a Leste dos EUA (Norte da Virgínia)Região e não há clusters para esta conta.

Quando há pelo menos um cluster na região da AWS, a seção Clusters exibe um subconjunto deinformações sobre todos os clusters da conta nessa região da AWS. Na captura de tela a seguir, umcluster foi criado para esta conta na região da AWS selecionada.

35

https://www.youtube.com/embed/bXg4xLiDqcM



Amazon Redshift Guia de gerenciamento de clustersGerenciamento de clusters usando o console

Expanda o cluster para ver mais informações sobre ele, como os detalhes do endpoint, as propriedadesdo cluster e do banco de dados, as tags, etc. Na captura de tela a seguir, o exemplo examplecluster éexpandido para mostrar o resumo de informações sobre o cluster.

Tópicos• Criar um cluster (p. 37)• Modificar um cluster (p. 47)• Excluir um cluster (p. 50)• Reinicialização de um cluster (p. 51)• Redimensionamento de um cluster (p. 52)• Atualizar a versão de um cluster (p. 54)• Informações sobre a configuração de clusters (p. 55)• Obter uma visão geral do status de clusters (p. 56)• Criar um snapshot de um cluster (p. 57)• Criar ou editar um alarme de espaço em disco (p. 58)• Utilização dos dados de desempenho do cluster (p. 60)

36

Amazon Redshift Guia de gerenciamento de clustersCriar um cluster

Criar um clusterAntes de criar um cluster, leia Visão geral de clusters do Amazon Redshift (p. 5) e Clusters e nós noAmazon Redshift (p. 5).

Note


Novo console

Uma maneira de aprender a criar um cluster é criar um cluster usando o console.

Para criar um cluster


2. No menu de navegação, escolha CLUSTERS. Os clusters de sua conta na região atual da AWS sãolistados. Um subconjunto de propriedades de cada cluster é exibido nas colunas na lista.

3. Escolha Create cluster (Criar cluster) para criar um cluster.4. Siga as instruções na página do console para inserir as propriedades de Cluster configuration

(Configuração do cluster). Você pode obter uma recomendação de configuração do cluster combase no tamanho de seus dados e do número de nós. Para usar essa ferramenta, procure Calcular amelhor configuração para suas necessidades.

5. Siga as instruções na página do console para inserir as propriedades deCluster details (Detalhes docluster).

Note

Se você estiver atrás do firewall, a porta do banco de dados deverá ser uma porta aberta queaceite conexões de entrada.

6. (Opcional) Siga as instruções na página do console para inserir as propriedades deClusterpermissions (Permissões do cluster). Forneça as permissões do cluster se o cluster precisar acessaroutros serviços da AWS para você, por exemplo, para carregar dados do Amazon S3.

7. Para criar o cluster, escolha Create cluster (Criar cluster). Podem ser necessários alguns minutos parapreparar o cluster para ser usado.

Configurações adicionais

Ao criar um cluster, é possível especificar propriedades adicionais para personalizá-lo. Você podeencontrar mais detalhes sobre algumas dessas propriedades na lista a seguir.

Enhanced VPC routingVPC security group (Grupo de segurança da VPC)Publicly accessibleGrupos de parâmetros

Selecione um parameter group de cluster para associar ao cluster. Se você não selecionar um, ocluster usará um parameter group padrão.

Criptografia

Selecione se deseja criptografar todos os dados no cluster e nos snapshots. Se você deixar aconfiguração padrão, None, a criptografia não será habilitada. Se desejar habilitar a criptografia,

37




escolha se deseja usar o AWS Key Management Service (AWS KMS) ou um módulo de segurançade hardware (HSM) e defina as configurações relacionadas. Para obter mais informaçõessobre a criptografia no Amazon Redshift, consulte Criptografia do banco de dados do AmazonRedshift (p. 203).• KMS

Escolha KMS se quiser habilitar a criptografia e usar o AWS KMS para gerenciar sua chave decriptografia. Em Master Key, escolha (default) aws/redshift para usar uma chave mestra do cliente(CMK) padrão ou escolha uma outra chave da conta da AWS.

Note

Se quiser usar uma chave de outra conta da AWS, escolha Enter a key ARN em MasterKey. Em seguida, digite o nome de recurso da Amazon (ARN) da chave a ser utilizada. Épreciso ter permissão para usar a chave. Para obter mais informações sobre o acesso achaves no AWS KMS, consulte Controlar o acesso às chaves no AWS Key ManagementService Developer Guide.

Para obter mais informações sobre o uso de chaves de criptografia do AWS KMS no AmazonRedshift, consulte Criptografia do banco de dados para o Amazon Redshift usando o AWSKMS (p. 203).

• HSM

Escolha HSM se deseja habilitar a criptografia e usar o módulo de segurança de hardware (HSM)para gerenciar sua chave de criptografia.

Se você escolher HSM, selecione os valores em HSM Connection (Conexão HSM) e HSM ClientCertificate (Certificado do cliente HSM). Esses valores são necessários para que o Amazon Redshifte o HSM formem uma conexão segura através da qual a chave de cluster poderá ser passada.A conexão de HSM e o certificado do cliente devem ser configurados no Amazon Redshift antesde você iniciar o cluster. Para obter mais informações sobre como configurar conexões de HSM ecertificados do cliente, consulte Criptografia para o Amazon Redshift usando módulos de segurançade hardware (p. 205).

Maintenance track (Acompanhamento de manutenção)

É possível escolher se a versão usada do cluster é a Current (Atual), Trailing (Inicial) ou, algumasvezes, a trilha Preview (Demonstração).

Monitoramento

É possível escolher se os alarmes do CloudWatch devem ser criados.Configure cross-region snapshot (Configurar snapshots entre regiões)

É possível escolher se deseja habilitar snapshots entre regiões.

Console original

Você pode criar um cluster no Console de gerenciamento da AWS de duas formas:

• Se você é novo no Amazon Redshift ou só precisa de um cluster básico, use o Quick launch cluster(Cluster de execução rápida). Com essa abordagem, você especifica apenas o tipo de nó, o númerode nós, o nome de usuário, a senha e a função do AWS Identity and Access Management (IAM) aser usada para acesso. Para obter mais informações, consulte Criar um cluster usando o cluster deexecução rápida (p. 39).

• Se você é um usuário atual ou deseja personalizar seu cluster, use Launch cluster (Iniciar cluster). Porexemplo, use Launch cluster (Iniciar cluster) para usar uma nuvem privada virtual (VPC) específica oucriptografar dados em seu cluster. Para obter mais informações, consulte Criar um cluster usando umaexecução de cluster (p. 39).

38

https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html


Criar um cluster usando o cluster de execução rápida

Se você é novo no Amazon Redshift ou só precisa de um cluster básico, use essa abordagem simplificada.Se você é um usuário atual ou deseja personalizar seu cluster, consulte Criar um cluster usando umaexecução de cluster (p. 39).

Como criar um cluster usando o cluster de execução rápida


Important

Se você usa credenciais de usuário do IAM, verifique se o usuário tem as permissõesnecessárias para realizar as operações de cluster. Para obter mais informações, consulteControlar o acesso aos usuários do IAM no Amazon Redshift Cluster Management Guide.

2. Escolha a região da AWS em que você deseja criar o cluster; por exemplo Oeste dos EUA (Oregon).3. No painel do Amazon Redshift, selecione Quick launch cluster (Cluster de execução rápida).4. Na página de especificações do cluster, insira os valores a seguir e escolha Launch cluster (Executar

cluster):

• Node type (Tipo de nó): escolha dc2.large.• Number of compute nodes (Número de nós de computação): Mantenha o valor padrão de 2.• Master user name (Nome do usuário mestre): Mantenha o valor padrão de awsuser.• Master user password (Senha do usuário mestre) e Confirm password (Confirmar senha): Digite

uma senha para a conta de usuário mestre.• Database port (Porta do banco de dados): Aceite o valor padrão de 5439.• Available IAM roles (Funções do IAM disponíveis): Escolha myRedshiftRole.

Uma página de confirmação é exibida. O cluster leva alguns minutos para ser criado. Escolha Fecharpara retornar à lista de clusters.

5. Na página Clusters, escolha o cluster que você acabou de ativar e revise as informações de ClusterStatus (Status do cluster). Verifique se o Cluster Status (Status do cluster) é available (disponível) e sea Database Health (Integridade do banco de dado) indica o estado healthy (íntegro) antes de tentar seconectar ao banco de dados.

Criar um cluster usando uma execução de cluster

Se você é um usuário atual do Amazon Redshift ou deseja personalizar seu cluster, use o procedimento aseguir para executar seu cluster. Se você é novo no Amazon Redshift ou só precisa de um cluster básico,consulte Criar um cluster usando o cluster de execução rápida (p. 39).

Como criar um cluster usando uma execução de cluster


39



https://docs.aws.amazon.com/redshift/latest/mgmt/iam-redshift-user-mgmt.html




2. Escolha Launch Cluster.3. Na página Cluster Details, especifique os valores para as seguintes opções e, em seguida, escolha

Continue.

Cluster Identifier

Digite um nome exclusivo para o seu cluster.

Os identificadores de cluster devem atender às seguintes condições:• Devem conter de 1 a 63 caracteres alfanuméricos ou hifens.• Os caracteres alfabéticos devem ser minúsculos.• O primeiro caractere deve ser uma letra.• Não podem terminar com um hífen ou conter dois hifens consecutivos.• Devem ser exclusivos para todos os clusters de uma conta da AWS.

Database Name (Nome do banco de dados)

Digite um nome se você quiser criar um banco de dados com um nome personalizado (porexemplo, mydb). Esse campo é opcional. Um banco de dados padrão chamado dev é criado parao cluster mesmo que você especifique um nome de banco de dados personalizado.

Os nomes de banco de dados devem atender às seguintes condições:• Devem conter de 1 a 64 caracteres alfanuméricos.• Devem conter somente letras minúsculas.• O nome de um banco de dados não pode ser uma palavra reservada. Para obter mais

informações, consulte Palavras reservadas no Amazon Redshift Database Developer Guide.Database Port

Digite o número da porta pela qual seus aplicativos cliente planejam se conectar com o bancode dados. O número da porta deve ser incluído na string de conexão quando forem abertas asconexões JDBC ou ODBC com os bancos de dados no cluster.

O número da porta deve atender às seguintes condições:• Deve conter somente caracteres numéricos.• Deve estar no intervalo de 1150 a 65535. A porta padrão é 5439.• Deve especificar uma porta aberta que aceite conexões de entrada, caso você esteja atrás de

um firewall.Master User Name

Digite o nome da conta do usuário principal do banco de dados.

Os nomes de usuário mestre devem atender às seguintes condições:• Devem conter de 1 a 128 caracteres alfanuméricos.• O primeiro caractere deve ser uma letra.• O nome de um usuário mestre não pode ser uma palavra reservada. Para obter mais

informações, consulte Palavras reservadas no Amazon Redshift Database Developer Guide.Master User Password e Confirm Password

Digite a senha da conta do usuário principal e, em seguida, digite a senha novamente paraconfirmá-la.

Pode conter qualquer caractere ASCII com códigos ASCII de 33–126, exceto aspas simples ('),aspas duplas (“), \, / ou @.

40

http://docs.aws.amazon.com/redshift/latest/dg/r_pg_keywords.html

http://docs.aws.amazon.com/redshift/latest/dg/r_pg_keywords.html


Na captura de tela a seguir, examplecluster é o identificador do cluster, nenhum nome de banco dedados personalizado foi especificado, 5439 é o número da porta e masteruser é o nome do usuárioprincipal.

4. Na página Node Configuration, especifique os valores para as seguintes opções e, em seguida,escolha Continue.

Node Type

Selecione um tipo de nó. Quando você seleciona um tipo de nó, a página exibe as informaçõesque correspondem ao tipo de nó selecionado, como CPU, Memory (Memória), Storage(Armazenamento) e I/O Performance (Desempenho de E/S).

Cluster Type

Selecione um tipo de cluster. Após a seleção, o número máximo de nós de computação para o nóe o tipo de cluster selecionados aparece em Maximum (Máximo) e o número mínimo aparece emMinimum (Mínimo).

Se você escolher Single Node (Nó simples), terá um nó que compartilha as funcionalidades deliderança e computação.

Se você escolher Multi Node, especifique o número de nós de computação que deseja para ocluster em Number of Compute Nodes.

Na captura de tela a seguir, o tipo de nó dc1.large é selecionado para um cluster de Multi Node comdois nós de computação.

41


5. Na página Additional Configuration, especifique os valores para as seguintes opções e, em seguida,escolha Continue.

a. Em Provide the optional additional configuration details below, configure as seguintes opções:

Cluster Parameter Group

Selecione um parameter group de cluster para associar ao cluster. Se você não selecionarum, o cluster usará um parameter group padrão.

Encrypt Database

Selecione se deseja criptografar todos os dados no cluster e nos snapshots. Se vocêdeixar a configuração padrão, None, a criptografia não será habilitada. Se quiser habilitara criptografia, selecione se deseja usar o AWS Key Management Service (AWS KMS)ou o módulo de segurança de hardware (HSM) e, em seguida, defina as configuraçõesrelacionadas. Para obter mais informações sobre a criptografia no Amazon Redshift, consulteCriptografia do banco de dados do Amazon Redshift (p. 203).• KMS

Escolha KMS se quiser habilitar a criptografia e usar o AWS KMS para gerenciar sua chavede criptografia. Em Master Key, escolha (default) aws/redshift para usar uma chave mestrado cliente (CMK) padrão ou escolha uma outra chave da conta da AWS.

Note

Se quiser usar uma chave de outra conta da AWS, escolha Enter a key ARNem Master Key. Em seguida, digite o nome de recurso da Amazon (ARN) dachave a ser utilizada. É preciso ter permissão para usar a chave. Para obter maisinformações sobre o acesso a chaves no AWS KMS, consulte Controlar o acessoàs chaves no AWS Key Management Service Developer Guide.

Para obter mais informações sobre o uso de chaves de criptografia do AWS KMS noAmazon Redshift, consulte Criptografia do banco de dados para o Amazon Redshiftusando o AWS KMS (p. 203).

• HSM

Escolha HSM se deseja habilitar a criptografia e usar o módulo de segurança de hardware(HSM) para gerenciar sua chave de criptografia.

Se você escolher HSM, selecione os valores em HSM Connection (Conexão HSM) e HSMClient Certificate (Certificado do cliente HSM). Esses valores são necessários para que oAmazon Redshift e o HSM formem uma conexão segura através da qual a chave de clusterpoderá ser passada. A conexão de HSM e o certificado do cliente devem ser configuradosno Amazon Redshift antes de você iniciar o cluster. Para obter mais informações sobre

42




como configurar conexões de HSM e certificados do cliente, consulte Criptografia para oAmazon Redshift usando módulos de segurança de hardware (p. 205).

b. Em Configure Networking Options, configure se o cluster será executado em uma nuvem privadavirtual (VPC) ou fora da VPC. A opção escolhida afetará as opções adicionais disponíveis nestaseção. O Amazon Redshift usa as plataformas EC2-VPC e EC2-Classic para executar os clusters.Sua conta da AWS determina que plataforma ou plataformas estão disponíveis para você no seucluster. Para obter mais informações, consulte Plataformas compatíveis no Guia do usuário doAmazon EC2 para instâncias do Linux.

Choose a VPC• Para executar o cluster em uma nuvem privada virtual (VPC), selecione a VPC que deseja

usar. É preciso ter pelo menos um grupo de sub-redes do Amazon Redshift configuradopara usar as VPCs. Para obter mais informações, consulte Grupos de sub-rede de clustersdo Amazon Redshift (p. 68).

• Para executar seu cluster fora da VPC, escolha Not in VPC. Essa opção está disponívelsomente para contas da AWS que ofereçam suporte à plataforma EC2-Classic. Casocontrário, o cluster deverá ser executado em uma VPC.

Cluster Subnet Group

Selecione o grupo de sub-redes do Amazon Redshift no qual o cluster será executado.

Note

Essa opção está disponível somente para clusters em uma VPC.Publicly Accessible

Escolha Yes para habilitar as conexões com o cluster de fora da VPC na qual o cluster seráexecutado. Escolha No se quiser limitar as conexões com o cluster somente para dentro daVPC.

Note

Essa opção está disponível somente para clusters em uma VPC.

43



Choose a Public IP Address

Ao definir Publicly Accessible (Publicamente acessível) como Yes (Sim), selecione No(Não) para fazer com que o Amazon Redshift forneça um Elastic IP (EIP) para o cluster. Ouselecione Yes (Sim) se quiser usar um EIP que você criou e gerencia. Se você optar pordeixar o Amazon Redshift criar o EIP, este será gerenciado pelo próprio Amazon Redshift.

Note

Essa opção está disponível somente para clusters em uma VPC onde PubliclyAccessible é definido como Yes.

Elastic IP

Selecione o EIP que deseja usar para se conectar ao cluster de fora da VPC.

Note

Essa opção está disponível somente para clusters em uma VPC onde PubliclyAccessible e Choose a Public IP Address são definidos como Yes.

Availability Zone

Escolha No Preference (Sem preferência) para fazer com que o Amazon Redshift selecionea zona de disponibilidade onde o cluster será criado. Caso contrário, selecione uma zona dedisponibilidade específica.

Enhanced VPC Routing

Escolha Yes (Sim) para habilitar o Enhanced VPC Routing. O Enhanced VPC Routing podeexigir algumas configurações adicionais. Para obter mais informações, consulte Roteamentoaprimorado de VPC do Amazon Redshift (p. 124).

c. Em Optionally, associate your cluster with one or more security groups, especifique os valorespara as seguintes opções:

Security Groups de VPC

Selecione um grupo de segurança ou grupos da VPC para o cluster. Por padrão, o grupo desegurança selecionado é o grupo de segurança da VPC padrão. Para obter mais informaçõessobre grupos de segurança da VPC, consulte Grupos de segurança da VPC no Guia dousuário da Amazon VPC.

Note

Essa opção está disponível somente se você executar o cluster na plataforma EC2-VPC.

Cluster Security Groups

Selecione um grupo de segurança ou grupos do Amazon Redshift para o cluster. Porpadrão, o grupo de segurança selecionado é o grupo de segurança padrão. Para obter maisinformações sobre a criação de security groups de clusters, consulte Grupos de segurançade clusters do Amazon Redshift (p. 301).

44



Note

Essa opção está disponível somente se você executar o cluster na plataforma EC2-Classic.

d. Em Optionally create a basic alarm for this cluster, configure as seguintes opções e, em seguida,escolha Continue:

Create CloudWatch Alarm

Escolha Yes se você quiser criar um alarme que monitore a utilização do disco de seu clustere, em seguida, especifique os valores para as opções correspondentes. Escolha No se nãoquiser criar um alarme.

Disk Usage Threshold

Selecione a porcentagem de utilização média do disco que fará com que o alarme dispare aoalcançá-la ou excedê-la.

Use Existing Topic

Escolha No (Não) se quiser criar um novo tópico do Amazon Simple Notification Service(Amazon SNS) para esse alarme. Na caixa Topic, edite o nome padrão, se for necessário.Em Recipients, digite o endereço de e-mail de todos os destinatários que deverão receberuma notificação quando o alarme for acionado.

Escolha Yes (Sim) se quiser selecionar um tópico existente no Amazon SNS para estealarme e, em seguida, na lista Topic (Tópico), selecione o tópico que deseja usar.

e. Em Optionally, select your maintenance track for this cluster (Se preferir, selecione oacompanhamento de manutenção para esse cluster), selecione Current (Atual) ou Trailing(Anterior).

Se você selecionar Current (Atual), o cluster será atualizado com o lançamento aprovado maisrecente durante sua janela de manutenção. Se você selecionar Trailing (Anterior), o cluster seráatualizado com o lançamento que foi aprovado anteriormente.

45


6. Na página Review, revise os detalhes do cluster. Se as informações forem satisfatórias, escolhaLaunch Cluster para iniciar o processo de criação. Caso contrário, escolha Back para fazer asalterações necessárias e, em seguida, escolha Continue para voltar à página Review.

Note

Algumas propriedades do cluster como, por exemplo, os valores de Database Port e MasterUser Name, não poderão ser alterados posteriormente. Se você precisa alterá-los, escolhaBack para fazer as alterações agora.

A captura de tela a seguir mostra um resumo das várias opções selecionadas durante o processo deiniciação do cluster.

7. Após iniciar o processo de criação, escolha Close. Podem ser necessários alguns minutos parapreparar o cluster para ser usado.

46

Amazon Redshift Guia de gerenciamento de clustersModificar um cluster

Monitore o status da operação no painel de desempenho.

Modificar um clusterAo modificar um cluster, as alterações nas seguintes opções são aplicadas automaticamente:

• Security Groups de VPC• Publicly Accessible• Master User Password (Senha do usuário mestre)• Conexão HSM• HSM Client Certificate• Maintenance settings (Configurações de manutenção)• Snapshot preferences (Preferências de snapshot)

As alterações nas seguintes opções serão implementadas somente depois que o cluster for reiniciado:

• Cluster Identifier

O Amazon Redshift reinicia o cluster automaticamente quando você altera o valor de Cluster Identifier.• Enhanced VPC Routing

O Amazon Redshift reinicia o cluster automaticamente quando você altera o valor de Enhanced VPCRouting.

• Cluster Parameter Group

Se você diminuir o período de retenção de snapshot automatizado, os snapshots automatizadosexistentes cujas configurações estejam fora do novo período de retenção serão excluídos. Para obter maisinformações, consulte Snapshots do Amazon Redshift (p. 159).

Note


Novo console

Para modificar um cluster


2. No menu de navegação, escolha CLUSTERS.3. Escolha o cluster a ser modificado.4. Para Actions (Ações), selecione Modify (Modificar). A página Modify cluster (Modificar cluster ) é

exibida.

47




5. Atualize as propriedades do cluster. Algumas das propriedades que você pode modificar são:

• Identificador de cluster• Grupos de segurança da VPC• Enhanced VPC routing• Grupos de parâmetros• Criptografia• Janela de manutenção• Maintenance track (Acompanhamento de manutenção)• Adiar janela de manutenção• Retenção de snapshots

6. Selecione Modify Cluster (Modificar cluster).

Console original

Para modificar um cluster


2. No painel de navegação, escolha Clusters e, em seguida, escolha o cluster que deseja modificar.

3. Na guia Configuration da página de detalhes do cluster, escolha Cluster e, em seguida, escolhaModify.

4. Na janela Modify Cluster (Modificar cluster), altere o cluster e, em seguida, escolha Modify (Modificar).A janela resultante mostra as opções disponíveis para modificar um cluster. Incluindo guiascom opções para atualizar Cluster settings (Configurações do cluster), Maintenance settings(Configurações de manutenção) e Snapshot settings (Configurações de snapshot).

Configurar o acompanhamento de manutenção de um cluster

É possível definir o acompanhamento de manutenção de um cluster com o console. Para obter maisinformações, consulte Selecionar acompanhamentos de manutenção do cluster (p. 16).

48




Para definir um acompanhamento de manutenção para um cluster


2. No painel de navegação, escolha Clusters e, em seguida, escolha o cluster que deseja modificar.3. Selecione a guia Maintenance settings (Configurações de manutenção).4. Selecione Current (Atual) ou Trailing (Anterior).5. Selecione Modify.

Adiamento da manutenção

Se precisar reprogramar a janela de manutenção do cluster, você terá a opção de adiar a manutenção ematé 45 dias.

Para adiar a janela de manutenção


2. No painel de navegação, escolha Clusters e, em seguida, escolha o cluster que deseja modificar.3. Selecione a guia Maintenance settings (Configurações de manutenção).4. Escolha Defer maintenance (Adiar manutenção) e defina a data e a hora para adiar a manutenção.5. Selecione Modify.

49





Amazon Redshift Guia de gerenciamento de clustersExcluir um cluster

Excluir um clusterSe você não precisa mais de seu cluster, é possível excluí-lo. Se você pretende disponibilizar umnovo cluster com os mesmos dados e configuração daquele que você está excluindo, precisará de umsnapshot manual. Usando um snapshot manual, você poderá restaurar o snapshot posteriormente econtinuar usando o cluster. Se você excluir seu cluster e não criar um snapshot manual final, os dadosdo cluster serão excluídos. Em ambos os casos, os snapshots automatizados são excluídos depoisque o cluster é excluído, mas todos os snapshots manuais são mantidos até que você os exclua. Podehaver uma cobrança de taxas de armazenamento no Amazon Simple Storage Service pelos snapshotsmanuais, dependendo da quantidade de armazenamento que você tenha disponível para snapshots doAmazon Redshift nos seus clusters. Para obter mais informações, consulte Desativação e exclusão declusters (p. 33).

Note


Novo console

Para excluir um cluster


2. No menu de navegação, escolha CLUSTERS.3. Escolha o cluster a ser excluído.4. Em Actions, selecione Delete. A página Delete cluster (Excluir cluster) é exibida.5. Escolha Delete Cluster (Excluir cluster).

Console original

Para excluir um cluster


2. No painel de navegação, escolha Clusters e, em seguida, escolha o cluster que deseja excluir.

3. Na guia Configuration da página de detalhes do cluster, escolha Cluster e, em seguida, escolhaDelete.

4. Na caixa de diálogo Delete Cluster, siga um dos procedimentos abaixo:

• Em Create snapshot (Criar snapshot), escolha Yes (Sim) para excluir o cluster e fazer um snapshotfinal. Em Snapshot name, digite um nome para o snapshot final e, em seguida, escolha Delete.

50





Amazon Redshift Guia de gerenciamento de clustersReinicialização de um cluster

• Em Create snapshot (Criar snapshot), escolha No (Não) para excluir o cluster sem criar umsnapshot final e escolha Delete (Excluir).

Uma vez iniciada a exclusão, pode levar vários minutos para o cluster ser excluído. Você podemonitorar o status na lista de clusters, como mostram as capturas de tela a seguir. Se você solicitouum snapshot final, o Cluster Status (Status do cluster) mostrará final-snapshot antes dedeleting.

A captura de tela a seguir mostra o cluster com status de final-snapshot antes de ser excluído.

A captura de tela a seguir mostra o cluster com status de deleting.

Quando o processo estiver concluído, você poderá verificar que o cluster foi excluído pois ele nãoaparecerá mais na lista de clusters na página Clusters.

Reinicialização de um clusterQuando você reinicializa um cluster, o status do cluster é definido como rebooting e um evento decluster será criado quando a reinicialização for concluída. Todas as modificações pendentes do cluster sãoaplicadas nesta reinicialização.

51

Amazon Redshift Guia de gerenciamento de clustersRedimensionamento de um cluster

Note


Novo console

Para reinicializar um cluster


2. No menu de navegação, escolha CLUSTERS.3. Escolha o cluster a ser reiniciado.4. Em Actions (Ações), escolha Reboot cluster (Reiniciar cluster). A página Reboot cluster (Reinicializar

cluster) é exibida.5. EscolhaReboot cluster (Reinicializar cluster).

Console original

Para reinicializar um cluster


2. No painel de navegação, escolha Clusters e, em seguida, escolha o cluster que deseja reinicializar.3. Na guia Configuration da página de detalhes do cluster, escolha Cluster e, em seguida, escolha

Reboot.4. Na janela Reboot Clusters, confirme que deseja reinicializar o cluster e, em seguida, escolha Reboot.

Pode levar vários minutos para que o cluster esteja disponível. Você pode monitorar o status dareinicialização na lista de clusters, como mostra a captura de tela a seguir.

Redimensionamento de um clusterAo redimensionar um cluster, você especifica vários nós ou tipos de nó diferentes da configuração atualdo cluster. Enquanto o cluster está no processo de redimensionamento, não é possível executar consultasque façam operações de gravação ou leitura/gravação no cluster. Somente a leitura de consultas épossível.

Para obter mais informações sobre o redimensionamento de clusters, incluindo uma demonstração doprocesso de redimensionamento de clusters usando diferentes abordagens, consulte Redimensionarclusters no Amazon Redshift (p. 22).

Note


52





Amazon Redshift Guia de gerenciamento de clustersRedimensionamento de um cluster

Novo console

Para redimensionar um cluster


2. No menu de navegação, escolha CLUSTERS.3. Escolha o cluster a ser redimensionado.4. Em Actions (Ações), escolha Resize (Redimensionar). A página Resize cluster (Redimensionar

cluster) é exibida.5. Siga as instruções na página. Você pode redimensionar o cluster agora, uma vez em um momento

específico, ou aumentar e diminuir o tamanho do cluster definindo uma programação.6. Dependendo das suas opções, escolha Resize now (Redimensionar agora) ou Schedule resize

(Agendar redimensionamento).

Console original

Para redimensionar um cluster


2. No painel de navegação, escolha Clusters e, em seguida, escolha o cluster que deseja redimensionar.

3. Na guia Configuration da página de detalhes do cluster, escolha Cluster e, em seguida, escolhaResize.

4. Na janela Resize Clusters, configure os parâmetros de configuração incluindo Node Type, ClusterType e Number of Nodes e, em seguida, escolha Resize.

Você pode monitorar o andamento do redimensionamento na guia Status.

53





Amazon Redshift Guia de gerenciamento de clustersAtualizar a versão de um cluster

Você pode cancelar um redimensionamento clássico antes da conclusão, escolhendo cancel resize(cancelar redimensionamento) na lista de clusters.

Atualizar a versão de um clusterÉ possível atualizar a versão de manutenção de um cluster que tem um valor Release Status (Status daversão) de New release available (Nova versão disponível). Ao atualizar a versão de manutenção, vocêpode optar por atualizar imediatamente ou atualizar na próxima janela de manutenção.

Important

Se você atualizar imediatamente, o cluster ficará offline até que a atualização seja concluída.Note


Novo console

Para atualizar um cluster para uma nova versão


2. No menu de navegação, escolha CLUSTERS.3. Escolha o cluster a ser atualizado4. Em Actions (Ações), escolha Upgrade cluster version (Atualizar versão de cluster). A página Upgrade

cluster version (Atualizar versão de cluster) é exibida.5. Siga as instruções na página.6. Escolha Upgrade cluster version (Atualizar versão de cluster).

Console original

Para atualizar seu cluster para uma nova versão


54





Amazon Redshift Guia de gerenciamento de clustersInformações sobre a configuração de clusters

2. No painel de navegação, selecione Clusters e escolha o cluster que deseja atualizar.3. Na guia Clusters, selecione Cluster e Upgrade release version (Atualizar versão).4. Na janela Upgrade (Atualizar), você pode visualizar os números de Current release (Versão

atual) e New release (Nova versão), um link para obter detalhes sobre a Histórico das versões decluster (p. 75) e a Maintenance window schedule (Programação da janela de manutenção). Seselecionar Yes, Upgrade now (Sim, atualizar agora), você deverá reconhecer que o cluster ficaráoffline durante a atualização. Caso contrário, você poderá selecionar Never mind, upgrade in mymaintenance window (Ignorar e atualizar na minha janela de manutenção).

Quando a atualização for concluída, você poderá ver o novo status na coluna Release status (Statusda versão).

Informações sobre a configuração de clustersNote


Novo console

Para exibir informações sobre um cluster



3. Escolha cada guia para visualizar mais detalhes.

Console original

Para obter os detalhes de configuração do cluster


2. No painel de navegação, escolha Clusters e, em seguida, escolha o cluster para o qual desejavisualizar as informações de configuração.

3. Na guia Configuration da página de detalhes do cluster, revise as informações de configuração. Vocêpode visualizar as informações sobre propriedades, status, bancos de dados, capacidade, backup,registros de auditoria, manutenção e configurações de ingestão do SSH para o cluster.

55





Amazon Redshift Guia de gerenciamento de clustersObter uma visão geral do status de clusters

Obter uma visão geral do status de clustersNote


Novo console

Para visualizar o status de um cluster


2. No menu de navegação, escolha CLUSTERS.3. Visualize o status do cluster na coluna Status.

Console original

A guia Status do cluster fornece uma visão geral de alto nível do status de um cluster e um resumodos eventos relacionados ao cluster. Também fornece uma lista de alarmes do Amazon CloudWatchassociados ao cluster.

Para obter uma visão geral do status de um cluster


2. No painel de navegação, escolha Clusters e, em seguida, escolha o cluster para o qual desejavisualizar as informações de status.

3. Escolha a guia Status.

A página de resumo do status é exibida como mostra a captura de tela a seguir.

56





Amazon Redshift Guia de gerenciamento de clustersCriar um snapshot de um cluster

Criar um snapshot de um clusterNote


Novo console

Para criar um snapshot de um cluster


2. No menu de navegação, escolha CLUSTERS.3. Escolha o cluster do qual criar um snapshot.4. Em Actions (Ações), escolha Create snapshot (Criar snapshot). A página Create snapshot (Criar

snapshot) é exibida.5. Siga as instruções na página.6. Escolha Create snapshot (Criar snapshot).

Console original

Você pode criar um snapshot de seu cluster na guia Configuration (Configuração) conforme mostrado aseguir. Também é possível criar um snapshot de seu cluster na parte de snapshots do console do AmazonRedshift. Para obter mais informações, consulte Gerenciamento de snapshots usando o console (p. 170).

Para criar um snapshot de um cluster


2. No painel de navegação, escolha Clusters e, em seguida, escolha o cluster para o qual deseja fazer osnapshot.

57





Amazon Redshift Guia de gerenciamento de clustersCriar ou editar um alarme de espaço em disco

3. Na guia Configuration da página de detalhes do cluster, escolha Backup e, em seguida, escolha TakeSnapshot.

4. Na caixa de diálogo Create Snapshot (Criar snapshot), faça o seguinte:

a. Na caixa Cluster Identifier, escolha o cluster para o qual deseja fazer o snapshot.b. Na caixa Snapshot Identifier (Identificador do snapshot), insira um nome para o snapshot.

5. Escolha Criar.

Para visualizar detalhes sobre o snapshot criado e todos os outros snapshots da sua conta da AWS,acesse a seção de snapshots do console do Amazon Redshift. Para obter mais informações, consulteGerenciamento de snapshots usando o console (p. 170).

Criar ou editar um alarme de espaço em discoNote


58

Amazon Redshift Guia de gerenciamento de clustersCriar ou editar um alarme de espaço em disco

Novo console

Para criar um alarme de uso de espaço em disco de um cluster


2. No menu de navegação, escolha ALARMS (ALARMES).3. Em Actions (Ações), escolha Create alarm (Criar alarme). A página Create alarm (Criar alarme) é

exibida.4. Siga as instruções na página.5. Selecione Create alarm (Criar alarme).

Console originalSe você tiver criado um alarme de espaço em disco padrão quando criou o cluster do Amazon Redshift,você poderá editar o alarme. Por exemplo, você pode alterar a porcentagem na qual o alarme é acionado.Ou pode alterar as configurações de duração.

Para editar o alarme de espaço em disco padrão


2. No painel de navegação, escolha Clusters e, em seguida, escolha o cluster associado ao alarme quedeseja editar.

3. Escolha a guia Status.4. Na seção CloudWatch Alarms, escolha o alarme que deseja editar.

O alarme de espaço em disco padrão criado quando você executou o cluster é chamado depercentage-disk-space-used-default-<string>. A string é gerada aleatoriamente pelo AmazonRedshift.

5. Na janela Edit Alarm, edite os valores que deseja alterar, como a porcentagem ou os minutos.

6. Para alterar o tópico do Amazon SNS ao qual o alarme está associado, execute uma das seguintesações:

59





Amazon Redshift Guia de gerenciamento de clustersUtilização dos dados de desempenho do cluster

• Se você quiser selecionar um outro tópico existente, selecione um tópico da lista Send a notificationto (Enviar uma notificação para).

• Se você quiser criar um novo tópico, escolha create topic e especifique um novo nome de tópico eos endereços de e-mail dos destinatários.

7. Escolha Save (Salvar).

Utilização dos dados de desempenho do clusterNo novo console, é possível trabalhar com o desempenho do cluster na guia Cluster performance(Desempenho do cluster) da página de detalhes do cluster.

No console original, é possível trabalhar com os dados de desempenho do cluster usando as guiasPerformance (Desempenho), Queries (Consultas) e Loads (Carregamentos). Para obter mais informaçõessobre como utilizar os dados de desempenho do cluster, consulte Trabalhar com dados de desempenhono console do Amazon Redshift (p. 334).

Gerencie clusters usando a CLI e a API do AmazonRedshift

Você pode usar as operações da CLI do Amazon Redshift a seguir para gerenciar clusters.

• cancel-resize• create-cluster• delete-cluster• describe-clusters• describe-cluster-versions• describe-node-configuration-options• describe-orderable-cluster-options• describe-resize• modify-cluster• pause-cluster• reboot-cluster• resize-cluster• resume-cluster

Você pode usar as operações da API do Amazon Redshift a seguir para gerenciar clusters.

• CancelResize• CreateCluster• DeleteCluster• DescribeClusters• DescribeClusterVersions• DescribeNodeConfigurationOptions• DescribeResize

60

https://docs.aws.amazon.com/cli/latest/reference/redshift/cancel-resize.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/create-cluster.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-cluster.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-clusters.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-cluster-versions.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-node-configuration-options.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-orderable-cluster-options.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-resize.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/modify-cluster.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/pause-cluster.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/reboot-cluster.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/resize-cluster.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/resume-cluster.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CancelResize.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateCluster.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteCluster.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeClusters.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeClusterVersions.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeNodeConfigurationOptions.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeResize.html

Amazon Redshift Guia de gerenciamento de clustersGerenciar clusters usando o AWS SDK para Java

• DescribeOrderableClusterOptions• ModifyCluster• PauseCluster• RebootCluster• ResizeCluster• ResumeCluster

Gerenciar clusters usando o AWS SDK para JavaO seguinte exemplo de código Java demonstra operações de gerenciamento de cluster comuns, inclusive:

• Criar um cluster.• Listar metadados sobre um cluster.• Modificar opções de configuração.

Depois de iniciar a solicitação de criação do cluster, você deverá aguardar até que o cluster esteja noestado available para poder modificá-lo. Este exemplo usa um loop para verificar periodicamente ostatus do cluster usando o método describeClusters. Quando o cluster está disponível, a janela demanutenção preferida para o cluster muda.

Para obter instruções detalhadas sobre como executar o exemplo a seguir, consulte Execução deexemplos de Java para o Amazon Redshift usando o Eclipse (p. 317). Você precisa atualizar o código eespecificar um identificador de cluster.

Example

/** * Copyright 2010-2019 Amazon.com, Inc. or its affiliates. All Rights Reserved. * * This file is licensed under the Apache License, Version 2.0 (the "License"). * You may not use this file except in compliance with the License. A copy of * the License is located at * * http://aws.amazon.com/apache2.0/ * * This file is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR * CONDITIONS OF ANY KIND, either express or implied. See the License for the * specific language governing permissions and limitations under the License. */

// snippet-sourcedescription:[CreateAndModifyCluster demonstrates how to create and modify an Amazon Redshift cluster.]// snippet-service:[redshift]// snippet-keyword:[Java]// snippet-keyword:[Amazon Redshift]// snippet-keyword:[Code Sample]// snippet-keyword:[CreateCluster]// snippet-keyword:[DescribeClusters]// snippet-keyword:[ModifyCluster]// snippet-sourcetype:[full-example]// snippet-sourcedate:[2019-02-01]// snippet-sourceauthor:[AWS]// snippet-start:[redshift.java.CreateAndModifyCluster.complete]

package com.amazonaws.services.redshift;

61

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeOrderableClusterOptions.html


https://docs.aws.amazon.com/redshift/latest/APIReference/API_PauseCluster.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_RebootCluster.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_ResizeCluster.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_ResumeCluster.html

Amazon Redshift Guia de gerenciamento de clustersGerenciar clusters usando o AWS SDK para Java

import java.io.IOException;

import com.amazonaws.services.redshift.AmazonRedshift;import com.amazonaws.services.redshift.AmazonRedshiftClientBuilder;import com.amazonaws.services.redshift.model.*;

public class CreateAndModifyCluster {

public static AmazonRedshift client; public static String clusterIdentifier = "***provide a cluster identifier***"; public static long sleepTime = 20;

public static void main(String[] args) throws IOException {

// Default client using the {@link com.amazonaws.auth.DefaultAWSCredentialsProviderChain} client = AmazonRedshiftClientBuilder.defaultClient();

try { createCluster(); waitForClusterReady(); describeClusters(); modifyCluster(); describeClusters(); } catch (Exception e) { System.err.println("Operation failed: " + e.getMessage()); } }

private static void createCluster() { CreateClusterRequest request = new CreateClusterRequest() .withClusterIdentifier(clusterIdentifier) .withMasterUsername("masteruser") .withMasterUserPassword("12345678Aa") .withNodeType("ds2.xlarge") .withNumberOfNodes(2) .withClusterSubnetGroupName("subnetgroup1");

Cluster createResponse = client.createCluster(request); System.out.println("Created cluster " + createResponse.getClusterIdentifier()); }

private static void describeClusters() { DescribeClustersRequest request = new DescribeClustersRequest() .withClusterIdentifier(clusterIdentifier);

DescribeClustersResult result = client.describeClusters(request); printResult(result); }

private static void modifyCluster() { ModifyClusterRequest request = new ModifyClusterRequest() .withClusterIdentifier(clusterIdentifier) .withPreferredMaintenanceWindow("wed:07:30-wed:08:00");

client.modifyCluster(request); System.out.println("Modified cluster " + clusterIdentifier);

}

private static void printResult(DescribeClustersResult result) { if (result == null) {

62

Amazon Redshift Guia de gerenciamento de clustersGerenciamento de clusters em uma VPC

System.out.println("Describe clusters result is null."); return; }

System.out.println("Cluster property:"); System.out.format("Preferred Maintenance Window: %s\n", result.getClusters().get(0).getPreferredMaintenanceWindow()); }

private static void waitForClusterReady() throws InterruptedException { Boolean clusterReady = false; System.out.println("Wating for cluster to become available."); while (!clusterReady) { DescribeClustersResult result = client.describeClusters(new DescribeClustersRequest() .withClusterIdentifier(clusterIdentifier)); String status = (result.getClusters()).get(0).getClusterStatus(); if (status.equalsIgnoreCase("available")) { clusterReady = true; } else { System.out.print("."); Thread.sleep(sleepTime*1000); } } }}// snippet-end:[redshift.java.CreateAndModifyCluster.complete]

Gerenciamento de clusters em uma VPCTópicos

• Visão geral (p. 63)• Criar um cluster em uma VPC (p. 65)• Gerenciar grupos de segurança da VPC de um cluster (p. 67)• Grupos de sub-rede de clusters do Amazon Redshift (p. 68)

Visão geralO Amazon Redshift é compatível com as plataformas EC2-VPC e EC2-Classic para executar um clusterem uma nuvem privada virtual (VPC) com base no serviço Amazon VPC. Para obter mais informações,consulte Uso do EC2-VPC ao criar o cluster (p. 9).

Note

O Amazon Redshift dá suporte à inicialização de clusters em VPCs de locação dedicada. Paraobter mais informações, consulte Instâncias dedicadas no Guia do usuário da Amazon VPC.

Ao provisionar um cluster em VPC, você precisa fazer o seguinte:

• Fornecer informações sobre a VPC.

Ao solicitar ao Amazon Redshift para criar um cluster em sua VPC, você deve fornecer as informaçõessobre a VPC, criando um grupo de sub-redes do cluster. Essas informações incluem o ID da VPC e uma

63

https://docs.aws.amazon.com/vpc/latest/userguide/dedicated-instance.html

Amazon Redshift Guia de gerenciamento de clustersVisão geral

lista de sub-redes em sua VPC. Ao iniciar um cluster, você fornece o grupo de sub-redes do cluster paraque o Amazon Redshift possa provisionar o cluster em uma das sub-redes na VPC. Para obter maisinformações sobre como criar grupos de sub-redes no Amazon Redshift, consulte Grupos de sub-redede clusters do Amazon Redshift (p. 68). Para obter mais informações sobre como configurar a VPC,consulte Conceitos básicos da Amazon VPC no Guia de conceitos básicos do Amazon VPC.

• Como opção, configure as opções acessíveis publicamente.

Se você configurar o cluster para ser acessível publicamente, poderá selecionar um Endereço IPelástico a ser usado para o endereço IP externo. Um endereço IP elástico é um endereço IP associadoà sua conta da AWS. Você pode usar um endereço IP elástico para conectar-se ao cluster de fora daVPC. Um endereço IP elástico oferece a capacidade de alterar a configuração subjacente sem afetar oendereço IP usado pelos clientes para conexão ao cluster. Essa abordagem pode ser útil em situaçõescomo uma recuperação depois de uma falha.

Se quiser usar um endereço IP elástico associado à sua própria conta da AWS, você deverá criá-lono Amazon EC2 antes de iniciar o cluster do Amazon Redshift. Do contrário, ele não estará disponíveldurante o processo de inicialização. Também é possível fazer com que o Amazon Redshift configure umendereço IP elástico para uso da VPC. No entanto, o endereço IP elástico atribuído é gerenciado peloserviço Amazon Redshift e não é associado à sua conta da AWS. Para obter mais informações, consulteEndereços IP elásticos no Guia do usuário do Amazon EC2 para instâncias do Linux.

Em alguns casos, você pode ter um cluster acessível publicamente em uma VPC ao qual vocêdeseja conectar-se usando o endereço IP privado de dentro da VPC. nesse caso, defina os seguintesparâmetros da VPC como true:• DNS resolution

• DNS hostnames

Suponha que você tem um cluster acessível publicamente em uma VPC, mas que não defina essesparâmetros como true na VPC. Nesses casos, as conexões feitas de dentro da VPC são resolvidaspara o endereço IP elástico do cluster e não para endereço IP privado. Recomendamos definir essesparâmetros como true e usamos o endereço IP privado para um cluster acessível publicamentedurante a conexão internamente na VPC. Para obter mais informações, consulte Usar DNS com a VPCno Guia do usuário da Amazon VPC.

Note

Se houver um cluster acessível publicamente em uma VPC, as conexões de dentro daVPC continuarão a usar o endereço IP elástico para conectar-se ao cluster até que vocêredimensione o cluster. Isso ocorre mesmo com os parâmetros anteriores definidos. Todos osnovos clusters seguirão o novo comportamento de usar o endereço IP privado ao conectar-seao cluster acessível publicamente de dentro da mesma VPC.

O endereço IP elástico é um endereço IP externo para acesso ao cluster de fora de uma VPC. Ele nãoestá relacionado aos endereços IP públicos e endereços IP privados do nó do cluster que são exibidosno Amazon Redshift console em Connection details (Detalhes da conexão). Os endereços IP de nó docluster públicos e privados são exibidos, independentemente do cluster ser acessível publicamente ounão. Eles só são usados em determinadas circunstâncias para configurar regras de entrada no hostremoto. Essas circunstâncias ocorrem quando você carrega dados de uma instância do Amazon EC2ou de outro host remoto usando uma conexão SSH. Para obter mais informações, consulte Etapa 1:Recuperar a chave pública do cluster e os endereços IP do nó do cluster, no Amazon Redshift DatabaseDeveloper Guide.

A opção de associar um cluster a um endereço IP elástico está disponível quando você cria o clusterou restaura-o de um snapshot. Em alguns casos, você pode desejar associar o cluster a um endereçoIP elástico ou alterar um endereço IP elástico que está associado ao cluster. Para anexar um endereçoIP elástico após a criação do cluster, primeiro atualize o cluster, para que ele não seja acessívelpublicamente, depois torne-o acessível publicamente e adicione um endereço IP elástico na mesmaoperação.

64

https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/GetStarted.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html

https://docs.aws.amazon.com/redshift/latest/dg/load-from-host-steps-retrieve-key-and-ips.html

https://docs.aws.amazon.com/redshift/latest/dg/load-from-host-steps-retrieve-key-and-ips.html

Amazon Redshift Guia de gerenciamento de clustersCriar um cluster em uma VPC

• Associe um security group da VPC.

Em seguida, você concede acesso de entrada usando um security group da VPC. Esse security groupda VPC deve dar acesso pela porta do banco de dados para o cluster, de maneira que você possa seconectar usando ferramentas cliente SQL. Você pode configurar isso com antecedência ou adicionarregras depois que iniciar o cluster. Para obter mais informações, consulte Segurança na VPC no Guiado usuário da Amazon VPC. Você não pode usar os security groups do cluster do Amazon Redshift paraconceder acesso de entrada ao cluster.

Para obter mais informações sobre como trabalhar com clusters em uma VPC, consulte Criar um clusterem uma VPC (p. 65).

Restaurar um snapshot de um cluster na VPC

Um snapshot de um cluster na VPC pode ser restaurado somente em uma VPC, e não externamente àVPC. Você pode restaurá-lo na mesma VPC ou em outra VPC na conta. Para obter mais informaçõessobre snapshots, consulte Snapshots do Amazon Redshift (p. 159).

Criar um cluster em uma VPCVeja a seguir as etapas gerais como você pode implantar um cluster na nuvem privada virtual (VPC).

Novo console

Para criar um cluster em uma VPC

1. Configure uma VPC.

Você poderá criar o cluster na VPC padrão da conta, se a conta tiver uma, ou em uma VPC criada.Para obter mais informações, consulte Uso do EC2-VPC ao criar o cluster (p. 9). Para criar umaVPC, consulte Conceitos básicos da Amazon VPC no Guia do usuário da Amazon VPC. Anote oidentificador da VPC, a sub-rede e a zona de disponibilidade da sub-rede. Você precisará dessasinformações ao iniciar o cluster.

Note

Você deve ter pelo menos uma sub-rede definida na VPC, de maneira que possa adicioná-laao grupo de sub-redes do cluster na próxima etapa. Se usar o assistente da VPC, uma sub-rede da VPC será criada automaticamente para você. Para obter mais informações sobrecomo adicionar uma sub-rede à VPC, consulte Adicionar uma sub-rede à VPC no Guia dousuário da Amazon VPC.

2. Crie um grupo de sub-redes do cluster do Amazon Redshift para especificar qual sub-rede o cluster doAmazon Redshift pode usar na VPC.

Você pode criar o grupo de sub-redes de um cluster usando o console do Amazon Redshift ou deforma programática. Para obter mais informações, consulte Grupos de sub-rede de clusters doAmazon Redshift (p. 68).

3. Autorize o acesso de conexões de entrada em um grupo de segurança da VPC que você associa aocluster.

É possível habilitar um cliente fora da VPC (na Internet púbica) para conectar-se ao cluster. Para fazerisso, você associa o cluster a um grupo de segurança da VPC que concede acesso de entrada à portaque você usou ao iniciar o cluster. Para obter exemplos de regras de grupo de segurança, consulteRegras de grupo de segurança no Guia do usuário da Amazon VPC.

4. Siga as etapas em Conceitos básicos do Amazon Redshift no Conceitos básicos do Amazon Redshiftpara criar um cluster. Faça as seguintes modificações ao criar seu cluster:

65

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#AddaSubnet

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules

https://docs.aws.amazon.com/redshift/latest/gsg/getting-started.html

Amazon Redshift Guia de gerenciamento de clustersCriar um cluster em uma VPC

• Para exibir a seção Additional configurations (Configurações adicionais), desative Use defaults(Usar padrões).

• Na seção Network and security (Rede e segurança), especifique a Virtual private cloud (VPC)(Nuvem privada virtual (VPC)), o Cluster subnet group (Grupo de sub-redes do cluster) e o VPCsecurity group (Grupo de segurança da VPC) definidos por você.

Console original

Para criar um cluster em uma VPC

1. Configure uma VPC.

Você poderá criar o cluster na VPC padrão da conta, se a conta tiver uma, ou em uma VPC criada.Para obter mais informações, consulte Uso do EC2-VPC ao criar o cluster (p. 9). Para criar umaVPC, consulte Conceitos básicos da Amazon VPC no Guia do usuário da Amazon VPC. Anote oidentificador da VPC, a sub-rede e a zona de disponibilidade da sub-rede. Você precisará dessasinformações ao iniciar o cluster.

Note

Você deve ter pelo menos uma sub-rede definida na VPC, de maneira que possa adicioná-laao grupo de sub-redes do cluster na próxima etapa. Se usar o assistente da VPC, uma sub-rede da VPC será criada automaticamente para você. Para obter mais informações sobrecomo adicionar uma sub-rede à VPC, consulte Adicionar uma sub-rede à VPC no Guia dousuário da Amazon VPC.

2. Crie um grupo de sub-redes de cluster do Amazon Redshift que especifique qual das sub-redes naVPC pode ser usada pelo cluster do Amazon Redshift.

Você pode criar o grupo de sub-redes de um cluster usando o console do Amazon Redshift ou deforma programática. Para obter mais informações, consulte Grupos de sub-rede de clusters doAmazon Redshift (p. 68).

3. Autorize o acesso de conexões de entrada em um grupo de segurança da VPC que você associa aocluster.

É possível habilitar um cliente fora da VPC (na Internet púbica) para conectar-se ao cluster. Para fazerisso, você associa o cluster a um grupo de segurança da VPC que concede acesso de entrada à portaque você usou ao iniciar o cluster. Para obter exemplos de regras de grupo de segurança, consulteRegras de grupo de segurança no Guia do usuário da Amazon VPC.

4. Inicie um cluster na VPC.

Você pode usar o procedimento descrito em Conceitos básicos para iniciar o cluster na VPC.Para obter mais informações, consulte Etapa 2: Executar um cluster. À medida que você seguir oassistente, no Configure Network Options da página ADDITIONAL CONFIGURATION, especifique asseguintes informações:

• Choose a VPC (Escolher uma VPC) – selecione a VPC na lista suspensa.• Cluster Subnet Group (Grupo de sub-redes do cluster) – selecione o grupo de sub-redes do cluster

criado na etapa 2.• Publicly Accessible (Publicamente acessível) – selecione Yes (Sim) se desejar que o cluster tenha

um endereço IP público que possa ser acessado pela Internet pública.

Note

Quando você escolhe Yes (Sim), seu cluster pode ser acessado publicamente de fora daVPC e fica sujeito a ameaças de segurança.

66

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#AddaSubnet

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules

https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-launch-sample-cluster.html

Amazon Redshift Guia de gerenciamento de clustersGerenciar grupos de segurança da VPC de um cluster

Selecione No (Não) se quiser que o cluster tenha um endereço IP privado que possa ser acessadoapenas pela VPC.

• Choose a Public IP Address (Escolher um endereço IP público) – selecione Yes (Sim) se desejarselecionar um endereço IP elástico já configurado. Do contrário, selecione No (Não) para que oAmazon Redshift crie um endereço IP elástico para a instância.

• IP elástico – selecione um endereço IP elástico para usar para conectar-se ao cluster de fora daVPC.

• Availability Zone (Zona de disponibilidade) – selecione No Preference (Sem preferência) para que oAmazon Redshift selecione a zona de disponibilidade em que o cluster será criado. Caso contrário,selecione uma zona de disponibilidade específica.

• Selecione o security group da VPC que concede acesso a dispositivos autorizados ao cluster.

Esta é uma captura de tela de exemplo da seção Configure Networking Options da páginaADDITIONAL CONFIGURATION.

Agora você está pronto para usar o cluster. Você pode seguir as etapas de Conceitos básicos para testar ocluster fazendo upload dos dados de exemplo e testando consultas de exemplo.

Gerenciar grupos de segurança da VPC de um clusterQuando você provisiona um cluster do Amazon Redshift, ele é bloqueado por padrão para que ninguémtenha acesso a ele. Para conceder acesso de entrada a um cluster do Amazon Redshift para outrosusuários, você associa o cluster a um security group. Se você estiver na plataforma EC2-VPC, poderáusar um grupo de segurança da Amazon VPC existente ou definir um novo grupo de segurança. Depois,você o associa a um cluster, conforme descrito a seguir. Se estiver na plataforma EC2-Classic, você vaidefinir um security group de cluster e associá-lo a um cluster. Para obter mais informações sobre comousar security groups de cluster na plataforma EC2-Classic, consulte Grupos de segurança de clusters doAmazon Redshift (p. 301).

Um security group da VPC consiste em um conjunto de regras que controlam o acesso a uma instânciana VPC, como o cluster. Acesso ao conjunto de regras individuais baseado em intervalos de endereços IPou em outros security groups da VPC. Quando você associa um security group da VPC a um cluster, asregras definidas no security group da VPC controlam o acesso ao cluster.

Cada cluster provisionado por você na plataforma EC2-VPC tem um ou mais security groups da AmazonVPC. A Amazon VPC fornece um security group de VPC chamado padrão, criado automaticamentequando você cria a VPC. Cada cluster iniciado por você na VPC será associado automaticamente aosecurity group da VPC padrão se você não especificar um security group da VPC diferente ao criar ocluster. Você pode associar um security group da VPC a um cluster ao criar um cluster ou associar umsecurity group da VPC depois modificando o cluster. Para obter mais informações sobre como associar um

67

Amazon Redshift Guia de gerenciamento de clustersGrupos de sub-rede de clusters

security group da VPC a um cluster, consulte Criar um cluster usando uma execução de cluster (p. 39)e Para modificar um cluster (p. 48).

A tabela a seguir descreve as regras padrão do security group da VPC padrão.

Você pode alterar as regras do security group da VPC padrão conforme necessário para o cluster doAmazon Redshift.

Se o grupo de segurança da VPC padrão for suficiente, você não precisará criar mais. Porém, vocêtambém pode criar os security groups da VPC adicionais para gerenciar melhor o acesso de entrada aocluster. Por exemplo, suponhamos que você esteja executando um serviço em um cluster do AmazonRedshift e que tenha diversos níveis de serviço diferentes oferecidos aos clientes. Se não quiserconceder o mesmo acesso em todos os níveis de serviço, você poderá criar grupos de segurança da VPCseparados, um para cada nível de serviço. Em seguida, você poderá associar esses security groups daVPC ao cluster.

É possível criar até 100 grupos de segurança de VPC para uma VPC e associar um grupo de segurançade VPC a muitos clusters. No entanto, só é possível associar até cinco grupos de segurança de VPC a umdeterminado cluster.

O Amazon Redshift aplica alterações a um security group da VPC imediatamente. Assim, se você tiverassociado o security group da VPC a um cluster, as regras de acesso ao cluster de entrada no securitygroup da VPC atualizadas serão aplicadas imediatamente.

Você pode criar e modificar security groups da VPC no https://console.aws.amazon.com/vpc/. Também épossível gerenciar grupos de segurança da VPC de maneira programática usando a AWS CLI, a CLI doAWS EC2 e o AWS Tools for Windows PowerShell. Para obter mais informações sobre como trabalharcom grupos de segurança da VPC, consulte Grupos de segurança para a VPC no Guia do usuário daAmazon VPC.

Grupos de sub-rede de clusters do Amazon RedshiftVisão geralCrie um grupo de sub-redes de clusters se estiver disponibilizando seu cluster na nuvem privada virtual(VPC). Para obter mais informações sobre a VPC, consulte a página de detalhes do produto da AmazonVPC.

Sua VPC pode ter uma ou mais sub-redes, um subconjunto de endereços IP dentro da VPC, que permiteo agrupamento de recursos com base nas necessidades operacionais e de segurança. O grupo de sub-redes de clusters permite que você especifique um conjunto de sub-redes em sua VPC. Ao disponibilizarum cluster, você fornece o grupo de sub-redes e o Amazon Redshift cria o cluster em uma das sub-redesdo grupo.

Para obter mais informações sobre a criação de uma VPC, acesse a documentação do Guia do usuário daAmazon VPC.

Após ter criado um grupo de sub-redes, é possível remover as sub-redes adicionadas anteriormente ouadicionar mais sub-redes. O Amazon Redshift fornece operações de API para criar, modificar ou excluir umgrupo de sub-redes de clusters. Essas operações também podem ser executadas no console.

68

https://console.aws.amazon.com/vpc/




https://docs.aws.amazon.com/vpc/latest/userguide/

https://docs.aws.amazon.com/vpc/latest/userguide/


Gerenciamento de grupos de sub-redes de cluster usando oconsoleÉ possível gerenciar os grupos de sub-redes de seu cluster usando o console do Amazon Redshift. Vocêpode criar, gerenciar ou excluir um grupo de sub-redes de clusters. Para todas as tarefas, comece a partirda lista de grupos de sub-redes de clusters. Você deve selecionar um grupo de sub-redes de clusters paragerenciar.

É possível provisionar um cluster em uma das sub-redes fornecidas no grupo de sub-redes. O grupo desub-redes do cluster permite que você especifique um conjunto de sub-redes em sua nuvem privada virtual(VPC).

Criação de um grupo de sub-redes de clustersÉ preciso ter pelo menos um grupo de sub-redes de clusters definido para disponibilizar um cluster emuma VPC.

Note


Novo console

Para criar um grupo de sub-redes de clusters


2. No menu de navegação, escolha CONFIG e escolha Subnet groups (Grupos de sub-redes). A lista degrupos de sub-redes é exibida.

3. Choose Create cluster subnet group (Criar grupo de sub-redes do cluster) para exibir a página decriação.

4. Insira informações para o grupo de sub-redes incluindo as sub-redes a serem adicionadas.5. Escolha Create cluster subnet group (Criar grupo de sub-redes do cluster) para criar o grupo com a

sub-redes escolhidas.

Console original

Para criar um grupo de sub-redes de clusters


2. No painel de navegação, escolha Security (Segurança).3. Na guia Subnet Groups (Grupos de sub-redes), escolha Create Cluster Subnet Group (Criar grupo de

sub-redes do cluster).

4. Na caixa de diálogo Create Cluster Subnet Group (Grupo de sub-redes do cluster), adicione sub-redesao grupo.

69






a. Especifique um Name (Nome), uma Description (Descrição) e um VPC ID (ID de VPC) para ogrupo de sub-redes do cluster.

b. Adicione sub-redes ao grupo seguindo uma das ações abaixo:

• Escolha o link add all the subnets (adicionar todas as sub-redes).• Use as caixas Availability Zone (Zona de disponibilidade) e Subnet ID (ID da sub-rede) para

escolher uma sub-rede específica e escolha Add (Adicionar).

O exemplo a seguir mostra um grupo de sub-redes de clusters especificado com um grupo desub-redes.

5. Escolha Yes, Create.

O novo grupo será exibido na lista de grupos de sub-redes do cluster.

Modificação de um grupo de sub-redes de clustersNote


Novo console

Para modificar um grupo de sub-redes de clusters



70




3. Escolha o grupo de sub-redes a ser modificado.4. Em Actions (Ações), escolha Modify (Modificar) para exibir os detalhes do grupo de sub-redes.5. Atualize as informações do grupo de sub-redes.6. Escolha Save (Salvar) para modificar o grupo.

Console original

Para modificar um grupo de sub-redes de clusters


2. No painel de navegação, escolha Security (Segurança).3. Na guia Subnet Groups (Grupos de sub-redes), na lista de grupos de sub-redes do cluster, escolha a

linha do grupo que deseja modificar e escolha Edit (Editar).

No exemplo abaixo, subnetgroup2 é o grupo de sub-redes do cluster que queremos modificar.

4. Em Cluster Subnet Group Details, execute uma das ações a seguir.

Para Faça o seguinte

Adicione uma ou mais sub-redes ao grupo.

Selecione uma sub-rede individual usando as caixas AvailabilityZone (Zona de disponibilidade) e Subnet ID (ID de sub-rede) ouescolha add all the subnets (adicionar todas as sub-redes).

Save (Salvar).

Remova uma sub-rede dogrupo.

Nas listas de sub-redes em uso do grupo, clique em Remove(Remover) ao lado da sub-rede a ser removida.

Save (Salvar).

71




Exclusão de um grupo de sub-redes de clustersNão é possível excluir um grupo de sub-redes de cluster que esteja sendo usado por um cluster.

Note


Novo console

Para excluir um grupo de sub-redes de clusters



3. Escolha o grupo de sub-redes a ser excluído e escolha Delete (Excluir).

Console original

Para excluir um grupo de sub-redes de clusters


2. No painel de navegação, escolha Security (Segurança).3. Na guia Subnet Groups (Grupos de sub-redes), na lista de grupos de sub-redes do cluster, clique na

linha do grupo que deseja excluir.

No exemplo abaixo, my-subnet-group é o grupo de sub-redes do cluster a ser excluído.

4. Na caixa de diálogo Delete Cluster Subnet Group (Excluir grupo de sub-redes do cluster), escolhaDelete (Excluir).

Gerenciamento de grupos de sub-redes do cluster usando AWSSDK para JavaO seguinte exemplo de código Java demonstra operações comuns de sub-redes de clusters, incluindo:

72






• Criação de um grupo de sub-redes de clusters.• Listagem dos metadados sobre um grupo do sub-redes de clusters.• Modificação de um grupo de sub-redes de clusters.

Para obter instruções detalhadas sobre como executar o exemplo a seguir, consulte Execução deexemplos de Java para o Amazon Redshift usando o Eclipse (p. 317). Você precisa atualizar o código efornecer um nome de grupo do sub-rede de cluster e dois identificadores de sub-rede.

Example

/** * Copyright 2010-2019 Amazon.com, Inc. or its affiliates. All Rights Reserved. * * This file is licensed under the Apache License, Version 2.0 (the "License"). * You may not use this file except in compliance with the License. A copy of * the License is located at * * http://aws.amazon.com/apache2.0/ * * This file is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR * CONDITIONS OF ANY KIND, either express or implied. See the License for the * specific language governing permissions and limitations under the License.*/

// snippet-sourcedescription:[CreateAndModifyClusterSubnetGroup demonstrates how to create and modify an Amazon Redshift subnet group.]// snippet-service:[redshift]// snippet-keyword:[Java]// snippet-keyword:[Amazon Redshift]// snippet-keyword:[Code Sample]// snippet-keyword:[CreateClusterSubnetGroup]// snippet-keyword:[DescribeClusterSubnetGroups]// snippet-sourcetype:[full-example]// snippet-sourcedate:[2019-02-01]// snippet-sourceauthor:[AWS]// snippet-start:[redshift.java.CreateAndModifyClusterSubnetGroup.complete]package com.amazonaws.services.redshift;

import java.io.IOException;import java.util.ArrayList;import java.util.List;

import com.amazonaws.services.redshift.model.*;

public class CreateAndModifyClusterSubnetGroup {

public static AmazonRedshift client; public static String clusterSubnetGroupName = "subnet-group-name"; // You can use the VPC console to find subnet IDs to use. public static String subnetId1 = "***provide a subnet ID****"; public static String subnetId2 = "***provide a subnet ID****";



try { createClusterSubnetGroup(); describeClusterSubnetGroups(); modifyClusterSubnetGroup(); } catch (Exception e) {

73


System.err.println("Operation failed: " + e.getMessage()); } }

private static void createClusterSubnetGroup() { CreateClusterSubnetGroupRequest request = new CreateClusterSubnetGroupRequest() .withClusterSubnetGroupName(clusterSubnetGroupName) .withDescription("my cluster subnet group") .withSubnetIds(subnetId1); client.createClusterSubnetGroup(request); System.out.println("Created cluster subnet group: " + clusterSubnetGroupName); }

private static void modifyClusterSubnetGroup() { // Get existing subnet list. DescribeClusterSubnetGroupsRequest request1 = new DescribeClusterSubnetGroupsRequest() .withClusterSubnetGroupName(clusterSubnetGroupName); DescribeClusterSubnetGroupsResult result1 = client.describeClusterSubnetGroups(request1); List<String> subnetNames = new ArrayList<String>(); // We can work with just the first group returned since we requested info about one group. for (Subnet subnet : result1.getClusterSubnetGroups().get(0).getSubnets()) { subnetNames.add(subnet.getSubnetIdentifier()); } // Add to existing subnet list. subnetNames.add(subnetId2);

ModifyClusterSubnetGroupRequest request = new ModifyClusterSubnetGroupRequest() .withClusterSubnetGroupName(clusterSubnetGroupName) .withSubnetIds(subnetNames); ClusterSubnetGroup result2 = client.modifyClusterSubnetGroup(request); System.out.println("\nSubnet group modified."); printResultSubnetGroup(result2); }

private static void describeClusterSubnetGroups() { DescribeClusterSubnetGroupsRequest request = new DescribeClusterSubnetGroupsRequest() .withClusterSubnetGroupName(clusterSubnetGroupName);

DescribeClusterSubnetGroupsResult result = client.describeClusterSubnetGroups(request); printResultSubnetGroups(result); }

private static void printResultSubnetGroups(DescribeClusterSubnetGroupsResult result) { if (result == null) { System.out.println("\nDescribe cluster subnet groups result is null."); return; }

for (ClusterSubnetGroup group : result.getClusterSubnetGroups()) { printResultSubnetGroup(group); }

} private static void printResultSubnetGroup(ClusterSubnetGroup group) { System.out.format("Name: %s, Description: %s\n", group.getClusterSubnetGroupName(), group.getDescription()); for (Subnet subnet : group.getSubnets()) { System.out.format(" Subnet: %s, %s, %s\n", subnet.getSubnetIdentifier(),

74

Amazon Redshift Guia de gerenciamento de clustersHistórico das versões de cluster

subnet.getSubnetAvailabilityZone().getName(), subnet.getSubnetStatus()); } }}// snippet-end:[redshift.java.CreateAndModifyClusterSubnetGroup.complete]

Gerenciamento de grupos de sub-redes de clusters usando a CLIe a API do Amazon RedshiftUse as seguintes operações da CLI do Amazon Redshift para gerenciar os grupos de sub-redes declusters.

• create-cluster-subnet-group• delete-cluster-subnet-group• describe-cluster-subnet-groups• modify-cluster-subnet-group

É possível usar as seguintes operações da API do Amazon Redshift para gerenciar os grupos de sub-redes de clusters.

• CreateClusterSubnetGroup• DeleteClusterSubnetGroup• DescribeClusterSubnetGroups• ModifyClusterSubnetGroup

Histórico das versões de clusterO Amazon Redshift libera periodicamente novas versões de cluster que são usadas para atualizar seucluster.

Important

Para obter informações sobre as versões disponíveis de cluster do Amazon Redshift, bem comorecursos, melhorias e correções, consulte Anúncios do fórum de manutenção do Amazon Redshiftno fórum de discussão do Amazon Redshift.

75

https://docs.aws.amazon.com/cli/latest/reference/redshift/create-cluster-subnet-group.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-cluster-subnet-group.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-cluster-subnet-groups.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/modify-cluster-subnet-group.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateClusterSubnetGroup.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteClusterSubnetGroup.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeClusterSubnetGroups.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyClusterSubnetGroup.html

https://forums.aws.amazon.com/forum.jspa?forumID=155&start=0

Amazon Redshift Guia de gerenciamento de clustersConsultar um banco de dados usando o Query Editor

Consultar um banco de dadosPara consultar bancos de dados hospedados por seu cluster do Amazon Redshift, você tem duas opções:

• Conecte-se ao cluster e execute consultas no Console de gerenciamento da AWS com o Query Editor.

Ao usar o Query Editor no console do Amazon Redshift, você não precisa fazer download e configurarum aplicativo cliente SQL.

• Conecte-se ao cluster por meio de uma ferramenta de cliente SQL, como SQL Workbench/J.

O Amazon Redshift oferece suporte a ferramentas do cliente SQL conectadas por meio do JavaDatabase Connectivity (JDBC) e do Open Database Connectivity (ODBC). Como o Amazon Redshiftnão fornece ou instala nenhuma biblioteca ou ferramentas do cliente SQL, você deve instalá-las nocomputador cliente ou na instância do Amazon EC2 para usá-las. Você pode usar a maioria dasferramentas do cliente SQL que oferecem suporte aos drivers do JDBC ou do ODBC.

Tópicos• Consultar um banco de dados usando o Query Editor (p. 76)• Conectar-se a um cluster do Amazon Redshift usando as ferramentas do cliente SQL (p. 80)

Consultar um banco de dados usando o QueryEditor

O uso do Query Editor é a forma mais fácil de executar consultas em bancos de dados hospedados peloseu cluster do Amazon Redshift. Depois de criar o cluster, é possível executar consultas imediatamenteusando o Query Editor no console do Amazon Redshift.

Os seguintes tipos de nós de cluster são compatíveis com o Query Editor:

• DC1.8xlarge• DC2.large• DC2.8xlarge• DS2.8xlarge• RA3.4xlarge• RA3.16xlarge

Usando o Query Editor, você pode fazer o seguinte:

• Execute consultas únicas de comando SQL.• Faça download de conjuntos de resultados de até 100 MB para um arquivo de valores separados por

vírgula (CSV).• Salve consultas para reutilização. Não é possível salvar as consultas em Região Europa (Paris), Região

Ásia-Pacífico (Osaka-Local), Região Ásia-Pacífico (Hong Kong) ou Região do Oriente Médio (Bahrein).• Exiba detalhes de execução de consulta para tabelas definidas pelo usuário.

76

Amazon Redshift Guia de gerenciamento de clustersConsiderações

Considerações do Query EditorLembre-se das seguintes considerações ao usar o Query Editor no console do Amazon Redshift:

• Até 50 usuários podem se conectar a um cluster com o Query Editor ao mesmo tempo.• O número máximo de usuários que se conectam a um cluster inclui aqueles que se conectam por meio

do Query Editor.• Até 50 slots de consulta de gerenciamento de carga de trabalho (workload management, WLM)

podem estar ativos ao mesmo tempo. Para obter mais informações sobre slots de consulta, consulteImplementar gerenciamento de carga de trabalho.

• O Query Editor só executa consultas curtas que podem ser concluídas em 10 minutos.• Os conjuntos de resultados da consulta são paginados com 100 linhas por página.• Não é possível usar o Query Editor com o roteamento aprimorado de VPC. Para obter mais informações,

consulte Roteamento aprimorado de VPC do Amazon Redshift (p. 124).• Você não pode usar transações no Query Editor. Para obter mais informações sobre transações,

consulte BEGIN em Amazon Redshift Database Developer Guide.• Você pode salvar uma consulta de até 3.000 caracteres de comprimento.

Habilitar o acesso ao Query EditorPara acessar o Query Editor, você precisa de permissão. Para habilitar o acesso, anexe as políticasAmazonRedshiftQueryEditor e AmazonRedshiftReadOnlyAccess do AWS Identity and AccessManagement (IAM) ao usuário do IAM que você usa para acessar o cluster.

Se já criou um usuário do IAM para acessar o Amazon Redshift, você pode anexar as políticas doAmazonRedshiftQueryEditor e AmazonRedshiftReadOnlyAccess a esse usuário. Se ainda nãocriou um usuário do IAM, crie um e anexe as políticas ao usuário do IAM.

Note

A política gerenciada pela AWS AmazonRedshiftQueryEditor, permite a açãoredshift:GetClusterCredentials, que, por padrão, concede a um usuário de banco dedados acesso de superusuário ao banco de dados. Para restringir o acesso, você pode realizarum dos seguintes itens:

• Crie uma política personalizada que permite chamar redshift:GetClusterCredentials erestringe o recurso a um DbUser.

• Adicione uma política ao usuário que negue permissão aredshift:GetClusterCredentials e exija que os usuários do Query Editor façam logincom credenciais temporárias. Por exemplo, a política de negação é semelhante a esta política:

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "redshift:GetClusterCredentials", "Resource": "*" }}

Para obter mais informações, consulte Criar uma função do IAM, uma função de usuário ou umusuário com permissões para chamar GetClusterCredentials (p. 241).

77

https://docs.aws.amazon.com/redshift/latest/dg/cm-c-implementing-workload-management.html

https://docs.aws.amazon.com/redshift/latest/dg/r_BEGIN.html

Amazon Redshift Guia de gerenciamento de clustersUsar o Query Editor

Para anexar as políticas do IAM necessárias para o Query Editor

1. Faça login no Console de gerenciamento da AWS e abra o console da IAM em https://console.aws.amazon.com/iam/.

2. Selecione Users (Usuários).3. Escolha o usuário que precisa de acesso ao Query Editor.4. Selecione Add permissions.5. Selecione Attach existing policies directly.6. Para Policy names (Nomes das políticas), selecione AmazonRedshiftQueryEditor e

AmazonRedshiftReadOnlyAccess.7. Selecione Next: Review (Próximo: análise).8. Selecione Add permissions.

Usar o Query EditorNo exemplo a seguir, você usa o Query Editor para executar as seguintes tarefas:

• Executar comandos SQL.• Exibir detalhes de execução da consulta.• Salvar uma consulta.• Fazer download de um conjunto de resultados da consulta.

Para completar o seguinte exemplo, você precisará de um cluster existente do Amazon Redshift. Se vocênão tiver um cluster, crie um seguindo o procedimento descrito em Criar um cluster (p. 37).

Note


Novo console

Para usar o Query Editor no console do Amazon Redshift


2. No menu de navegação, escolha EDITOR e conecte-se a um banco de dados em seu cluster.3. Para Schema (Esquema), escolha public (público) para criar uma tabela com base nesse esquema.4. Insira o seguinte na janela do Query Editor e escolha Run (Executar) para criar uma nova tabela.

create table shoes( shoetype varchar (10), color varchar(10));

5. Escolha Clear (Limpar).6. Insira o seguinte comando na janela do Query Editor e escolha Run (Executar) para adicionar linhas à

tabela.

insert into shoes values ('loafers', 'brown'),('sandals', 'black');

78

https://console.aws.amazon.com/iam/

https://console.aws.amazon.com/iam/



Amazon Redshift Guia de gerenciamento de clustersUsar o Query Editor

7. Escolha Clear (Limpar).8. Insira o seguinte comando na janela do Query Editor e escolha Run (Executar) para consultar a nova

tabela.

select * from shoes;

Os Query results (Resultados da consulta) exibem os resultados.

Tipo de sapato Cor

sandália preta

mocassim marrom

9. Escolha Execution (Execução) para visualizar os detalhes da execução.10. Escolha Data (Dados) e Export (Exportar) para fazer download dos resultados da consulta como um

arquivo.

Console original

Para usar o Query Editor


2. No painel de navegação, selecione Query Editor (Editor de consultas).

3. Para Schema (Esquema), escolha public (público) para criar uma tabela com base nesse esquema.4. Insira o seguinte na janela do Query Editor e selecione Run query (Executar consulta) para criar uma

tabela.

create table shoes( shoetype varchar (10), color varchar(10));

5. Escolha Clear (Limpar).6. Insira o seguinte comando na janela do Query Editor e selecione Run query (Executar consulta) para

adicionar linhas à tabela.

insert into shoes values ('loafers', 'brown'),

79



Amazon Redshift Guia de gerenciamento de clustersConectar-se a um cluster usando

as ferramentas do cliente SQL

('sandals', 'black');

7. Escolha Clear (Limpar).8. Insira o seguinte comando na janela do Query Editor e selecione Run query (Executar consulta) para

consultar a nova tabela.

select * from shoes;

Você deve ver os resultados a seguir.

9. Escolha View execution (Exibir execução) para visualizar os detalhes da execução.10. Escolha Download CSV (Fazer download do CSV) para fazer download dos resultados da consulta

como um arquivo CSV.

Conectar-se a um cluster do Amazon Redshiftusando as ferramentas do cliente SQL

Você pode se conectar aos clusters do Amazon Redshift nas ferramentas do cliente SQL usando asconexões JDBC (Java Database Connectivity) e ODBC (Open Database Connectivity). O Amazon Redshiftnão fornece nem instala bibliotecas ou ferramentas de cliente SQL. Para usar essas ferramentas oubibliotecas para trabalhar com dados nos clusters, instale-as em seu computador cliente ou na instância doAmazon EC2. Você pode usar a maioria das ferramentas do cliente SQL que oferecem suporte aos driversdo JDBC ou do ODBC.

Você pode usar as seções a seguir como guia para o processo de configuração do computador cliente ouda instância do Amazon EC2 para usar uma conexão JDBC ou ODBC. Também são discutidas opçõesde segurança relacionadas para a conexão do cliente ao servidor. Além disso, veja a seguir informaçõessobre a configuração e a conexão de duas ferramentas de cliente SQL de terceiros, o SQL Workbench/Je o psql. Experimente essas ferramentas se ainda não tiver uma ferramenta de business intelligence para

80

Amazon Redshift Guia de gerenciamento de clustersConfiguração de conexões no Amazon Redshift

usar. Também é possível usar esta seção para saber mais sobre como se conectar a um cluster por meiode programação. Finalmente, se você encontrar problemas ao tentar se conectar a um cluster, poderárevisar as informações de solução de problemas nesta seção para identificar soluções possíveis.

Tópicos• Configuração de conexões no Amazon Redshift (p. 81)• Configurar as opções de segurança para conexões (p. 102)• Conexão com clusters a partir das ferramentas do cliente e do código (p. 107)• Solução de problemas de conexão no Amazon Redshift (p. 118)

Configuração de conexões no Amazon RedshiftNa próxima seção, descubra como configurar as conexões JDBC e ODBC para se conectar ao clusterpelas ferramentas do cliente SQL. Esta seção descreve como configurar conexões JDBC e ODBC.Também descreve como usar o Secure Sockets Layer (SSL) e os certificados de servidores paracriptografar as comunicações entre o cliente e o servidor.

Tópicos• Drivers do JDBC e do ODBC para o Amazon Redshift (p. 81)• Configurar uma conexão JDBC (p. 82)• Configurar uma conexão ODBC (p. 90)

Drivers do JDBC e do ODBC para o Amazon RedshiftPara trabalhar com dados no cluster, você precisa dos drivers do JDBC ou do ODBC para estabelecer aconexão do computador cliente ou da instância. Escreva o código de seus aplicativos de modo que elesusem as operações de API de acesso a dados do JDBC ou do ODBC, e use as ferramentas do clienteSQL que oferecem suporte a JDBC ou ODBC.

O Amazon Redshift oferece os drivers do JDBC e do ODBC para download. Anteriormente, o AmazonRedshift recomendava os drivers do PostgreSQL para JDBC e ODBC. Se você usa esses driversatualmente, recomendamos mudar para os novos drivers específicos do Amazon Redshift. Para obter maisinformações sobre como baixar os drivers do JDBC e do ODBC e configurar as conexões para o cluster,consulte Configurar uma conexão JDBC (p. 82) e Configurar uma conexão ODBC (p. 90).

Encontrar a string de conexão do cluster

Para conectar-se ao cluster com a ferramenta do cliente SQL, você precisa da string de conexão docluster. A string de conexão do cluster se encontra no console do Amazon Redshift, na página de detalhesdo cluster.

Note


Novo console

Para encontrar a string de conexão de um cluster


81




2. No menu de navegação, escolha CLUSTERS e escolha o nome do cluster na lista para abrir osdetalhes.

3. Escolha a guia Properties (Propriedades) do cluster. Visualize Connection details (Detalhes daconexão) e escolha View all connection details (Visualizar todos os detalhes da conexão) para ver osvalores de JDDBC URL (URL JDBC) e ODBC URL (URL ODBC). A string de conexão é baseada naregião da AWS em que o cluster é executado.

4. Escolha Copy (Copiar) para copiar a string de conexão necessária para seu driver.

Console original

Para obter a string de conexão do cluster


2. Na página Clusters, escolha o nome do cluster do qual você deseja obter a string de conexão.3. Na guia Configuration do cluster, sob JDBC URL ou ODBC URL, copie a string de conexão.

O exemplo a seguir mostra as strings de conexão de um cluster em execução na região RegiãoOeste dos EUA (Oregon). Se você executar o cluster em uma região da AWS diferente, as strings deconexão serão baseadas no endpoint dessa região.

Configurar uma conexão JDBCVocê pode usar uma conexão JDBC para se conectar ao cluster do Amazon Redshift a partir de muitasferramentas de cliente SQL de terceiros. Para isso, faça download de um driver JDBC.

Se quiser usar uma conexão JDBC, siga as etapas a seguir.

Tópicos• Fazer download de um driver JDBC do Amazon Redshift (p. 83)• Como obter o URL do JDBC (p. 84)• Configurar autenticação e SSL para a conexão JDBC (p. 84)

82




• Configurar manutenções de atividade de TCP para a conexão JDBC (p. 84)• Configurar o registro em log para a conexão JDBC (p. 85)• Configurar a conexão JDBC com o Apache Maven (p. 85)• Configurar as opções do driver JDBC (p. 87)• Usar versões anteriores do driver JDBC em determinados casos (p. 87)

Fazer download de um driver JDBC do Amazon RedshiftO Amazon Redshift oferece drivers para ferramentas compatíveis com a API do JDBC 4.2. Para obterinformações sobre as funcionalidades compatíveis com esses drivers, consulte as Notas de release dodriver JDBC do Amazon Redshift.

Para obter informações detalhadas sobre como instalar o driver JDBC, fazer referência às bibliotecas dodriver JDBC e registrar a classe de driver, consulte o Guia de instalação e configuração do driver JDBC doAmazon Redshift.

Drivers JDBC versão 1.2.27.1051 e posterior oferecem suporte a procedimentos armazenados do AmazonRedshift. Para obter mais informações, consulte Criar procedimentos armazenados no Amazon Redshift noAmazon Redshift Database Developer Guide.

Os drivers JDBC versão 1.2.8.1005 e posteriores oferecem suporte à autenticação de banco de dados pormeio das credenciais do AWS Identity and Access Management (IAM) ou das credenciais do provedor deidentidade (IdP). Para obter mais informações, consulte Usar a autenticação do IAM para gerar credenciaisdo usuário do banco de dados (p. 237).

Para cada computador em que você usa o driver JDBC do Amazon Redshift, verifique se o Java RuntimeEnvironment (JRE) 8.0 está instalado.

Se você usar o driver JDBC do Amazon Redshift para autenticação do banco de dados, verifique se tem oAWS SDK para Java 1.11.118 ou posterior no caminho da classe Java. Se você não tem o AWS SDK paraJava instalado, pode usar um driver que inclui o SDK da AWS.

• Driver compatível com o JDBC4.2 (sem o AWS SDK) e bibliotecas dependentes do driver para arquivosdo AWS SDK versão 1.2.45.

O nome da classe deste driver é com.amazon.redshift.jdbc42.Driver.

Esse arquivo ZIP contém o driver compatível com o JDBC4.2 (sem o AWS SDK) e seus arquivos dabiblioteca dependentes. Descompacte os arquivos jar dependentes no mesmo local que o driver JDBC.Somente o driver JDBC precisa estar no CLASSPATH porque o arquivo de manifesto do driver contémtodos os nomes de arquivos de biblioteca dependentes localizados no mesmo diretório que o driverJDBC. Para obter mais informações sobre como instalar o driver JDBC, consulte o Guia de instalação econfiguração do drive JDBC do Amazon Redshift.

Use o driver JDBC do Amazon Redshift com o AWS SDK necessário para autenticação de banco dedados do IAM.

• Driver compatível com o JDBC 4.2 (sem o AWS SDK) versão 1.2.45.


Para obter mais informações sobre versões anteriores de driver, consulte Usar versões anteriores do driverJDBC com o AWS SDK para Java (p. 89).

Depois, faça download e revise o Acordo de licença do driver ODBC e JDBC do Amazon Redshift.

Se a ferramenta exigir a versão anterior específica de um driver, consulte Usar versões anteriores do driverJDBC em determinados casos (p. 87).

83

https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.45.1069/Amazon+Redshift+JDBC+Release+Notes.pdf

https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.45.1069/Amazon+Redshift+JDBC+Release+Notes.pdf

https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.45.1069/Amazon+Redshift+JDBC+Driver+Install+Guide.pdf


https://docs.aws.amazon.com/redshift/latest/dg/stored-procedure-overview.html

https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.45.1069/RedshiftJDBC42-1.2.45.1069.zip

https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.45.1069/RedshiftJDBC42-1.2.45.1069.zip



https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.45.1069/RedshiftJDBC42-no-awssdk-1.2.45.1069.jar

https://s3.amazonaws.com/redshift-downloads/drivers/Amazon+Redshift+ODBC+and+JDBC+Driver+License+Agreement.pdf


Como obter o URL do JDBCAntes de se conectar ao cluster do Amazon Redshift a partir de uma ferramenta do clienteSQL, você precisará saber o URL do JDBC do cluster. O URL do JDBC tem o seguinte formato:jdbc:redshift://endpoint:port/database.

Note

O URL de JDBC especificado no formato anteriorjdbc:postgresql://endpoint:port/database ainda funciona.

Os campos do formato mostrado anteriormente têm os seguintes valores.

Campo Valor

jdbc O protocolo para a conexão.

redshift O subprotocolo que especifica o uso do driver do Amazon Redshift para a conexãocom o banco de dados.

endpoint O endpoint do cluster do Amazon Redshift.

port O número da porta usado quando você iniciou o cluster. Se você tem um firewall,verifique se essa porta está aberta para uso.

database O banco de dados que você criou para o cluster.

Este é um exemplo de URL do JDBC: jdbc:redshift://examplecluster.abc123xyz789.us-west-2.redshift.amazonaws.com:5439/dev

Para obter informações sobre como obter sua conexão JDBC, consulte Encontrar a string de conexão docluster (p. 81).

Se a conexão do computador cliente com o banco de dados falhar, você pode tentar solucionar ospossíveis problemas. Para obter mais informações, consulte Solução de problemas de conexão noAmazon Redshift (p. 118).

Configurar autenticação e SSL para a conexão JDBCConfigure o driver JDBC do Amazon Redshift para autenticar a conexão de acordo com os requisitos desegurança do servidor do Amazon Redshift ao qual você está se conectando.

Para autenticar a conexão, sempre forneça seu nome de usuário e senha do Amazon Redshift. Se o SSLestiver habilitado e for necessário no servidor, também poderá ser necessário configurar o driver para seconectar por meio do SSL. Ou talvez seja necessário usar a autenticação SSL unidirecional para que ocliente (o próprio driver) verifique a identidade do servidor.

Para obter informações sobre como configurar o driver JDBC para autenticar a conexão, consulte o Guiade instalação e configuração do driver JDBC do Amazon Redshift.

Configurar manutenções de atividade de TCP para a conexão JDBCPor padrão, o driver JDBC do Amazon Redshift é configurado para usar manutenções de atividade de TCPa fim de impedir que as conexões atinjam o tempo limite. É possível especificar quando o driver começa aenviar pacotes de manutenções de atividade ou desativar o recurso definindo as propriedades relevantesno URL de conexão.

Para obter informações sobre como configurar keepalives de TCP para o driver JDBC, consulte o Guia deinstalação e configuração do driver JDBC do Amazon Redshift.

84






Configurar o registro em log para a conexão JDBC

Para ajudar a solucionar problemas, você pode habilitar o registro em log no driver JDBC.

Para obter informações sobre como configurar o registro em log para a conexão JDBC, consulte o Guia deinstalação e configuração do driver JDBC do Amazon Redshift.

Configurar a conexão JDBC com o Apache Maven

Apache Maven é uma ferramenta de gerenciamento e compreensão de projetos de software. O AWS SDKpara Java oferece suporte aos projetos do Apache Maven. Para obter mais informações, consulte Usar oSDK com o Apache Maven no AWS SDK for Java Developer Guide.

Se você usa o Apache Maven, pode configurar e criar seus projetos para usar um driver JDBC do AmazonRedshift para se conectar ao cluster do Amazon Redshift. Para fazer isso, adicione o driver JDBC comouma dependência no arquivo pom.xml do projeto. Se você usa o Maven para compilar um projeto edeseja usar uma conexão JDBC, siga as etapas da próxima seção.

Configuração do driver de JDBC como uma dependência do Maven

Como configurar o driver JDBC como uma dependência do Maven

1. Adicione o seguinte repositório à seção de repositórios do arquivo pom.xml.

Note

O URL exibido no exemplo de código a seguir retornará um erro se for usado em umnavegador. Use este URL somente no contexto de um projeto Maven.

<repositories> <repository> <id>redshift</id> <url>http://redshift-maven-repository.s3-website-us-east-1.amazonaws.com/release</url> </repository></repositories>

Para conectar-se usando SSL, adicione o seguinte repositório em seu arquivo pom.xml.

<repositories> <repository> <id>redshift</id> <url>https://s3.amazonaws.com/redshift-maven-repository/release</url> </repository></repositories>

2. Declare a versão do driver que deseja usar na seção de dependências do arquivo pom.xml.

O Amazon Redshift oferece drivers para ferramentas compatíveis com a API do JDBC 4.2. Para obterinformações sobre as funcionalidades compatíveis com esses drivers, consulte Fazer download de umdriver JDBC do Amazon Redshift (p. 83).

Adicione uma das dependências da lista a seguir ao driver.

Note

Para a versão 1.2.1.1001 e posterior, use o nome de classe genérico do drivercom.amazon.redshift.jdbc.Driver ou o nome de classe específico da versão listadocom o driver na lista a seguir, por exemplo, com.amazon.redshift.jdbc42.Driver.

85



https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/setup-project-maven.html

https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/setup-project-maven.html


Para versões anteriores à 1.2.1.1001, somente os nomes de classe específicos da versãosão compatíveis.

Substitua driver-version no exemplo a seguir pela versão do driver. Por exemplo, 1.2.45.1069.

• Driver compatível com o JDBC 4.2:

<dependency> <groupId>com.amazon.redshift</groupId> <artifactId>redshift-jdbc42</artifactId> <version>driver-version</version></dependency>

O nome da classe deste driver é com.amazon.redshift.jdbc42.Driver.3. Faça download e revise o Acordo de licença do driver ODBC e JDBC do Amazon Redshift.

Os drivers JDBC padrão do Amazon Redshift incluem o AWS SDK necessário ao uso da autenticação debanco de dados do IAM. É recomendável o uso dos drivers padrão, salvo se o tamanho dos arquivos dedriver for um problema para seu aplicativo. Se você precisar de arquivos de driver menores e não usar aautenticação de banco de dados do IAM ou se você já tiver o AWS SDK para Java 1.11. 118 ou posteriorno caminho de classe Java, adicione uma dependência para o driver na lista a seguir.

Substitua driver-version no exemplo a seguir pela versão do driver. Por exemplo, 1.2.45.1069.

• Driver compatível com o JDBC 4.2:

<dependency> <groupId>com.amazon.redshift</groupId> <artifactId>redshift-jdbc42-no-awssdk</artifactId> <version>driver-version</version></dependency>


Os drivers Maven do Amazon Redshift sem SDKs incluem as seguintes dependências opcionais que vocêpode incluir no projeto conforme necessário.

<dependency> <groupId>com.amazonaws</groupId> <artifactId>aws-java-sdk-core</artifactId> <version>1.11.118</version> <scope>runtime</scope> <optional>true</optional></dependency> <dependency> <groupId>com.amazonaws</groupId> <artifactId>aws-java-sdk-redshift</artifactId> <version>1.11.118</version> <scope>runtime</scope> <optional>true</optional></dependency><dependency> <groupId>com.amazonaws</groupId> <artifactId>aws-java-sdk-sts</artifactId> <version>1.11.118</version> <scope>runtime</scope> <optional>true</optional></dependency>

86



Se a ferramenta exigir a versão anterior específica de um driver, consulte Usar versões anteriores do driverJDBC com o Maven (p. 90).

Atualização do driver para a versão mais recente

Para atualizar ou alterar o driver JDBC do Amazon Redshift para a versão mais recente, primeiro modifiquea seção de versão da dependência para a versão mais recente do driver. Limpe seu projeto com o MavenClean Plugin, conforme mostrado a seguir.

mvn clean

Configurar as opções do driver JDBC

Para controlar o comportamento do driver JDBC do Amazon Redshift, você pode adicionar opções deconfiguração ao URL do JDBC. Por exemplo, o seguinte URL do JDBC se conecta ao cluster usando oSecure Sockets Layer (SSL), o usuário (UID) e a senha (PWD).

jdbc:redshift://examplecluster.abc123xyz789.us-west-2.redshift.amazonaws.com:5439/dev?ssl=true&UID=your_username&PWD=your_password

Para obter mais informações sobre as opções do SSL, consulte Conexão usando SSL (p. 102).

Para obter informações sobre como definir opções de configuração do driver JDBC, consulte o Guia deinstalação e configuração do driver JDBC do Amazon Redshift.

Usar versões anteriores do driver JDBC em determinados casos

Só faça download de uma versão anterior do driver de JDBC do Amazon Redshift se sua ferramenta exigiruma versão específica do driver. Para obter informações sobre as funcionalidades compatíveis com essasversões dos drivers, consulte Fazer download de um driver JDBC do Amazon Redshift (p. 83).

Para realizar a autenticação usando as credenciais do AWS Identity and Access Management (IAM) ou doprovedor de identidade (IdP), use o driver JDBC versão 1.2.8.1005 ou posterior do Amazon Redshift.

Important

O Amazon Redshift alterou o modo de gerenciamento dos certificados SSL. Se você tiver queusar um driver com versão anterior a 1.2.8.1005, talvez seja necessário atualizar os certificadosCA raiz confiáveis atuais para continuar se conectando aos clusters usando o SSL. Para obtermais informações, consulte Transição para certificados ACM das conexões SSL (p. 105).

Se você usar o driver JDBC do Amazon Redshift para autenticação do banco de dados, verifique se tem oAWS SDK para Java 1.11.118 ou posterior no caminho da classe Java. Se você não tem o AWS SDK paraJava instalado, pode usar um driver que inclui o SDK da AWS. Para obter mais informações, consulte Usarversões anteriores do driver JDBC com o AWS SDK para Java (p. 89).

Estes são drivers compatíveis com o JDBC 4.2:

• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.45.1069/RedshiftJDBC42-no-awssdk-1.2.45.1069.jar.




87




















Estes são os drivers anteriores compatíveis com o JDBC 4.1:












Estes são os drivers anteriores compatíveis com o JDBC 4.0:




88


















































• https://s3.amazonaws.com/redshift-downloads/drivers/jbdc/1.2.20.1043/RedshiftJDBC4-no-awssdk-1.2.20.1043.jar.




Usar versões anteriores do driver JDBC com o AWS SDK para Java

Se você usar o driver JDBC para autenticação do banco de dados, verifique se tem o AWS SDK para Java1.11.118 ou posterior no caminho da classe Java. Se você não tem o AWS SDK para Java instalado, podeusar um dos drivers a seguir que incluem o AWS SDK.

• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.43.1067/RedshiftJDBC42-1.2.43.1067.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.41.1065/RedshiftJDBC42-1.2.41.1065.jar

.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.37.1061/RedshiftJDBC42-1.2.37.1061.jar

.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.37.1061/RedshiftJDBC41-1.2.37.1061.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.37.1061/RedshiftJDBC4-1.2.37.1061.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.36.1060/RedshiftJDBC42-1.2.36.1060.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.36.1060/RedshiftJDBC41-1.2.36.1060.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.36.1060/RedshiftJDBC4-1.2.36.1060.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.34.1058/RedshiftJDBC42-1.2.34.1058.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.34.1058/RedshiftJDBC41-1.2.34.1058.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.34.1058/RedshiftJDBC4-1.2.34.1058.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.32.1056/RedshiftJDBC42-1.2.32.1056.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.32.1056/RedshiftJDBC41-1.2.32.1056.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.32.1056/RedshiftJDBC4-1.2.32.1056.jar .• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.27.1051/RedshiftJDBC42-1.2.27.1051.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.27.1051/RedshiftJDBC41-1.2.27.1051.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.27.1051/RedshiftJDBC4-1.2.27.1051.jar .• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.27.1051/RedshiftJDBC42-1.2.27.1051.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.27.1051/RedshiftJDBC41-1.2.27.1051.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.27.1051/RedshiftJDBC4-1.2.27.1051.jar .• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.20.1043/RedshiftJDBC42-1.2.20.1043.jar.

89

















https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.43.1067/RedshiftJDBC42-1.2.43.1067.jar






















• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.20.1043/RedshiftJDBC41-1.2.20.1043.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.20.1043/RedshiftJDBC4-1.2.20.1043.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.16.1027/RedshiftJDBC42-1.2.16.1027.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.15.1025/RedshiftJDBC42-1.2.15.1025.jar.• https://s3.amazonaws.com/redshift-downloads/drivers/jdbc/1.2.12.1017/RedshiftJDBC42-1.2.12.1017.jar.

Usar versões anteriores do driver JDBC com o Maven

Só adicione uma versão anterior do driver JDBC do Amazon Redshift ao projeto se a ferramenta exigiruma versão específica do driver. Para obter informações sobre a funcionalidade com suporte nessasversões do driver, consulte Fazer download de um driver JDBC do Amazon Redshift (p. 83). Para obterinformações sobre como configurar com o Maven, consulte Configurar a conexão JDBC com o ApacheMaven (p. 85).

Configurar uma conexão ODBCVocê pode usar uma conexão ODBC para se conectar ao cluster do Amazon Redshift a partir de muitasferramentas e aplicativos de clientes SQL de terceiros. Para isso, configure a conexão em seu computadorcliente ou na instância do Amazon EC2. Se sua ferramenta cliente oferece suporte ao JDBC, você podeoptar por usar esse tipo de conexão em vez de usar o ODBC, devido à facilidade de configuração que oJDBC oferece. Contudo, se sua ferramenta cliente não oferece suporte ao JDBC, siga as etapas nestaseção para configurar uma conexão ODBC.

O Amazon Redshift fornece drivers ODBC para os sistemas operacionais Linux, Windows e macOS X.Antes de instalar um driver de ODBC, será necessário determinar se a ferramenta do cliente SQL é de32 ou 64 bits. Instale o driver de ODBC que corresponde aos requisitos da ferramenta de cliente SQL.Caso contrário, a conexão não funcionará. Se você usa mais de uma ferramenta de cliente SQL no mesmocomputador ou instância, certifique-se de que fez download dos drivers apropriados. Pode ser necessárioinstalar ambos os drivers de 32 e 64 bits, caso as ferramentas tenham arquiteturas de sistema distintas.

Para obter as informações mais recentes sobre os pré-requisitos e as funcionalidades do driver ODBC,consulte Notas de release do driver ODBC do Amazon Redshift.

Para obter informações sobre a instalação e a configuração de drivers ODBC do Amazon Redshift,consulte o Guia de instalação e configuração do driver ODBC do Amazon Redshift.

Se quiser usar uma conexão ODBC, siga as etapas a seguir.

Tópicos• Obtenção do URL do ODBC para o cluster (p. 90)• Instalar e configurar o driver ODBC do Amazon Redshift no Microsoft Windows (p. 91)• Instalar o driver ODBC do Amazon Redshift no Linux (p. 94)• Instalar o driver ODBC do Amazon Redshift no macOS X (p. 95)• Configurar o driver ODBC em sistemas operacionais Linux e macOS X (p. 96)• Configurar as opções do driver ODBC (p. 99)• Usar versões anteriores do driver ODBC em determinados casos (p. 100)

Obtenção do URL do ODBC para o cluster

O Amazon Redshift exibe o URL do ODBC para o cluster no Amazon Redshift console. Este URL contémas informações para a configuração da conexão entre o computador cliente e o banco de dados.

90






https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/Amazon+Redshift+ODBC+Driver+Release+Notes.pdf

https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/Amazon+Redshift+ODBC+Driver+Install+Guide.pdf


O URL do ODBC tem o seguinte formato:Driver={driver};Server=endpoint;Database=database_name;UID=user_name;PWD=password;Port=port_number

Os campos do formato mostrado anteriormente têm os seguintes valores.

Campo Valor

Driver O nome do driver de ODBC a ser usado. Dependendo do driver que obteve pordownload para sua arquitetura, os valores são Amazon Redshift (x86) (para o driverde 32 bits) ou Amazon Redshift (x64) (para o driver de 64 bits).

Server O endpoint do cluster do Amazon Redshift.

Database O banco de dados que você criou para o cluster.

UID O nome do usuário de uma conta de usuário que tem a permissão para se conectarao banco de dados. Este valor é uma permissão de banco de dados, não umapermissão do Amazon Redshift, embora você possa usar a conta de usuárioprincipal configurada quando executou o cluster.

PWD A senha da conta de usuário para se conectar ao banco de dados.

Port O número da porta usado quando você iniciou o cluster. Se você tem um firewall,certifique-se de que essa porta está aberta para uso.

Este é um exemplo de URL de ODBC: Driver={Amazon Redshift (x64)};Server=examplecluster.abc123xyz789.us-west-2.redshift.amazonaws.com;Database=dev; UID=masteruser; PWD=insert_your_master_user_password_here;Port=5439

Para obter informações sobre como obter sua conexão ODBC, consulte Encontrar a string de conexão docluster (p. 81).

Instalar e configurar o driver ODBC do Amazon Redshift no Microsoft Windows

Requisitos do sistema

A instalação do driver de ODBC do Amazon Redshift em computadores cliente é feita por meio de um datawarehouse do Amazon Redshift. Cada computador onde o driver é instalado deve atender a uma lista derequisitos mínimos do sistema. Para obter informações sobre os requisitos mínimos do sistema, consulte oGuia de instalação e configuração do driver ODBC do Amazon Redshift.

Instalação do driver do Amazon Redshift em sistemas operacionais Windows

Use o procedimento a seguir para fazer download dos drivers ODBC do Amazon Redshift para sistemasoperacionais Windows. Use um driver diferente desses somente se estiver executando um aplicativo deterceiros que seja certificado para o uso com o Amazon Redshift e que exija um driver específico.

Para instalar o driver de ODBC

1. Faça download de uma das versões a seguir, dependendo da arquitetura de sistema usada peloaplicativo ou ferramenta do cliente SQL:

• Driver ODBC de 32 bits versão 1.4.14

O nome deste driver é Amazon Redshift (x86).• Driver ODBC de 64 bits versão 1.4.14

91


https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/AmazonRedshiftODBC32-1.4.14.1000.msi



O nome deste driver é Amazon Redshift (x64).

Note

Faça download do pacote MSI que correspondente à arquitetura de sistema da ferramentado cliente ou do aplicativo SQL. Por exemplo, se a ferramenta do cliente SQL é de 64 bits,instale o driver de 64 bits.

Depois, faça download e revise o Acordo de licença do driver ODBC e JDBC do Amazon Redshift.2. Clique duas vezes no arquivo .msi e, em seguida, siga os passos do assistente para instalar o driver.

Criação de uma entrada de DSN do sistema para uma conexão ODBC no Microsoft Windows

Após fazer download e instalar o driver ODBC, adicione uma entrada de nome da fonte de dados (DSN)para o computador cliente ou a instância do Amazon EC2. As ferramentas do cliente SQL usam esta fontede dados para a conexão com o banco de dados do Amazon Redshift.

Recomendamos a criação de um DSN de sistema em vez de um DSN de usuário. Alguns aplicativoscarregam os dados usando uma conta de usuário diferente. Esses aplicativos podem não conseguirdetectar DSNs de usuário criados em outra conta de usuário.

Note

Para realizar a autenticação usando as credenciais do AWS Identity and Access Management(IAM) ou do provedor de identidade (IdP), serão necessárias etapas adicionais. Para obtermais informações, consulte Configurar uma conexão JDBC ou ODBC para usar credenciais doIAM (p. 243).

Para obter informações sobre como criar uma entrada de DSN de sistema, consulte o Guia de instalação econfiguração do driver ODBC do Amazon Redshift.

Como criar uma entrada de DSN de sistema para uma conexão ODBC no Windows

1. No menu Iniciar, abra Fontes de dados ODBC.

Selecione Administrador de Fonte de Dados ODBC com a mesma especificação de bits do aplicativocliente que está usando para se conectar ao Amazon Redshift.

2. No Administrador de Fonte de Dados ODBC, escolhe a guia Drivers e localize a pasta do driver.

Note

Se você instalou o driver de 32 bits, a pasta se chama Amazon Redshift ODBC Driver (32-bit). Se você instalou o driver de 64 bits, a pasta se chama Amazon Redshift ODBC Driver(64-bit). Se você instalou ambos os drivers, terá uma pasta para cada driver.

3. Selecione a guia DSN de Sistema a fim de configurar o driver para todos os usuários no computador,ou a guia DSN de Usuário a fim de configurar o driver apenas para sua conta de usuário.

4. Escolha Adicionar. A janela Create New Data Source é exibida.5. Selecione o driver ODBC do Amazon Redshift e escolha Concluir. A janela Amazon Redshift ODBC

Driver DSN Setup é exibida.6. Em Connection Settings, insira as seguintes informações:

Nome da fonte de dados

Insira um nome para a fonte de dados. Use um nome qualquer para identificar a fonte de dadosposteriormente, quando você criar a conexão com o cluster. Por exemplo, se você seguiu o Conceitos

92





básicos do Amazon Redshift, pode digitar exampleclusterdsn para facilitar a identificação docluster associado a esse DSN.

de aplicativos

Especifique o endpoint para o cluster do Amazon Redshift. É possível encontrar essas informaçõesno Amazon Redshift console na página de detalhes do cluster. Para obter mais informações, consulteConfiguração de conexões no Amazon Redshift (p. 81).

Porta

Insira o número da porta que o banco de dados usa. Por padrão, o Amazon Redshift usa a 5439, masuse a porta que foi configurada para o cluster quando ele foi iniciado.

Banco de dados

Insira o nome do banco de dados do Amazon Redshift. Se você iniciou o cluster sem especificar umnome de banco de dados, insira dev. Caso contrário, use o nome escolhido durante o processo deinicialização. Se você seguiu o Conceitos básicos do Amazon Redshift, insira dev.

7. Em Autenticação, especifique as opções de configuração para definir autenticação padrão ou do IAM.Para obter informações sobre outras opções de autenticação, consulte "Configurar a autenticação noWindows" no Guia de instalação e configuração do driver ODBC do Amazon Redshift.

8. Em SSL Settings, especifique um valor para:

Autenticação SSL

Escolha um modo para tratar o Secure Sockets Layer (SSL). Em um ambiente de teste, você podeusar prefer. No entanto, para ambientes de produção e quando um intercâmbio de dados segurofor necessário, use verify-ca ou verify-full. Para obter mais informações sobre como usaro SSL no Windows, consulte "Configurar a verificação SSL no Windows" no Guia de instalação econfiguração do driver ODBC do Amazon Redshift.

9. Em Opções Adicionais, especifique opções sobre como retornar os resultados de consultas aoaplicativo ou ferramenta do cliente SQL. Para obter mais informações, consulte "Configurar opçõesadicionais no Windows" no Guia de instalação e configuração do driver ODBC do Amazon Redshift.

10. Em Opções de Log, especifique valores para a opção de registro em log. Para obter maisinformações, consulte "Configurar opções de registro em log no Windows" no Guia de instalação econfiguração do driver ODBC do Amazon Redshift.

Escolha OK.11. Em Opções de Tipo de Dados, especifique valores para os tipos de dados. Para obter mais

informações, consulte "Configurar opções de tipo de dados no Windows" no Guia de instalação econfiguração do driver ODBC do Amazon Redshift.

Escolha OK.12. Escolha Test (Testar). Se o computador cliente conseguir se conectar ao banco de dados do Amazon

Redshift, a seguinte mensagem será exibida: Conexão bem-sucedida.

Se a conexão do computador cliente com o banco de dados falhar, você pode tentar solucionar ospossíveis problemas. Para obter mais informações, consulte Solução de problemas de conexão noAmazon Redshift (p. 118).

13. Configure manutenções de atividade de TCP no Windows para impedir que as conexões atinjam otempo limite. Para obter informações sobre como configurar keepalives de TCP no Windows, consulteo Guia de instalação e configuração do driver ODBC do Amazon Redshift

14. Para ajudar na solução de problemas, configure o registro em log. Para obter informações sobrecomo configurar o registro em log no Windows, consulte o Guia de instalação e configuração do driverODBC do Amazon Redshift.

93













Instalar o driver ODBC do Amazon Redshift no Linux


Instale o driver ODBC do Amazon Redshift em computadores cliente acessando um data warehousedo Amazon Redshift. Cada computador onde o driver é instalado deve atender a uma lista de requisitosmínimos do sistema. Para obter informações sobre os requisitos mínimos do sistema, consulte o Guia deinstalação e configuração do driver ODBC do Amazon Redshift.

Instalação do driver do Amazon Redshift em sistemas operacionais Linux

Siga as etapas nesta seção para fazer download e instalar os drivers de ODBC do Amazon Redshift emuma distribuição compatível do Linux. O processo de instalação instala os arquivos de driver nos seguintesdiretórios:

• /opt/amazon/redshiftodbc/lib/32 (para um driver de 32 bits)• /opt/amazon/redshiftodbc/lib/64 (para um driver de 64 bits)• /opt/amazon/redshiftodbc/ErrorMessages

• /opt/amazon/redshiftodbc/Setup

Para instalar o driver de ODBC do Amazon Redshift

1. Faça download de uma das versões a seguir, dependendo da arquitetura de sistema usada peloaplicativo ou ferramenta do cliente SQL:

• Driver RPM de 32 bits versão 1.4.14• Driver RPM de 64 bits versão 1.4.14• Driver Debian de 32 bits versão 1.4.14• Driver Debian de 64 bits versão 1.4.14

O nome de cada um dos drivers é driver ODBC do Amazon Redshift.

Note

Faça download do pacote que correspondente à arquitetura de sistema da ferramenta docliente ou do aplicativo SQL. Por exemplo, se a ferramenta do cliente é de 64 bits, instale umdriver de 64 bits.

Depois, faça download e revise o Acordo de licença do driver ODBC e JDBC do Amazon Redshift.2. Navegue até o local onde você salvou o download do pacote e execute um dos comandos a seguir.

Use o comando que corresponde a sua distribuição do Linux.

• Em sistemas operacionais RHEL e CentOS , execute o comando a seguir.

yum --nogpgcheck localinstall RPMFileName

Substitua RPMFileName pelo nome do arquivo de pacote do RPM. Por exemplo, o comando aseguir demonstra a instalação do driver de 32 bits.

yum --nogpgcheck localinstall AmazonRedshiftODBC-32bit-1.x.x.xxxx-x.x86_64.deb

• Em SLES, execute o comando a seguir.

zypper install RPMFileName

94



https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/AmazonRedshiftODBC-32-bit-1.4.14.1000-1.i686.rpm

https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/AmazonRedshiftODBC-64-bit-1.4.14.1000-1.x86_64.rpm

https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/AmazonRedshiftODBC-32-bit-1.4.14.1000-1.i686.deb

https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/AmazonRedshiftODBC-64-bit-1.4.14.1000-1.x86_64.deb



Substitua RPMFileName pelo nome do arquivo de pacote do RPM. Por exemplo, o comando aseguir demonstra a instalação do driver de 64 bits.

zypper install AmazonRedshiftODBC-1.x.x.xxxx-x.x86_64.rpm

• Em Debian, execute o comando a seguir.

sudo apt install ./DEBFileName.deb

Substitua DEBFileName.deb pelo nome do arquivo de pacote do Debian. Por exemplo, o comandoa seguir demonstra a instalação do driver de 64 bits.

sudo apt install ./AmazonRedshiftODBC-1.x.x.xxxx-x.x86_64.deb

Important

Quando você tiver concluído a instalação dos drivers, configure-os para usar no sistema. Paraobter mais informações sobre a configuração de drivers, consulte Configurar o driver ODBC emsistemas operacionais Linux e macOS X (p. 96).

Instalar o driver ODBC do Amazon Redshift no macOS X


A instalação do driver em computadores cliente é feita por meio de um data warehouse do AmazonRedshift. Cada computador onde o driver é instalado deve atender a uma lista de requisitos mínimos dosistema. Para obter informações sobre os requisitos mínimos do sistema, consulte o Guia de instalação econfiguração do driver ODBC do Amazon Redshift.

Instalar o driver ODBC do Amazon Redshift no macOS X

Siga as etapas nesta seção para fazer download e instalar o driver ODBC do Amazon Redshift em umaversão compatível do macOS X. O processo de instalação instala os arquivos de driver nos seguintesdiretórios:

• /opt/amazon/redshift/lib/universal

• /opt/amazon/redshift/ErrorMessages

• /opt/amazon/redshift/Setup

Como instalar o driver ODBC do Amazon Redshift no macOS X

1. Faça download do driver macOS X versão 1.4.14. O nome deste driver é driver ODBC do AmazonRedshift.

Depois, faça download e revise o Acordo de licença do driver ODBC e JDBC do Amazon Redshift.2. Clique duas vezes em AmazonRedshiftODBC.dmg para montar a imagem do disco.3. Clique duas vezes em AmazonRedshiftODBC.pkg para executar o instalador.4. Siga as etapas no instalador para concluir o processo de instalação do driver. Para executar a

instalação, aceite os termos do acordo de licença.

95



https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/AmazonRedshiftODBC-1.4.14.1000.dmg



Important

Quando você tiver concluído a instalação do driver, configure-o para usar no sistema. Paraobter mais informações sobre a configuração de drivers, consulte Configurar o driver ODBC emsistemas operacionais Linux e macOS X (p. 96).

Configurar o driver ODBC em sistemas operacionais Linux e macOS X

Nos sistemas operacionais Linux e macOS X, utilize o gerenciador de driver ODBC para configurar asdefinições de conexão ODBC. Os gerenciadores de driver de ODBC usam arquivos de configuração paradefinir e configurar as fontes de dados e os drivers de ODBC. O gerenciador de driver de ODBC a serusado dependerá do sistema operacional em uso. Para obter mais informações sobre os gerenciadoresde driver ODBC compatíveis para configurar os drivers ODBC do Amazon Redshift, consulte Requisitosdo sistema (p. 94) para sistemas operacionais Linux e Requisitos do sistema (p. 95) para sistemasoperacionais macOS X.

São necessários três arquivos para a configuração do driver de ODBC do Amazon Redshift:amazon.redshiftodbc.ini, odbc.ini e odbcinst.ini.

Se você fez a instalação no local padrão, o arquivo de configuração amazon.redshiftodbc.ini estarálocalizado em um dos seguintes diretórios:

• /opt/amazon/redshiftodbc/lib/32 (para o driver de 32 bits em sistemas operacionais Linux)• /opt/amazon/redshiftodbc/lib/64 (para o driver de 64 bits em sistemas operacionais Linux)• /opt/amazon/redshift/lib (para o driver em macOS X)

Além disso, em /opt/amazon/redshiftodbc/Setup no Linux ou /opt/amazon/redshift/Setup nomacOS X, há arquivos odbc.ini e odbcinst.ini de exemplo. Você pode usar esses arquivos comoexemplos para configurar o driver ODBC do Amazon Redshift e o nome da fonte de dados (DSN).

Não recomendamos o uso do diretório de instalação do driver de ODBC do Amazon Redshift para osarquivos de configuração. Os arquivos de exemplo do diretório Setup devem ser usados somente paraservir de modelo. Se o driver ODBC do Amazon Redshift for reinstalado posteriormente, ou atualizado parauma versão mais recente, o diretório de instalação será substituído. Você perderá todas as alterações quefez nesses arquivos.

Para evitar isso, copie o arquivo amazon.redshiftodbc.ini para um diretório diferente do diretório deinstalação. Se você copiar esse arquivo no diretório base do usuário, adicione um ponto (.) ao início donome do arquivo para torná-lo um arquivo oculto.

Para os arquivos odbc.ini e odbcinst.ini, use os arquivos de configuração do diretório inicial dousuário ou crie versões em um outro diretório. Por padrão, os sistemas operacionais Linux e macOS Xdevem ter um arquivo odbc.ini e um odbcinst.ini no diretório inicial do usuário (/home/$USER ou~/). Esses arquivos padrão são arquivos ocultos, o que é indicado pelo ponto (.) na frente do nome decada arquivo. Esses arquivos são exibidos somente ao usar o sinalizador -a para listar o conteúdo dodiretório.

Qualquer que seja a opção escolhida para os arquivos odbc.ini e odbcinst.ini, modifique osarquivos para adicionar as informações do driver e da configuração de DSN. Se você criar arquivos,também precisará definir as variáveis do ambiente para especificar onde esses arquivos de configuraçãoestão localizados.

Por padrão, os gerenciadores de driver ODBC são configurados para usar versões ocultas dos arquivosde configuração odbc.ini e odbcinst.ini (chamados odbc.ini e odbcinst.ini) localizadas nodiretório inicial. Eles também são configurados para usar o arquivo amazon.redshiftodbc.ini nasubpasta /lib do diretório de instalação do driver. Se você armazenar esses arquivos de configuraçãoem outro lugar, defina as variáveis de ambiente descritas a seguir para que o gerenciador de driver

96


possa localizar os arquivos. Para obter mais informações, consulte "Especificar os locais dos arquivos deconfiguração do driver" no Guia de instalação e configuração do driver ODBC do Amazon Redshift.

Criar um nome da fonte de dados em sistemas operacionais Linux e macOS X

Ao conectar-se ao armazenamento de dados usando um nome da fonte de dados (DSN), configure oarquivo odbc.ini para definir DSNs. Defina as propriedades no arquivo odbc.ini para criar um DSNque especifique as informações de conexão para o armazenamento de dados.

Para obter informações sobre como configurar o arquivo odbcini, consulte "Criar um nome da fonte dedados em uma máquina que não use Windows" no Guia de instalação e configuração do driver ODBC doAmazon Redshift.

Use o formato a seguir em sistemas operacionais Linux.

[ODBC Data Sources]driver_name=dsn_name

[dsn_name]Driver=path/driver_file

Host=cluster_endpointPort=port_numberDatabase=database_namelocale=locale

O exemplo a seguir mostra a configuração do odbc.ini em sistemas operacionais Linux.

[ODBC Data Sources]Amazon_Redshift_x32=Amazon Redshift (x86)Amazon_Redshift_x64=Amazon Redshift (x64)

[Amazon Redshift (x86)]Driver=/opt/amazon/redshiftodbc/lib/32/libamazonredshiftodbc32.soHost=examplecluster.abc123xyz789.us-west-2.redshift.amazonaws.comPort=5932Database=devlocale=en-US

[Amazon Redshift (x64)]Driver=/opt/amazon/redshiftodbc/lib/64/libamazonredshiftodbc64.soHost=examplecluster.abc123xyz789.us-west-2.redshift.amazonaws.comPort=5932Database=devlocale=en-US

Use o formato a seguir em sistemas operacionais macOS X.

[ODBC Data Sources]driver_name=dsn_name

[dsn_name]Driver=path/lib/amazonredshiftodbc.dylib

Host=cluster_endpointPort=port_numberDatabase=database_namelocale=locale

O exemplo a seguir mostra a configuração do odbc.ini em sistemas operacionais macOS X.

97





[ODBC Data Sources]Amazon_Redshift_dylib=Amazon Redshift DSN for macOS X

[Amazon Redshift DSN for macOS X]Driver=/opt/amazon/redshift/lib/amazonredshiftodbc.dylibHost=examplecluster.abc123xyz789.us-west-2.redshift.amazonaws.comPort=5932Database=devlocale=en-US

Configurar uma conexão sem DSN em sistemas operacionais Linux e macOS X

Para se conectar ao armazenamento de dados por meio de uma conexão que não tenha um DSN, defina odriver no arquivo odbcinst.ini. Depois, forneça uma string de conexão sem DSN no aplicativo.

Para obter informações sobre como configurar o arquivo odbcinst.ini nesse caso, consulte "Configuraruma conexão sem DSN em uma máquina que não use Windows" no Guia de instalação e configuração dodriver ODBC do Amazon Redshift.

Use o formato a seguir em sistemas operacionais Linux.

[ODBC Drivers]driver_name=Installed... [driver_name]Description=driver_descriptionDriver=path/driver_file ...

O exemplo a seguir mostra a configuração do odbcinst.ini para os drivers de 32 e 64 bits instaladosem diretórios padrão em sistemas operacionais Linux.

[ODBC Drivers]Amazon Redshift (x86)=InstalledAmazon Redshift (x64)=Installed

[Amazon Redshift (x86)]Description=Amazon Redshift ODBC Driver (32-bit)Driver=/opt/amazon/redshiftodbc/lib/32/libamazonredshiftodbc32.so

[Amazon Redshift (x64)]Description=Amazon Redshift ODBC Driver (64-bit)Driver=/opt/amazon/redshiftodbc/lib/64/libamazonredshiftodbc64.so

Use o formato a seguir em sistemas operacionais macOS X.

[ODBC Drivers]driver_name=Installed... [driver_name]Description=driver_descriptionDriver=path/lib/amazonredshiftodbc.dylib ...

O exemplo a seguir mostra a configuração do odbcinst.ini para o driver instalado no diretório padrãoem sistemas operacionais macOS X.

98




[ODBC Drivers]Amazon RedshiftODBC DSN=Installed

[Amazon RedshiftODBC DSN]Description=Amazon Redshift ODBC Driver for macOS XDriver=/opt/amazon/redshift/lib/amazonredshiftodbc.dylib

Configurar variáveis de ambiente

Use o gerenciador de driver ODBC correto para carregar o driver correto. Para isso, defina a variável deambiente do caminho da biblioteca. Para obter mais informações, consulte "Especificar gerenciadoresde drivers ODBC em máquinas que não usam Windows" no Guia de instalação e configuração do driverODBC do Amazon Redshift.

Por padrão, os gerenciadores de driver ODBC são configurados para usar versões ocultas dos arquivosde configuração odbc.ini e odbcinst.ini (chamados odbc.ini e odbcinst.ini) localizadas nodiretório inicial. Eles também são configurados para usar o arquivo amazon.redshiftodbc.ini nasubpasta /lib do diretório de instalação do driver. Se você armazenar esses arquivos de configuração emoutro lugar, defina as variáveis de ambiente para que o gerenciador de driver possa localizar os arquivos.Para obter mais informações, consulte "Especificar os locais dos arquivos de configuração do driver" noGuia de instalação e configuração do driver ODBC do Amazon Redshift.

Configurar recursos de conexão

Você pode configurar os seguintes recursos de conexão para a configuração ODBC:

• Configure o driver ODBC para fornecer credenciais e autenticar a conexão com o banco de dados doAmazon Redshift.

• Configure o driver ODBC para se conectar a um soquete habilitado com Secure Sockets Layer (SSL),caso esteja se conectando a um servidor do Amazon Redshift com SSL habilitado.

• Configure o driver ODBC para se conectar ao Amazon Redshift por meio de um servidor de proxy.• Configure o driver ODBC para usar um modo de processamento de consultas a fim de impedir que as

consultas consumam muita memória.• Configure o driver ODBC para transmitir processos de autenticação do IAM por meio de um servidor de

proxy.• Configure o driver ODBC para usar manutenções de atividade de TCP a fim de impedir que as conexões

atinjam o tempo limite.

Para obter informações sobre esses recursos de conexão, consulte Guia de instalação e configuração dodriver ODBC do Amazon Redshift.

Configurar as opções do driver ODBCUse as opções de configuração para controlar o comportamento do driver ODBC do Amazon Redshift.

No Microsoft Windows, você normalmente define as opções de driver ao configurar um nomede fonte de dados (DSN). Também é possível definir as opções de driver na string de conexãoestabelecendo a conexão de forma programática ou adicionando/alterando as chaves de registro emHKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\your_DSN. Para obter mais informações sobre aconfiguração de um DSN, consulte Instalar e configurar o driver ODBC do Amazon Redshift no MicrosoftWindows (p. 91). Para ver um exemplo de configuração das opções do driver em uma string deconexão, consulte Conexão com o cluster de forma programática (p. 114).

No Linux e no macOS X, defina as opções de configuração do driver nos arquivos odbc.ini eamazon.redshiftodbc.ini, conforme descrito em Configurar o driver ODBC em sistemasoperacionais Linux e macOS X (p. 96). As opções de configuração definidas em um arquivoamazon.redshiftodbc.ini aplicam-se a todas as conexões. Em contrapartida, as opções de

99







configuração definidas em um arquivo odbc.ini são específicas de uma conexão. As opções deconfiguração definidas em odbc.ini têm precedência sobre as opções de configuração definidas emamazon.redshiftodbc.ini.

Para obter informações sobre como definir opções de configuração do driver ODBC, consulte Guia deinstalação e configuração do driver ODBC do Amazon Redshift.

Usar versões anteriores do driver ODBC em determinados casosSó faça download de uma versão anterior do driver de ODBC do Amazon Redshift se sua ferramenta exigiruma versão específica do driver.

Para realizar a autenticação usando as credenciais do AWS Identity and Access Management (IAM) ou doprovedor de identidade (IdP), use o driver ODBC versão 1.3.6.1000 ou posterior do Amazon Redshift.

Important

O Amazon Redshift alterou o modo de gerenciamento dos certificados SSL. Se você tiver queusar um driver com versão anterior a 1.3.7.1000, talvez seja necessário atualizar os certificadosCA raiz confiáveis atuais para continuar se conectando aos clusters usando o SSL. Para obtermais informações, consulte Transição para certificados ACM das conexões SSL (p. 105).

Usar versões anteriores do driver ODBC para Windows

Estes são os drivers de 32 bits:

• https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/AmazonRedshiftODBC32-1.4.14.1000.msi .




• https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.8.1000/AmazonRedshiftODBC32-1.4.8.1000.msi.

Estes são os drivers de 64 bits:






Usar versões anteriores do driver ODBC para Linux

Estas são as versões do driver de 32 bits:

• https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/AmazonRedshiftODBC-32-bit-1.4.14.1000-1.i686.rpm.

100


























• https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/AmazonRedshiftODBC-32-bit-1.4.14.1000-1.i686.deb.









Estas são as versões do driver de 64 bits:

• https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/AmazonRedshiftODBC-64-bit-1.4.14.1000-1.x86_64.rpm.

• https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/AmazonRedshiftODBC-64-bit-1.4.14.1000-1.x86_64.deb .









Usar versões anteriores do driver ODBC para macOS X

Estas são as versões do driver ODBC do Amazon Redshift para macOS X:

• https://s3.amazonaws.com/redshift-downloads/drivers/odbc/1.4.14.1000/AmazonRedshiftODBC-1.4.14.1000.dmg.


101











































Amazon Redshift Guia de gerenciamento de clustersConfigurar as opções de segurança para conexões




Configurar as opções de segurança para conexõesO Amazon Redshift oferece suporte a conexões de Secure Sockets Layer (SSL) para criptografar dados ea certificados de servidores para validar o certificado do servidor ao qual o cliente se conecta.

Conexão usando SSLPara oferecer suporte a conexões SSL, o Amazon Redshift criará e instalará um AWS Certificate Manager(ACM) emitido pelo certificado SSL em cada cluster. O conjunto de autoridades de certificação nas quaisvocê deve confiar para oferecer suporte a SSL pode ser encontrado em https://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt. . Se o download do pacote de certificados não for efetuado,clique com o botão direito do mouse no link anterior e escolha Save link as... (Salvar link como...).

Important

O Amazon Redshift alterou o modo de gerenciamento dos certificados SSL. Talvez sejanecessário atualizar os certificados CA raiz confiáveis atuais para continuar se conectando aosclusters usando o SSL. Para obter mais informações, consulte Transição para certificados ACMdas conexões SSL (p. 105).

Por padrão, os bancos de dados de cluster aceitam tanto as conexões SSL quanto as que não utilizamSSL. Para configurar seu cluster para solicitar uma conexão SSL, configure o parâmetro require_SSLcomo true no parameter group que está associado ao cluster.

O Amazon Redshift oferece suporte para um modo SSL que seja compatível com a norma federal deprocessamento de informações (Federal Information Processing Standard, FIPS) 140-2. O modo SSLcompatível com a FIPS está desativado por padrão.

Important

Habilite o modo SSL compatível com FIPS somente se o sistema precisar ser compatível comFIPS.

Para habilitar o modo SSL compatível com a FIPS, defina os parâmetros use_fips_ssl e require_SSLcomo true no grupo de parâmetros que está associado ao cluster. Para obter informações sobre comomodificar um parameter group, consulte Grupos de parâmetros do Amazon Redshift (p. 132).

O Amazon Redshift oferece suporte ao protocolo de acordo de chaves Elliptic Curve Diffie—HellmanEphemeral (ECDHE). Com o ECDHE, o cliente e o servidor têm, cada um, um par de chaves públicas/privadas de curva elíptica que é usado para estabelecer um segredo compartilhado através de umcanal inseguro. Não é necessário configurar nada no Amazon Redshift para habilitar o ECDHE. Se vocêse conectar em uma ferramenta de cliente SQL que use o ECDHE para criptografar a comunicaçãoentre cliente e servidor, o Amazon Redshift usará a lista de cifras fornecida para estabelecer a conexãoapropriada. Para obter mais informações, consulte Elliptic curve diffie—hellman na Wikipédia e Ciphers nowebsite do OpenSSL.

Uso do SSL e dos certificados CA confiáveis no ODBCSe você estabelecer a conexão usando os drivers ODBC mais recentes do Amazon Redshift (versão1.3.7.1000 ou posterior), ignore esta seção. Para fazer download dos drivers mais recentes, consulteConfigurar uma conexão ODBC (p. 90).

102







https://aws.amazon.com/certificate-manager/


https://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt


https://en.wikipedia.org/wiki/Elliptic_curve_Diffie%E2%80%93Hellman

https://www.openssl.org/


Talvez seja necessário atualizar os certificados CA raiz confiáveis atuais para continuar se conectandoaos clusters usando o SSL. Para obter mais informações, consulte Transição para certificados ACM dasconexões SSL (p. 105).

O pacote da autoridade de certificação do Amazon Redshift está armazenado em https://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt . Se o download do pacotede certificados não for efetuado, clique com o botão direito do mouse no link anterior eescolha Save link as... (Salvar link como...). O número esperado da soma de verificaçãodo MD5 é e7a76d62fc7775ac54cfc4d21e89d36b. A soma de verificação do sha256 ée77daa6243a940eb2d144d26757135195b4bdefd345c32a064d4ebea02b9f8a1.

Você pode verificar se o certificado obtido por download corresponde a esse número da soma deverificação do MD5 esperado. Para isso, você pode usar o programa Md5sum em sistemas operacionaisLinux ou outra ferramenta em sistemas operacionais Windows e macOS X.

Os DSNs do ODBC contêm uma configuração de sslmode que determina como tratar a criptografia emconexões de clientes e verificações de certificados de servidores. O Amazon Redshift oferece suporte paraos seguintes valores de sslmode da conexão de cliente:

• disable

O SSL é desabilitado e a conexão não é criptografada.• allow

O SSL será usado se o servidor exigir.• prefer

O SSL será usado se o servidor oferecer suporte. O Amazon Redshift fornece suporte ao SSL e,portanto, o SSL é usado quando o sslmode é definido como prefer.

• require

O SSL é necessário.• verify-ca

O SSL deve ser usado e o certificado de servidor deve ser verificado.• verify-full

O SSL deve ser usado. O certificado de servidor deve ser verificado, e o nome do host do servidor devecorresponder ao nome do host atribuído no certificado.

É possível determinar se o SSL é usado, e se os certificados do servidor são verificados em uma conexãoentre o cliente e o servidor. Para fazer isso, é necessário rever a configuração de sslmode de seu DSNODBC no cliente e a configuração de require_SSL do cluster do Amazon Redshift no servidor. A tabelaa seguir descreve o resultado da criptografia para várias combinações de configuração de clientes eservidores:

Sslmode(cliente)

require_SSL(servidor)

Result

disable false A conexão não é criptografada.

disable true A conexão não pode ser estabelecida porque o servidor exige SSL e ocliente está com o SSL desabilitado para esta conexão.

allow true A conexão é criptografada.

103




Sslmode(cliente)

require_SSL(servidor)

Result

allow false A conexão não é criptografada.

prefer ourequire

true A conexão é criptografada.

prefer ourequire

false A conexão é criptografada.

verify-ca true A conexão é criptografada e o certificado do servidor foi verificado.

verify-ca false A conexão é criptografada e o certificado do servidor foi verificado.

verify-full true A conexão é criptografada e o certificado do servidor e o nome do hostforam verificados.

verify-full false A conexão é criptografada e o certificado do servidor e o nome do hostforam verificados.

Conexão usando o certificado de servidor com o ODBC no Microsoft Windows

Se você quiser que a conexão com o cluster use o SSL e o certificado de servidor, primeiro faça downloaddo certificado para o computador cliente ou a instância do Amazon EC2. Depois, configure o DSN doODBC.

1. Faça download do Pacote da autoridade de certificação do Amazon Redshift para o computadorcliente na pasta lib do diretório de instalação do driver e salve o arquivo como root.crt.

2. Abra ODBC Data Source Administrator e adicione ou edite a entrada de DSN do sistema para aconexão ODBC. Em SSL Mode, selecione verify-full, a menos que você use um alias DNS. Sevocê usa um alias DNS, selecione verify-ca. Escolha Save (Salvar).

Para obter mais informações sobre a configuração do DSN do ODBC, consulte Configurar umaconexão ODBC (p. 90).

Utilização de SSL e dos certificados de servidor em JavaO SSL fornece uma camada de segurança criptografando os dados transferidos entre o cliente e ocluster. O uso do certificado de servidor fornece uma camada extra de segurança, validando o clustercomo um cluster do Amazon Redshift. Para isso, ele verifica o certificado de servidor que é instaladoautomaticamente em todos os clusters provisionados. Para obter mais informações sobre como usarcertificados de servidor com o JDBC, acesse Configuração do cliente na documentação do PostgreSQL.

Conexão por meio de certificados CA confiáveis em Java

Se você estabelecer a conexão usando os drivers JDBC mais recentes do Amazon Redshift (versão1.2.8.1005 ou posterior), ignore esta seção. Para fazer download dos drivers mais recentes, consulteConfiguração de uma conexão JDBC.

Important

O Amazon Redshift alterou o modo de gerenciamento dos certificados SSL. Talvez sejanecessário atualizar os certificados CA raiz confiáveis atuais para continuar se conectando aosclusters usando o SSL. Para obter mais informações, consulte Transição para certificados ACMdas conexões SSL (p. 105).

104


https://jdbc.postgresql.org/documentation/91/ssl-client.html

https://docs.aws.amazon.com/redshift/latest/mgmt/configure-jdbc-connection.html


Para se conectar por meio de certificados CA confiáveis

Você pode usar o arquivo redshift-keytool.jar para importar certificados CA do pacote daautoridade de certificação do Amazon Redshift para um Java TrustStore ou para seu TrustStore privado.

1. Se você usa a opção -Djavax.net.ssl.trustStore de linha de comando Java, remova-a dalinha de comando, se possível.

2. Faça download de redshift-keytool.jar.3. Execute um destes procedimentos:

• Para importar o pacote da autoridade de certificação do Amazon Redshift para um Java TrustStore,execute o seguinte comando:

java -jar redshift-keytool.jar -s

• Para importar o pacote da autoridade de certificação do Amazon Redshift para um TrustStoreprivado, o seguinte comando:

java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password>

Transição para certificados ACM das conexões SSLO Amazon Redshift está substituindo os certificados SSL nos clusters pelos certificados emitidos pelo AWSCertificate Manager (ACM). O ACM é uma autoridade de certificação pública confiável pela maioria dossistemas atuais. Talvez seja necessário atualizar os certificados CA raiz confiáveis atuais para continuar seconectando aos clusters usando o SSL.

Essa alteração afetará você somente se todas as condições a seguir forem aplicáveis:

• Os clientes ou os aplicativos SQL se conectam aos clusters do Amazon Redshift usando o SSL coma opção de conexão sslMode definida como a opção de configuração require, verify-ca ouverify-full.

• Os clusters estão em qualquer região da AWS, exceto nas regiões China (Pequim) e China (Ningxia).• Você não está usando os drivers ODBC ou JDBC do Amazon Redshift, ou você usa os drivers do

Amazon Redshift antes do ODBC versão 1.3.7.1000 ou JDBC versão 1.2.8.1005.

Se essa alteração afetar você em regiões comerciais do Amazon Redshift, será necessário atualizaros certificados CA raiz de confiança atuais antes de 23 de outubro de 2017. O Amazon Redshift fará atransição dos clusters para usar certificados do ACM até 23 de outubro de 2017. A alteração afetará muitopouco ou não afetará o desempenho ou a disponibilidade do cluster.

Se essa alteração afetar você nas regiões AWS GovCloud (EUA), será necessário atualizar os certificadosCA raiz de confiança atuais antes de 1º de abril de 2020 para evitar a interrupção do serviço. A partir dessadata, os clientes que se conectam a clusters do Amazon Redshift usando conexões criptografadas porSSL precisam de uma autoridade de certificação (CA) confiável adicional. Os clientes usam autoridadesde certificação confiáveis para confirmar a identidade do cluster do Amazon Redshift quando se conectama ele. É necessário que você atualize os clientes e aplicativos SQL para usar um pacote de certificadosatualizado que inclui a nova CA confiável.

Para atualizar os certificados CA raiz confiáveis atuais, identifique o caso de uso e siga as etapas nestaseção.

• Usar os drivers ODBC ou JDBC mais recentes do Amazon Redshift (p. 106)• Usar drivers ODBC ou JDBC anteriores do Amazon Redshift (p. 106)

105

https://s3.amazonaws.com/redshift-downloads/redshift-keytool.jar




• Uso de outros tipos de conexão SSL (p. 107)

Usar os drivers ODBC ou JDBC mais recentes do Amazon Redshift

O método preferencial é usar os drivers ODBC e JDBC do Amazon Redshift mais recentes. Os driversODBC versão 1.3.7.1000 em diante e JDBC versão 1.2.8.1005 em diante do Amazon Redshift gerenciamautomaticamente a transição de um certificado autoassinado do Amazon Redshift para um certificado doACM. Para fazer download dos drivers mais recentes, consulte Configurar uma conexão ODBC (p. 90)ou Configurar uma conexão JDBC (p. 82).

Se você usar o driver JDBC mais recente do Amazon Redshift, é recomendável nãousar -Djavax.net.ssl.trustStore nas opções da JVM. Se você precisar usar -Djavax.net.ssl.trustStore, importe o pacote da autoridade de certificação do Redshift para atruststore indicada. Para obter mais informações, consulte Importar o pacote da autoridade de certificaçãodo Amazon Redshift para um TrustStore (p. 106).

Usar drivers ODBC ou JDBC anteriores do Amazon Redshift

Se você precisar usar um driver ODBC do Amazon Redshift anterior à versão 1.3.7.1000, faça downloaddo pacote da autoridade de certificação do Redshift e substitua o arquivo de certificado antigo.

• Se o DSN ODBC for configurado com SSLCertPath, substitua o arquivo de certificado no caminhoespecificado.

• Se SSLCertPath não for definido, substitua o arquivo de certificado root.crt no local da DLL dodriver.

Se você precisar usar um driver JDBC do Amazon Redshift anterior à versão 1.2.8.1005, siga um destesprocedimentos:

• Se a string de conexão JDBC usar a opção sslCert, remova a opção sslCert. Depois, importeo pacote da autoridade de certificação do Redshift para a Java TrustStore. Para obter maisinformações, consulte Importar o pacote da autoridade de certificação do Amazon Redshift para umTrustStore (p. 106).

• Se você usa a opção -Djavax.net.ssl.trustStore de linha de comando Java, remova-a da linhade comando, se possível. Depois, importe o pacote da autoridade de certificação do Redshift para aJava TrustStore. Para obter mais informações, consulte Importar o pacote da autoridade de certificaçãodo Amazon Redshift para um TrustStore (p. 106).

Importar o pacote da autoridade de certificação do Amazon Redshift para um TrustStore

Você pode usar redshift-keytool.jar para importar certificados CA do pacote da autoridade decertificação do Amazon Redshift para um Java TrustStore ou para seu TrustStore privado.

Como importar o pacote da autoridade de certificação do Amazon Redshift para um TrustStore

1. Faça download de redshift-keytool.jar.2. Execute um destes procedimentos:

• Para importar o pacote da autoridade de certificação do Amazon Redshift para um Java TrustStore,execute o seguinte comando:

java -jar redshift-keytool.jar -s

• Para importar o pacote da autoridade de certificação do Amazon Redshift para um TrustStoreprivado, o seguinte comando:

106





https://s3.amazonaws.com/redshift-downloads/redshift-keytool.jar

Amazon Redshift Guia de gerenciamento de clustersConexão com clusters a partir dasferramentas do cliente e do código

java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password>

Uso de outros tipos de conexão SSLSiga as etapas nesta seção se você se conectar usando um dos itens a seguir:

• Driver ODBC de código aberto• Driver JDBC de código aberto• A interface de linha de comando psql• Qualquer vinculação de linguagem baseada em libpq, como psycopg2 (Python) e ruby-pg (Ruby)

Para usar certificados ACM com outros tipos de conexão SSL:

1. Faça download do pacote da autoridade de certificação do Amazon Redshift.2. Insira os certificados do pacote em seu arquivo root.crt.

• Nos sistemas operacionais Linux e macOS X, o arquivo é ~/.postgresql/root.crt.• No Microsoft Windows, o arquivo é %APPDATA%\postgresql\root.crt.

Conexão com clusters a partir das ferramentas docliente e do códigoEsta seção fornece algumas opções de ferramentas de terceiros para a conexão com o cluster, caso vocêainda não tenha uma ferramenta de business intelligence para fazer isso. Além disso, ela descreve comoestabelecer a conexão com o cluster por meio de programação.

Tópicos• Conexão com o cluster usando o SQL Workbench/J (p. 107)• Conexão com o cluster usando a ferramenta psql (p. 111)• Conexão com o cluster de forma programática (p. 114)

Conexão com o cluster usando o SQL Workbench/JO Amazon Redshift não fornece nem instala bibliotecas ou ferramentas de cliente SQL, portanto, vocêdeve as que deseja usar com os clusters. Se você já tiver um aplicativo de business intelligence ouqualquer outro aplicativo que possa ser usado para a conexão com os clusters usando um driver padrãode JDBC ou ODBC para o PostgreSQL, pode ignorar esta seção. Se você não tiver um aplicativo para seconectar ao seu cluster, esta seção apresenta uma opção para você fazer isso usando o SQL Workbench/J, uma ferramenta de consulta SQL multiplataforma gratuita que não depende do DBMS.

Instalação do SQL Workbench/JO Conceitos básicos do Amazon Redshift usa o SQL Workbench/J. Nesta seção, explicamos com detalhescomo se conectar ao cluster usando o SQL Workbench/J.

Para instalar o SQL Workbench/J

1. Consulte a licença de software do SQL Workbench/J.2. Acesse o website SQL Workbench/J e faça download do pacote apropriado para o sistema

operacional do computador cliente ou instância do Amazon EC2.

107


http://www.sql-workbench.net/manual/license.html#license-restrictions

http://www.sql-workbench.net/


3. Acesse a página Instalação e iniciação do SQL Workbench/J. Siga as instruções para instalar o SQLWorkbench/J no sistema.

Note

O SQL Workbench/J exige que o Java Runtime Environment (JRE) esteja instalado nosistema. Certifique-se de que você está usando a versão correta do JRE exigida pelo clienteSQL Workbench/J. Para determinar qual versão do Java Runtime Environment está sendoexecutada no sistema, faça o seguinte:

• Mac: em System Preferences (Preferências do sistema), escolha o ícone do Java.• Windows: no Painel de Controle, escolha o ícone do Java.• Em qualquer sistema: em um shell de comandos, digite java -version. Você também

pode acessar https://www.java.com e escolher o link Do I Have Java? e selecionar o botãoVerify Java (Verificar o Java).

Para obter informações sobre a instalação e configuração do Java Runtime Environment,acesse https://www.java.com.

Conexão com o cluster por meio de uma conexão JDBC em SQL Workbench/JImportant

Antes de realizar as etapas neste procedimento, certifique-se de que o computador cliente ou ainstância do Amazon EC2 possua o driver JDBC recomendado do Amazon Redshift. Para obteros links de download dos drivers mais recentes, consulte Fazer download de um driver JDBC doAmazon Redshift (p. 83). Além disso, certifique-se de ter definido as configurações do firewallpara permitir o acesso ao cluster. Para obter mais informações, consulte Etapa 4: Autorizar oacesso ao cluster.

Para usar uma conexão JDBC no SQL Workbench/J

1. Abra o SQL Workbench/J.2. Escolha Arquivo e depois Janela de conexão.3. Escolha Criar um novo perfil de conexão.4. Na caixa New profile, digite o nome do perfil. Por exemplo, examplecluster_jdbc.5. Escolha Gerenciar drivers. A caixa de diálogo Gerenciar drivers é aberta. Na caixa Name, digite o

nome do driver.

108

http://www.sql-workbench.net/manual/install.html

https://www.java.com

https://www.java.com/en/download/installed.jsp

https://www.java.com

https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-authorize-cluster-access.html

https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-authorize-cluster-access.html


Selecione o ícone de pasta ao lado da caixa Library (Biblioteca), navegue até o local do driver,selecione-o e selecione Open (Abrir).

Se a caixa de diálogo Selecione um driver for exibida, selecione com.amazon.redshift.jdbc4.Driver oucom.amazon.redshift.jdbc41.Driver e escolha OK. O SQL Workbench/J preenche a caixa Nome daclasse automaticamente. Deixe a caixa URL de amostra em branco e escolha OK.

6. Na caixa Driver, selecione o driver que você acabou de adicionar.7. Em URL, copie o URL JDBC do Amazon Redshift console e cole-o aqui.

Para obter mais informações sobre como encontrar o URL do JDBC, consulte Configurar umaconexão JDBC (p. 82).

8. Em Username, digite o nome do usuário principal.

Se você está seguindo o Conceitos básicos do Amazon Redshift, digite masteruser.9. Em Password, digite a senha associada à conta de usuário mestre.10. Selecione a caixa Autocommit.11. Escolha o ícone Salvar a lista de perfis, conforme mostrado abaixo:

12. Escolha OK.

109


Teste da conexão com o SQL Workbench/J

Após configurar a conexão JDBC ou ODBC, você pode testá-la executando uma consulta de exemplo.

1. Use a consulta a seguir para testar sua conexão.

select * from information_schema.tables;

Se a conexão for bem-sucedida, uma lista de registros aparecerá na guia Results.

2. Como alternativa, se você carregou as tabelas e os dados de exemplo de Conceitos básicos doAmazon Redshift, pode testar a conexão digitando a consulta a seguir na janela Statement:

select * from users order by userid limit 100;

Se a conexão for bem-sucedida, uma lista de registros aparecerá na guia Results.

110




Conexão com o cluster usando a ferramenta psqlApós criar um cluster do Amazon Redshift, você pode usar o psql, um front-end baseado em terminal doPostgreSQL, para consultar os dados do cluster. Você pode digitar as consultas interativamente ou lê-lasde um arquivo. Para conectar-se usando o psql, você deve especificar o endpoint, o banco de dados e aporta do cluster.

Note

O Amazon Redshift não fornece a ferramenta psql; ela é instalada com o PostgreSQL. Para obterinformações sobre como usar o psql, acesse https://www.postgresql.org/docs/8.4/static/app-psql.html. Para obter informações sobre a instalação das ferramentas do cliente PostgreSQL,selecione o sistema operacional na página de downloads de binários do PostgreSQL https://www.postgresql.org/download/.Se você tiver problemas com a conexão a partir de um prompt do Microsoft Windows devido a umclient_encoding inválido, defina a variável de ambiente PGCLIENTENCODING como UTF-8antes de executar o psql.

set PGCLIENTENCODING=UTF8

Conexão usando os padrões do psql

Por padrão, o psql não valida o serviço do Amazon Redshift; ele estabelece uma conexão criptografadausando o Secure Sockets Layer (SSL).

Para se conectar usando os padrões do psql


2. Escolha uma das seguintes etapas dependendo do console do Amazon Redshift que você está usado.• (Console novo) No painel de navegação, escolha CLUSTERS. Depois escolha o nome do

cluster na lista para abrir os detalhes. Na guia Properties (Propriedades), na seção Databaseconfigurations (Configurações do banco de dados), registre o Database name (Nome do banco de

111

https://www.postgresql.org/docs/8.4/static/app-psql.html

https://www.postgresql.org/docs/8.4/static/app-psql.html

https://www.postgresql.org/download/

https://www.postgresql.org/download/




dados) e a Port (Porta). Visualize a seção Connection details (Detalhes da conexão) e registre oEndpoint que está no seguinte formato:

endpoint:port/databasename

• (Console original) No painel de navegação, escolha Clusters. Escolha seu cluster para abri-lo. EmCluster Database Properties, anote os valores de Endpoint, Port e Database Name.

3. No prompt de comando, especifique as informações de conexão usando os parâmetros de linha decomando ou uma string de informações de conexão. Para usar os parâmetros:

psql -h <endpoint> -U <userid> -d <databasename> -p <port>

Onde:

• <endpoint> é o Endpoint que você registrou na etapa anterior.• <userid> é o ID do usuário com as permissões para a conexão com o cluster.• <databasename> é o Nome do banco de dados que você registrou na etapa anterior.• <port> é a Porta que você registrou na etapa anterior.

Por exemplo:

psql -h examplecluster.<XXXXXXXXXXXX>.us-west-2.redshift.amazonaws.com -U masteruser -d dev -p 5439

4. No prompt da senha do psql, digite a senha do usuário <userid>.

Você está conectado ao cluster e pode inserir os comandos interativamente.

Conexão usando um certificadoPara controlar se o psql autenticará o serviço usando um certificado, use uma string de informações deconexão para especificar as informações de conexão e especifique a palavra-chave sslmode. Por padrão,o psql opera com sslmode=prefer. Para especificar que o psql abrirá uma conexão criptografada

112


e usará um certificado do Amazon Redshift para verificar o serviço, faça download de um certificadodo Amazon Redshift para o computador. Especifique verify-full a menos que você use um aliasDNS. Se você usa um alias DNS, selecione verify-ca. Especifique sslrootcert com o local docertificado. Para obter mais informações sobre sslmode, consulte Configurar as opções de segurançapara conexões (p. 102).

Para obter mais informações sobre os parâmetros da string de informações de conexão, consulte https://www.postgresql.org/docs/8.4/static/libpq-connect.html.

Para se conectar usando um certificado

1. Salve o download do arquivo .crt do pacote da autoridade de certificação do Redshift no computador.Se você fizer isso usando o comando Arquivo\Salvar como no Internet Explorer, especifique o tipo dearquivo como Arquivo de texto (*.txt) e exclua a extensão .txt. Por exemplo, salve o arquivo como C:\MyDownloads\redshift-ca-bundle.crt.

2. Escolha uma das seguintes etapas dependendo do console do Amazon Redshift que você está usado.• (Console novo) No painel de navegação, escolha CLUSTERS. Depois escolha o nome do

cluster na lista para abrir os detalhes. Na guia Properties (Propriedades), na seção Databaseconfigurations (Configurações do banco de dados), registre o Database name (Nome do banco dedados) e a Port (Porta). Visualize a seção Connection details (Detalhes da conexão) e registre oEndpoint que está no seguinte formato:

endpoint:port/databasename

• (Console original) No painel de navegação, escolha Clusters. Escolha seu cluster para abri-lo. EmCluster Database Properties, anote os valores de Endpoint, Port e Database Name.

3. No prompt de comando, especifique as informações de conexão usando uma string de informações deconexão:

psql "host=<endpoint> user=<userid> dbname=<databasename> port=<port> sslmode=verify-ca sslrootcert=<certificate>"

Onde:

• <endpoint> é o Endpoint que você registrou na etapa anterior.

113

https://www.postgresql.org/docs/8.4/static/libpq-connect.html

https://www.postgresql.org/docs/8.4/static/libpq-connect.html



• <userid> é o ID do usuário com as permissões para a conexão com o cluster.• <databasename> é o Nome do banco de dados que você registrou na etapa anterior.• <port> é a Porta que você registrou na etapa anterior.• <certificate> é o caminho completo para o arquivo do certificado. Nos sistemas Windows, o

caminho do certificado deve ser especificado usando o separador /, segundo o estilo do Linux, emvez do separador \ do Windows.

Nos sistemas operacionais Linux e macOS X, o caminho é

~/.postgresql/root.crt

No Microsoft Windows, o caminho é

%APPDATA%/postgresql/root.crt

Por exemplo:

psql "host=examplecluster.<XXXXXXXXXXXX>.us-west-2.redshift.amazonaws.com user=masteruser dbname=dev port=5439 sslmode=verify-ca sslrootcert=C:/MyDownloads/redshift-ca-bundle.crt"

4. No prompt da senha do psql, digite a senha do usuário <userid>.

Você está conectado ao cluster e pode inserir os comandos interativamente.

Conexão com o cluster de forma programáticaEsta seção descreve como estabelecer a conexão com o cluster por meio de programação. Se vocêestiver usando um aplicativo como o SQL Workbench/J, que gerencia as conexões do cliente para você,pode ignorar esta seção.

Conexão com o cluster usando Java

Ao usar Java para se conectar com o cluster usando programação, é possível fazê-lo com ou sema autenticação do servidor. Se você planeja usar a autenticação do servidor, siga as instruções deConfigurar as opções de segurança para conexões (p. 102) para colocar o certificado de servidor doAmazon Redshift em uma keystore. Você pode fazer referência à keystore especificando uma propriedadeao executar seu código da seguinte forma:

-Djavax.net.ssl.trustStore=<path to keystore>-Djavax.net.ssl.trustStorePassword=<keystore password>

Example Conexão com um cluster usando Java

O exemplo a seguir estabelece a conexão com um cluster e executa uma consulta de exemplo queretorna as tabelas do sistema. Não é necessário que o banco de dados possua dados para executar esseexemplo.

Se você estiver usando um certificado de servidor para autenticar o cluster, poderá recuperar a linha queusa a keystore, que está com comentários:

props.setProperty("ssl", "true");

114


Para obter mais informações sobre o certificado de servidor, consulte Configurar as opções de segurançapara conexões (p. 102).

Para obter instruções detalhadas sobre como executar o exemplo a seguir, consulte Execução deexemplos de Java para o Amazon Redshift usando o Eclipse (p. 317).


// snippet-sourcedescription:[ConnectToClusterExample demonstrates how to connect to an Amazon Redshift cluster and run a sample query.]// snippet-service:[redshift]// snippet-keyword:[Java]// snippet-keyword:[Amazon Redshift]// snippet-keyword:[Code Sample]// snippet-keyword:[Connect]// snippet-keyword:[JDBC]// snippet-sourcetype:[full-example]// snippet-sourcedate:[2019-02-01]// snippet-sourceauthor:[AWS]// snippet-start:[redshift.java.ConnectToCluster.complete]

package connection;

import java.sql.*;import java.util.Properties;

public class ConnectToCluster { //Redshift driver: "jdbc:redshift://x.y.us-west-2.redshift.amazonaws.com:5439/dev"; static final String dbURL = "***jdbc cluster connection string ****"; static final String MasterUsername = "***master user name***"; static final String MasterUserPassword = "***master user password***";

public static void main(String[] args) { Connection conn = null; Statement stmt = null; try{ //Dynamically load driver at runtime. //Redshift JDBC 4.1 driver: com.amazon.redshift.jdbc41.Driver //Redshift JDBC 4 driver: com.amazon.redshift.jdbc4.Driver Class.forName("com.amazon.redshift.jdbc.Driver");

//Open a connection and define properties. System.out.println("Connecting to database..."); Properties props = new Properties();

//Uncomment the following line if using a keystore. //props.setProperty("ssl", "true"); props.setProperty("user", MasterUsername); props.setProperty("password", MasterUserPassword); conn = DriverManager.getConnection(dbURL, props);

//Try a simple query. System.out.println("Listing system tables...");

115


stmt = conn.createStatement(); String sql; sql = "select * from information_schema.tables;"; ResultSet rs = stmt.executeQuery(sql);

//Get the data from the result set. while(rs.next()){ //Retrieve two columns. String catalog = rs.getString("table_catalog"); String name = rs.getString("table_name");

//Display values. System.out.print("Catalog: " + catalog); System.out.println(", Name: " + name); } rs.close(); stmt.close(); conn.close(); }catch(Exception ex){ //For convenience, handle all errors here. ex.printStackTrace(); }finally{ //Finally block to close resources. try{ if(stmt!=null) stmt.close(); }catch(Exception ex){ }// nothing we can do try{ if(conn!=null) conn.close(); }catch(Exception ex){ ex.printStackTrace(); } } System.out.println("Finished connectivity test."); }}// snippet-end:[redshift.java.ConnectToCluster.complete]

Conexão com o cluster usando .NET

Ao usar o .NET (C#) para se conectar com o cluster usando programação, você pode fazê-lo com ousem a autenticação do servidor. Se você planeja usar a autenticação de servidor, siga as instruções emConfigurar as opções de segurança para conexões (p. 102) para fazer o download do certificado deservidor do Amazon Redshift e, em seguida, coloque o certificado no formato correto para o código .NET.

Example Conexão com um cluster usando .NET

O exemplo a seguir estabelece a conexão com um cluster e executa uma consulta de exemplo que retornaas tabelas do sistema. Ele não mostra a autenticação do servidor. Não é necessário que o banco de dadospossua dados para executar esse exemplo. Esse exemplo usa o System.Data.Odbc namespace, umprovedor de dados .NET Framework para ODBC.

using System;using System.Data;using System.Data.Odbc;

namespace redshift.amazon.com.docsamples{ class ConnectToClusterExample {

116

https://msdn.microsoft.com/en-us/library/system.data.odbc.aspx


public static void Main(string[] args) {

DataSet ds = new DataSet(); DataTable dt = new DataTable();

// Server, e.g. "examplecluster.xyz.us-west-2.redshift.amazonaws.com" string server = "***provide server name part of connection string****";

// Port, e.g. "5439" string port = "***provide port***";

// MasterUserName, e.g. "masteruser". string masterUsername = "***provide master user name***";

// MasterUserPassword, e.g. "mypassword". string masterUserPassword = "***provide master user password***";

// DBName, e.g. "dev" string DBName = "***provide name of database***";

string query = "select * from information_schema.tables;";

try { // Create the ODBC connection string. //Redshift ODBC Driver - 64 bits /* string connString = "Driver={Amazon Redshift (x64)};" + String.Format("Server={0};Database={1};" + "UID={2};PWD={3};Port={4};SSL=true;Sslmode=Require", server, DBName, masterUsername, masterUserPassword, port); */

//Redshift ODBC Driver - 32 bits string connString = "Driver={Amazon Redshift (x86)};" + String.Format("Server={0};Database={1};" + "UID={2};PWD={3};Port={4};SSL=true;Sslmode=Require", server, DBName, masterUsername, masterUserPassword, port);

// Make a connection using the psqlODBC provider. OdbcConnection conn = new OdbcConnection(connString); conn.Open();

// Try a simple query. string sql = query; OdbcDataAdapter da = new OdbcDataAdapter(sql, conn); da.Fill(ds); dt = ds.Tables[0]; foreach (DataRow row in dt.Rows) { Console.WriteLine(row["table_catalog"] + ", " + row["table_name"]); }

conn.Close(); Console.ReadKey(); } catch (Exception ex) { Console.Error.WriteLine(ex.Message); }

} }

117

Amazon Redshift Guia de gerenciamento de clustersSolução de problemas de conexão no Amazon Redshift

}

Solução de problemas de conexão no AmazonRedshiftSe você está com problemas na conexão de uma ferramenta do cliente SQL com o seu cluster,existem várias coisas que pode verificar para reduzir o número de possibilidades para o motivo doproblema. Se você estiver usando o SSL ou certificados de servidor, remova essa complexidadeantes de tentar solucionar o problema de conexão. Você poderá adicioná-los de volta quando tiverencontrado uma solução. Para obter mais informações, consulte Configurar as opções de segurança paraconexões (p. 102).

Important

O Amazon Redshift alterou o modo de gerenciamento dos certificados SSL. Se você tiverproblemas para se conectar usando o SSL, talvez seja necessário atualizar os certificados CA raizconfiáveis. Para obter mais informações, consulte Transição para certificados ACM das conexõesSSL (p. 105).

A seção a seguir apresenta algumas mensagens de erro de exemplo e possíveis soluções para osproblemas de conexão. Como diferentes ferramentas do cliente SQL geram diferentes mensagens de erro,essa não é uma lista completa, mas deve ser um bom ponto de partida para a solução de problemas.

Tópicos• Conexão de fora do Amazon EC2 — problema de tempo limite do firewall (p. 118)• A conexão é recusada ou falha (p. 120)• O cliente e o driver são incompatíveis (p. 121)• As consultas parecem travar e, às vezes, não se comunicam com o cluster (p. 121)

Conexão de fora do Amazon EC2 — problema de tempo limite dofirewallExemplo do problema

A conexão do cliente com o banco de dados parece estar travada ou ter expirado por exceder o tempolimite ao executar consultas longas, como um comando de COPY. Nesse caso, observe que o AmazonRedshift console exibe a consulta como tendo sido concluída, mas a própria ferramenta do cliente aindaparece estar executando a consulta. Os resultados da consulta podem estar ausentes ou incompletos,dependendo de quando a conexão foi interrompida.

Soluções possíveis:

Esse problema ocorre quando você se conecta ao Amazon Redshift de uma máquina que não seja umainstância do Amazon EC2. Nesse caso, as conexões são encerradas por um componente intermediário darede, como um firewall, após um período de inatividade. Esse é um comportamento típico que ocorre aofazer logon em uma rede virtual privada (VPN) ou na rede local.

Para evitar essas limitações de tempo, recomendamos as seguintes alterações:

• Aumente os valores do sistema no cliente que controlam os tempos limite de TCP/IP. Faça essasalterações no computador que está sendo usado para se conectar ao cluster. O período limite deve serajustado para o cliente e a rede. Para obter mais informações, consulte Alteração das configurações detempo limite de TCP/IP (p. 119).

118


• Opcionalmente, defina o comportamento de manutenção de atividade no nível do DSN. Para obter maisinformações, consulte Alteração das configurações de tempo limite do DSN (p. 120).

Alteração das configurações de tempo limite de TCP/IP

Para alterar as configurações de tempo limite de TCP/IP, configure essas definições de acordo com osistema operacional usado para a conexão com o cluster.

• Linux — Se o cliente está em execução no Linux, execute o seguinte comando como usuário raiz paraalterar as configurações de tempo limite para a sessão atual:

/sbin/sysctl -w net.ipv4.tcp_keepalive_time=200 net.ipv4.tcp_keepalive_intvl=200 net.ipv4.tcp_keepalive_probes=5

Para manter as configurações, crie ou altere o arquivo /etc/sysctl.conf com os seguintes valores e,em seguida, reinicialize o sistema.

net.ipv4.tcp_keepalive_time=200net.ipv4.tcp_keepalive_intvl=200net.ipv4.tcp_keepalive_probes=5

• Windows — Se o cliente está em execução no Windows, edite os valores das seguintes configuraçõesdo registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\:• KeepAliveTime: 30000• KeepAliveInterval: 1000• TcpMaxDataRetransmissions: 10

Essas configurações usam o tipo de dados DWORD. Se elas não existem no caminho do registro, vocêpode criar as configurações e especificar esses valores recomendados. Para obter mais informaçõessobre como editar o registro do Windows, consulte a documentação do Windows.

Após configurar esses valores, reinicie seu computador para que as alterações sejam implementadas.

• Mac — Se o cliente está em execução no Mac, execute os seguintes comandos para alterar asconfigurações de tempo limite para a sessão atual:

sudo sysctl net.inet.tcp.keepintvl=200000sudo sysctl net.inet.tcp.keepidle=200000sudo sysctl net.inet.tcp.keepinit=200000sudo sysctl net.inet.tcp.always_keepalive=1

Para manter as configurações, crie ou altere o arquivo /etc/sysctl.conf com os seguintes valores:

net.inet.tcp.keepidle=200000net.inet.tcp.keepintvl=200000net.inet.tcp.keepinit=200000net.inet.tcp.always_keepalive=1

Reinicie seu computador e, em seguida, execute os seguintes comandos para verificar se os valoresestão definidos.

sysctl net.inet.tcp.keepidlesysctl net.inet.tcp.keepintvl

119


sysctl net.inet.tcp.keepinitsysctl net.inet.tcp.always_keepalive

Alteração das configurações de tempo limite do DSN

Você pode definir o comportamento de manutenção de atividade no nível do DSN, se desejar. Para isso,adicione ou modifique os seguintes parâmetros no arquivo odbc.ini:

KeepAlivesCount

O número de pacotes de keepalive de TCP que podem ser perdidos antes que a conexão sejaconsiderada interrompida.

KeepAlivesIdle

O número de segundos de inatividade antes que o driver envie um pacote de manutenções deatividade de TCP.

KeepAlivesInterval

O número de segundos entre cada retransmissão de keepalive de TCP.

No Windows, modifique esses parâmetros no registro adicionando ou alterando as chaves emHKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\your_DSN. No Linux e no macOS, adicione oumodifique esses parâmetros na entrada do DSN de destino diretamente no arquivo odbc.ini. Para obtermais informações sobre como modificar o arquivo odbc.ini em computadores com Linux e macOS, consulteConfigurar o driver ODBC em sistemas operacionais Linux e macOS X (p. 96).

Se esses parâmetros não existem, ou se estão com o valor 0, o sistema usa os parâmetros demanutenção de atividade especificados para TCP/IP a fim de determinar o comportamento de manutençãode atividade do DSN. No Windows, os parâmetros de TCP/IP podem ser encontrados no registro emHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\. No Linux eno macOS, os parâmetros de TCP/IP podem ser encontrados no arquivo sysctl.conf.

A conexão é recusada ou falhaExemplos de erros:

• "Falha ao estabelecer uma conexão com <endpoint>."• “Não foi possível conectar-se ao servidor: a conexão expirou por exceder o tempo limite. O servidor está

sendo executado no host '<endpoint>' e aceitando as conexões TCP/IP na porta '<port>'?"• "A conexão foi recusada. Certifique-se de que o nome do host e da porta estão corretos e o postmaster

está aceitando conexões de TCP/IP.”

Soluções possíveis:

Geralmente, quando você recebe uma mensagem de erro indicando que houve falha em estabelecer umaconexão, o problema é relacionado à permissão de acesso ao cluster.

Para conectar-se ao cluster de uma ferramenta de cliente fora da rede em que o cluster está, adicione umaregra de entrada. Adicione a regra ao grupo de segurança do cluster para o CIDR/IP do qual você está seconectando:

• Se você criou o cluster do Amazon Redshift em uma nuvem privada virtual (VPC) com base na AmazonVPC, adicione o endereço CIDR/IP do cliente ao grupo de segurança da VPC na Amazon VPC. Paraobter mais informações sobre a configuração de security groups da VPC para o cluster, consulteGerenciamento de clusters em uma VPC (p. 63).

120


• Se você criou o cluster do Amazon Redshift fora de uma VPC, adicione o endereço CIDR/IP docliente ao grupo de segurança do cluster no Amazon Redshift. Para obter mais informações sobre aconfiguração de security groups de clusters, consulte Grupos de segurança de clusters do AmazonRedshift (p. 301).

Se você tentar se conectar ao cluster de uma ferramenta de cliente em uma instância do Amazon EC2,você também adiciona uma regra de entrada. Nesse caso, adicione a regra ao grupo de segurança docluster para o grupo de segurança do Amazon EC2 que está associado à instância do Amazon EC2.Para obter mais informações sobre a configuração de security groups de clusters, consulte Grupos desegurança de clusters do Amazon Redshift (p. 301).

Em alguns casos, pode haver uma camada entre o cliente e o servidor, como um firewall. Nesses casos,verifique se o firewall aceita conexões de entrada pela porta que foi configurada para o cluster.

O cliente e o driver são incompatíveisExemplo de erro

"O DSN especificado apresenta uma incompatibilidade de arquiteturas entre o driver e o aplicativo."

Solução possível

Quando você recebe uma mensagem de erro de incompatibilidade de arquiteturas ao tentar estabeleceruma conexão, isso significa que a ferramenta do cliente e o driver são incompatíveis. Isso ocorre porque asarquiteturas de sistema não correspondem. Por exemplo, isso pode ocorrer se você tiver uma ferramentado cliente de 32 bits mas instalou uma versão do driver para 64 bits. Em algumas ocasiões, as ferramentasdo cliente de 64 bits podem usar drivers de 32 bits, mas não é possível usar aplicativos de 32 bits comdrivers de 64 bits. Certifique-se de que o driver e a ferramenta do cliente estão usando a mesma versão dearquitetura de sistema.

As consultas parecem travar e, às vezes, não se comunicam como clusterExemplo do problema

Você está tendo um problema com a conclusão das consultas, onde as consultas parecem estar emexecução mas travam na ferramenta do cliente SQL. Às vezes as consultas não aparecem no cluster, emtabelas do sistema ou no Amazon Redshift console.

Solução possível

Esse problema pode ocorrer devido à perda de pacotes. Nesse caso, há uma diferença no tamanho daunidade de transmissão máxima (MTU) no caminho da rede entre dois hosts de IP (Internet Protocol). Otamanho de MTU determina o tamanho máximo, em bytes, de um pacote que pode ser transferido em umquadro Ethernet através de uma conexão de rede. Na AWS, alguns tipos de instância do Amazon EC2fornecem suporte a um MTU de 1500 (quadros de Ethernet v2) e outros tipos de instância a um MTU de9001 (quadros enormes de TCP/IP).

Para evitar problemas que podem ocorrer com as diferenças de tamanho de MTU, recomendamos aexecução de uma das ações a seguir:

• Se seu cluster usar a plataforma EC2-VPC, configure o grupo de segurança da Amazon VPC com umaregra de entrada personalizada do ICMP (Internet Control Message Protocol) que retorna DestinationUnreachable. Assim, a mensagem instrui o host de origem a usar o menor tamanho de MTU nocaminho de rede. Para obter mais detalhes sobre essa abordagem, consulte Configuração de grupos desegurança para permitir o "destino inacessível" do ICMP (p. 122).

121


• Se o cluster usa a plataforma EC2-Classic, ou se você não pode permitir a regra de entrada do ICMP,desabilite os quadros jumbo de TCP/IP para que os quadros de Ethernet v2 sejam usados. Para obtermais detalhes sobre essa abordagem, consulte Configuração da MTU de uma instância (p. 122).

Configuração de grupos de segurança para permitir o "destino inacessível" doICMP

Quando há alguma diferença no tamanho de MTU da rede entre dois hosts, em primeiro lugar certifique-sede que suas configurações de rede não estão obstruindo a descoberta de MTU do caminho (PMTUD). APMTUD permite que o host de recepção responda ao host de origem com a seguinte mensagem de ICMP:Destination Unreachable: fragmentation needed and DF set (ICMP Type 3, Code 4).Essa mensagem instrui o host de origem a usar o menor tamanho de MTU no caminho de rede para enviarnovamente a solicitação. Sem essa negociação, a perda de pacotes pode ocorrer porque a solicitaçãoé muito grande para o host aceitar. Para obter mais informações sobre a mensagem do ICMP, acesseRFC792 no website Internet Engineering Task Force (IETF).

Se você não configurar esta regra de entrada do ICMP para o security group da Amazon VPC, a PMTUDserá bloqueada. No AWS, os security groups são firewalls virtuais que especificam regras para o tráfegode entrada e saída de uma instância. Para obter informações sobre o grupo de segurança do cluster doAmazon Redshift, consulte Grupos de segurança de clusters do Amazon Redshift (p. 301). Nos clustersque usam a plataforma EC2-VPC, o Amazon Redshift usa os security groups da VPC para permitir ounegar o tráfego para o cluster. Por padrão, os security groups são bloqueados e negam todo o tráfego deentrada. Para obter informações sobre como definir regras de entrada e de saída para instâncias do EC2-Classic ou do EC2-VPC, consulte Diferenças entre as instâncias no EC2-Classic e uma VPC no Guia dousuário do Amazon EC2 para instâncias do Linux.

Para obter mais informações sobre como adicionar regras aos security groups da VPC, consulte Gerenciargrupos de segurança da VPC de um cluster (p. 67). Para obter mais informações sobre as configuraçõesespecíficas da PMTUD necessárias nessa regra, consulte Descoberta de MTU do caminho no Guia dousuário do Amazon EC2 para instâncias do Linux.

Configuração da MTU de uma instância

Em alguns casos, o cluster pode usar a plataforma EC2-Classic ou você não pode permitir a regra ICMPpersonalizada para tráfego de entrada. Nesses casos, recomendamos o ajuste da MTU para 1.500na interface de rede (NIC) das instâncias do EC2 das quais você se conecta ao cluster do AmazonRedshift. Esse ajuste desabilita os quadros enormes de TCP/IP para garantir que as conexões usemconsistentemente o mesmo tamanho de pacote. No entanto, essa opção reduz a taxa de transferênciamáxima de rede para a instância como um todo, e não apenas para as conexões com o Amazon Redshift.Para obter mais informações, consulte os procedimentos a seguir.

Para definir a MTU em um sistema operacional Microsoft Windows

Se o cliente é executado em um sistema operacional Microsoft Windows, você pode revisar e definir ovalor da MTU para o adaptador de Ethernet usando o comando netsh.

1. Execute o comando a seguir para determinar o valor atual da MTU:

netsh interface ipv4 show subinterfaces

2. Revise o valor MTU para o adaptador Ethernet na saída.3. Se o valor não for 1500, execute o seguinte comando para defini-lo:

netsh interface ipv4 set subinterface "Ethernet" mtu=1500 store=persistent

Após configurar esse valor, reinicie seu computador para que as alterações sejam implementadas.

122

http://tools.ietf.org/html/rfc792

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html#ec2_classic_platform

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#path_mtu_discovery


Para definir a MTU em um sistema operacional Linux

Se o cliente é executado em um sistema operacional Linux, você pode revisar e definir o valor da MTUusando o comando ip.

1. Execute o comando a seguir para determinar o valor atual da MTU:

$ ip link show eth0

2. Revise o valor da mtu na saída.3. Se o valor não for 1500, execute o seguinte comando para defini-lo:

$ sudo ip link set dev eth0 mtu 1500

Para definir a MTU em um sistema operacional Mac

• Para definir a MTU em um sistema operacional Mac, siga as instruções em macOS X 10.4 ouposterior: como alterar a MTU para solucionar problemas.

123

https://support.apple.com/kb/ht2532

https://support.apple.com/kb/ht2532


Roteamento aprimorado de VPC doAmazon Redshift

Quando você usa o roteamento aprimorado de VPC do Amazon Redshift, o Amazon Redshift força todoo tráfego de COPY e UNLOAD entre o cluster e os repositórios de dados pela Amazon VPC. Com oroteamento aprimorado de VPC, é possível usar recursos padrão da VPC, como grupos de segurança daVPC, listas de controle de acesso (ACLs) da rede, VPC endpoints, políticas de VPC endpoint, gateways daInternet e servidores DNS (Domain Name System), conforme descrito no Guia do usuário da Amazon VPC.Você usa esses recursos para gerenciar o fluxo de dados entre seu cluster do Amazon Redshift e outrosrecursos. Ao usar o roteamento aprimorado de VPC para rotear tráfego pela VPC, também é possível usarlogs de fluxo da VPC para monitorar o tráfego de COPY e UNLOAD.

Se o roteamento aprimorado de VPC não estiver habilitado, o Amazon Redshift roteará o tráfego pelaInternet, inclusive o tráfego para outros serviços na rede da AWS.

Important

Como o roteamento aprimorado de VPC afeta a maneira como o Amazon Redshift acessaoutros recursos, os comandos COPY e UNLOAD poderão falhar se você não configurar a VPCcorretamente. Você deve criar especificamente um caminho de rede entre a VPC do cluster e osrecursos de dados, conforme descrito a seguir.

Quando você executa um comando COPY ou UNLOAD em um cluster com o roteamento aprimorado deVPC habilitado, a VPC roteia o tráfego para o recurso especificado usando o caminho de rede mais rígido,ou mais específico, disponível.

Por exemplo, você pode configurar os seguintes percursos na VPC:

• VPC endpoints – Para tráfego até um bucket do Amazon S3 na mesma região da AWS do cluster, vocêpode criar um VPC endpoint a fim de direcionar o tráfego diretamente para o bucket. Ao usar VPCendpoints, você pode anexar uma política de endpoint para gerenciar o acesso ao Amazon S3. Paraobter mais informações sobre como usar endpoints com o Amazon Redshift, consulte Trabalhar comVPC endpoints (p. 125).

• Gateway NAT – Você pode se conectar a um bucket do Amazon S3 em outra região da AWS ou a outroserviço dentro da rede da AWS. Você também pode acessar uma instância de host fora da rede daAWS. Para fazer isso, configure um gateway de conversão de endereços de rede (NAT), conformedescrito no Guia do usuário da Amazon VPC.

• Gateway da Internet – Para se conectar a serviços da AWS fora da VPC, você pode anexar um gatewayda Internet à sua sub-rede da VPC, conforme descrito no Guia do usuário da Amazon VPC. Parausar um gateway de Internet, o cluster deve ter um IP público a fim de permitir que outros serviços secomuniquem com o cluster.

Para obter mais informações, consulte VPC endpoints no Guia do usuário da Amazon VPC.

Não há cobrança adicional pelo uso do roteamento aprimorado de VPC. Você pode incorrer em cobrançasde transferência de dados adicionais para determinadas operações. Incluem operações como UNLOADpara Amazon S3 em uma região da AWS diferente. COPY do Amazon EMR ou Secure Shell (SSH) comendereços IP públicos. Para obter mais informações sobre a definição de preço, consulte Definição depreço do Amazon EC2.

Tópicos

124

https://docs.aws.amazon.com/redshift/latest/dg/r_COPY.html

https://docs.aws.amazon.com/redshift/latest/dg/r_UNLOAD.html



https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html



https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html



https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html

https://aws.amazon.com/ec2/pricing/

https://aws.amazon.com/ec2/pricing/

Amazon Redshift Guia de gerenciamento de clustersTrabalhar com VPC endpoints

• Trabalhar com VPC endpoints (p. 125)• Habilitar o roteamento aprimorado de VPC (p. 125)• Usar o Amazon Redshift Spectrum com o roteamento aprimorado de VPC (p. 128)

Trabalhar com VPC endpointsVocê pode usar um VPC endpoint para criar uma conexão controlada entre o cluster do Amazon Redshiftem uma VPC e o Amazon Simple Storage Service (Amazon S3). Quando isso é feito, o tráfego de COPY eUNLOAD entre o cluster e os dados no Amazon S3 permanece na Amazon VPC. Você pode anexar umapolítica de endpoint ao endpoint para gerenciar mais de perto o acesso aos dados. Por exemplo, vocêpode adicionar uma política ao VPC endpoint que permita descarregar os dados somente em um bucket doAmazon S3 específico na conta.

Important

Atualmente, o Amazon Redshift dá suporte a VPC endpoints somente para conexão com oAmazon S3. Quando o Amazon VPC adicionar suporte para que outros serviços da AWS usemVPC endpoints, o Amazon Redshift também dará suporte a essas conexões VPC endpoints. Parase conectar a um bucket do Amazon S3 usando um VPC endpoint, o cluster do Amazon Redshifte o bucket do Amazon S3 a que ele se conecta devem estar na mesma região da AWS.

Para usar VPC endpoints, crie um VPC endpoint para a VPC em que o cluster esteja e ative o roteamentoda VPC aprimorado para o cluster. Você pode ativar o roteamento da VPC ao criar o cluster em uma VPC,ou pode modificar um cluster em uma VPC para usar o roteamento da VPC aprimorado.

Um VPC endpoint usa tabelas de rotas para controlar o roteamento de tráfego entre um cluster na VPCe o Amazon S3. Todos os clusters nas sub-rede associadas às tabelas de rotas especificadas usamautomaticamente esse endpoint para acessar o serviço.

A VPC usa a rota mais específica ou a mais restritiva, de acordo com o tráfego do cluster para determinarcomo rotear o tráfego. Por exemplo, suponha que você tenha uma rota na sua tabela de rotas para todoo tráfego da Internet (0.0.0.0/0) direcionado para um gateway da Internet e um endpoint do Amazon S3.Nesse caso, a rota de endpoint tem precedência sobre todo o tráfego destinado ao Amazon S3. Issoocorre porque o intervalo de endereços IP para o serviço do Amazon S3 é mais específico que 0.0.0.0/0.Neste exemplo, todo o tráfego de Internet vai para o gateway da Internet, inclusive o tráfego destinado abuckets do Amazon S3 em outras regiões da AWS.

Para obter mais informações sobre como criar endpoints, consulte VPC endpoints no Guia do usuário daAmazon VPC.

Você usa políticas de endpoint para controlar o acesso pelo cluster aos buckets do Amazon S3 quemantêm os arquivos de dados. Por padrão, o assistente Create Endpoint anexa uma política de endpoint enão restringe ainda mais o acesso por qualquer usuário ou serviço dentro da VPC. Para obter um controlemais específico, você também pode anexar uma política de endpoint personalizada. Para obter maisinformações, consulte Usar políticas de endpoint no Guia do usuário da Amazon VPC.

Não há cobrança adicional pelo uso de endpoints. Aplicam-se as cobranças padrão pela transferência dedados e pelo uso de recursos. Para obter mais informações sobre definição de preço, consulte Definiçãode preço do Amazon EC2.

Habilitar o roteamento aprimorado de VPCÉ possível habilitar o roteamento aprimorado de VPC ao criar um cluster, ou você pode modificar umcluster existente para habilitar o roteamento aprimorado de VPC.

125

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html#vpc-endpoint-policies

https://aws.amazon.com/redshift/pricing/#Data_Transfer

https://aws.amazon.com/redshift/pricing/#Data_Transfer

Amazon Redshift Guia de gerenciamento de clustersHabilitar o roteamento aprimorado de VPC

Para trabalhar com o roteamento aprimorado de VPC, o cluster deve atender aos seguintes requisitos elimitações:

• O cluster deve estar em uma VPC.

Se você anexar um VPC endpoint do Amazon S3, o cluster usará o VPC endpoint somente no acesso abuckets do Amazon S3 na mesma região da AWS. Para acessar buckets em outra região da AWS (quenão use o VPC endpoint) ou outros serviços da AWS, deixe o cluster acessível publicamente ou use umgateway de conversão de endereços de rede (NAT). Para obter mais informações, consulte Criar umcluster em uma VPC (p. 65).

• Você deve habilitar a resolução Serviço de Nome de Domínio (DNS) em sua VPC. Como alternativa,se você estiver usando seu próprio servidor DNS, certifique-se de que as solicitações DNS para oAmazon S3 sejam resolvidas corretamente para os endereços IP mantidos pela AWS. Para obter maisinformações, consulte Usar DNS com a VPC no Guia do usuário da Amazon VPC.

• Os nomes de host DNS devem ser ativados na VPC. Por padrão, os nomes de hosts DNS estãoativados.

• As políticas de VPC endpoint devem permitir acesso a qualquer bucket do Amazon S3 usado comchamadas COPY, UNLOAD ou CREATE LIBRARY no Amazon Redshift, inclusive acesso a eventuaisarquivos manifesto envolvidos. Para COPY em hosts remotos, as políticas de endpoint devem permitiracesso a cada máquina de host. Para obter mais informações, consulte Permissões do IAM para COPY,UNLOAD e CREATE LIBRARY no Amazon Redshift Database Developer Guide.

Note


Novo consolePara criar um cluster com o Enhanced VPC routing


2. No menu de navegação, escolha CLUSTERS, Create cluster (Criar cluster) e insira as propriedadesde Cluster details (Detalhes do cluster).

3. Para exibir a seção Additional configurations (Configurações adicionais), desative Use defaults (Usarpadrões).

4. Para habilitar o Enhanced VPC routing, selecione Enabled (Habilitado) para forçar o tráfego do clusterpor meio da VPC.

5. Para criar o cluster, escolha Create cluster (Criar cluster). Podem ser necessários alguns minutos parapreparar o cluster para ser usado.

Console originalVocê pode criar um cluster com o Enhanced VPC routing usando o Console de gerenciamento da AWS.Para fazer isso, escolha Yes (Sim) para a opção Enhanced VPC Routing no assistente Launch Cluster daseção Configure Networking Options (Configurar as opções de redes), conforme mostrado a seguir. Paraobter mais informações, consulte Criar um cluster (p. 37).

126



https://docs.aws.amazon.com/redshift/latest/dg/copy-usage_notes-access-permissions.html#copy-usage_notes-iam-permissions

https://docs.aws.amazon.com/redshift/latest/dg/copy-usage_notes-access-permissions.html#copy-usage_notes-iam-permissions



Amazon Redshift Guia de gerenciamento de clustersHabilitar o roteamento aprimorado de VPC

Para modificar um cluster a fim de habilitar o roteamento aprimorado de VPC usando o console, selecioneo cluster. Em seguida, escolha Modify Cluster (Modificar cluster) e Yes (Sim) para a opção EnhancedVPC Routing na caixa de diálogo Modify Cluster (Modificar cluster). Para obter mais informações, consulteModificar um cluster (p. 47).

Note

Quando você modificar um cluster para habilitar o roteamento aprimorado de VPC, o cluster seráreiniciado automaticamente para aplicar a alteração.

127

Amazon Redshift Guia de gerenciamento de clustersUsar o Amazon Redshift Spectrum

com o roteamento aprimorado de VPC

É possível usar as operações da AWS Command Line Interface (AWS CLI) a seguir para que o AmazonRedshift habilite o roteamento aprimorado de VPC:

• create-cluster• modify-cluster

É possível usar as ações de API do Amazon Redshift a seguir para habilitar o roteamento aprimorado deVPC:

• CreateCluster• ModifyCluster

Usar o Amazon Redshift Spectrum com oroteamento aprimorado de VPC

O roteamento aprimorado de VPC do Amazon Redshift roteia tráfego específico pela VPC. Todo o tráfegoentre o seu cluster e os seus buckets do Amazon S3 é forçado a passar pelo seu Amazon VPC. O RedshiftSpectrum é executado em recursos gerenciados da AWS que pertencem ao Amazon Redshift. Comoesses recursos estão fora da VPC, o Redshift Spectrum não usa o roteamento aprimorado de VPC.

128


https://docs.aws.amazon.com/cli/latest/reference/redshift/modify-cluster.html



Amazon Redshift Guia de gerenciamento de clustersConsiderações sobre o uso do roteamento

aprimorado de VPC para o Redshift Spectrum

Quando o cluster está configurado para usar o roteamento aprimorado de VPC, o tráfego entre o RedshiftSpectrum e o Amazon S3 é roteado de forma segura por meio da rede privada da AWS, fora da VPC. Otráfego em trânsito é assinado usando o protocolo Amazon Signature versão 4 (SIGv4) e criptografadousando HTTPS. Esse tráfego é autorizado com base na função do IAM associada ao seu cluster doAmazon Redshift. Para gerenciar ainda mais o tráfego do Redshift Spectrum, você pode modificar a funçãodo IAM do seu cluster e sua política associada ao bucket do Amazon S3. Você também pode precisarconfigurar seu VPC para permitir que seu cluster acesse o AWS Glue ou Athena, conforme detalhado aseguir.

Considerações sobre o uso do roteamento aprimoradode VPC para o Redshift SpectrumVeja a seguir as considerações sobre o uso do roteamento aprimorado de VPC do Redshift Spectrum:

• Políticas de acesso ao bucket (p. 129)• Função do IAM do cluster (p. 129)• Registro em log e auditoria do acesso ao Amazon S3 (p. 130)• Acesso ao AWS Glue ou ao Amazon Athena (p. 131)

Políticas de acesso ao bucketVocê pode controlar o acesso aos dados em seus depósitos do Amazon S3 usando uma política de bucketassociada ao bucket e usando uma função do IAM associada ao cluster.

O Redshift Spectrum não pode acessar dados armazenados em depósitos do Amazon S3 que usem umapolítica de bucket que restrinja o acesso somente a VPC endpoints especificados. Em vez disso, use umapolítica de bucket que restrinja o acesso somente a entidades principais específicas, como uma contaespecífica da AWS ou usuários específicos.

Para a função do IAM que recebe acesso ao bucket, use uma relação de confiança que permita que afunção seja assumida apenas pela entidade principal de serviço do Amazon Redshift. Quando associadaao seu cluster, a função pode ser usada apenas no contexto do Amazon Redshift e não pode sercompartilhada fora do cluster. Para obter mais informações, consulte Restringir acesso a funções doIAM (p. 276).

O seguinte exemplo de política de bucket permite acesso ao bucket especificado somente a partir dotráfego originado pelo Redshift Spectrum pertencente à conta da AWS 123456789012.

{ "Version":"2012-10-17", "Statement":[ { "Sid”:”BucketPolicyForSpectrum", "Effect":"Allow", "Principal": {"AWS": ["arn:aws:iam::123456789012:root"]}, "Action":[“s3:GetObject",”s3:List*"], "Resource":["arn:aws:s3:::examplebucket/*"], "Condition":{"StringEquals":{"aws:UserAgent": "AWS Redshift/Spectrum"]}} } ]}

Função do IAM do clusterA função associada ao seu cluster deve ter uma relação de confiança que permita que seja assumidaapenas pelo serviço do Amazon Redshift, como mostrado a seguir.

129



{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "redshift.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

Você pode adicionar uma política à função do cluster que impede o acesso de COPY e UNLOAD a umbucket específico. A política a seguir permite o tráfego para o bucket especificado somente a partir doRedshift Spectrum.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["s3:Get*", "s3:List*"], "Resource": "arn:aws:s3:::myBucket/*", "Condition": {"StringEquals": {"aws:UserAgent": "AWS Redshift/Spectrum"}} }]}

Para obter mais informações, consulte Políticas do IAM para o Spectrum do Amazon Redshift no AmazonRedshift Database Developer Guide.

Registro em log e auditoria do acesso ao Amazon S3Um dos benefícios ao usar o roteamento aprimorado de VPC do Amazon Redshift é que todo o tráfegode COPY e UNLOAD é registrado nos logs de fluxo da VPC. Como o tráfego proveniente do RedshiftSpectrum para o Amazon S3 não passa pela sua VPC, ele não é registrado nos logs de fluxo da VPC.Quando o Redshift Spectrum acessa dados no Amazon S3, ele executa essas operações no contexto daconta da AWS e dos respectivos privilégios de função. Você pode registrar e auditar o acesso ao AmazonS3 usando o registro de acesso ao servidor no AWS CloudTrail e Amazon S3.

Registros do AWS CloudTrail

Para rastrear todo o acesso a objetos no Amazon S3, incluindo o acesso ao Redshift Spectrum, habilite oregistro do CloudTrail para os objetos do Amazon S3.

É possível usar o CloudTrail para visualizar, pesquisar, fazer download, arquivar, analisar e responder àsatividades da conta em toda a infraestrutura da AWS. Para obter mais informações, consulte Conceitosbásicos do CloudTrail.

Por padrão, o CloudTrail rastreia somente as ações do nível do bucket. Para rastrear as ações em nível deobjeto (como GetObject), habilite eventos de dados e gerenciamento para cada bucket registrado em log.

Registro de acesso em logs ao servidor do Amazon S3

O registro em log de acesso ao servidor fornece detalhes sobre as solicitações que são feitas a um bucket.As informações de log de acesso podem ser úteis em auditorias de segurança e acesso. Para obter maisinformações, consulte Como habilitar o registro em log de acesso ao servidor no Guia do desenvolvedor doAmazon Simple Storage Service.

Para obter mais informações, consulte a postagem no blog de segurança da AWS How to Use BucketPolicies and Apply Defense-in-Depth to Help Secure Your Amazon S3 Data.

130

https://docs.aws.amazon.com/redshift/latest/dg/c-spectrum-iam-policies.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-getting-started.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-getting-started.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html#server-access-logging-overview

https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/

https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/



Acesso ao AWS Glue ou ao Amazon AthenaO Redshift Spectrum acessa seu catálogo de dados em AWS Glue ou Athena. Outra opção é usar ummetastore do Hive dedicado para seu catálogo de dados.

Para habilitar o acesso ao AWS Glue ou Athena, configure a sua VPC com um gateway de Internetou gateway NAT. Configure seus grupos de segurança da VPC para permitir tráfego de saída para osendpoints públicos para o AWS Glue e Athena. Como alternativa, você pode configurar um endpoint deinterface da VPC para AWS Glue para acessar Catálogo de dados do AWS Glue. Quando você usa umendpoint de interface da VPC, a comunicação entre sua VPC e o AWS Glue é realizada na rede da AWS.Para obter mais informações, consulte Criação de um endpoint de interface.

Você pode configurar os seguintes percursos na VPC:

• Gateway da Internet –Para se conectar a serviços da AWS fora da VPC, você pode anexar um gatewayda Internet à sua sub-rede da VPC, conforme descrito no Guia do usuário da Amazon VPC. Para usarum gateway de internet, o cluster deve ter um endereço IP público a fim de permitir que outros serviçosse comuniquem com o cluster.

• Gateway NAT –Para se conectar a um bucket do Amazon S3 em outra região da AWS ou a outroserviço dentro da rede da AWS, configure um gateway de conversão de endereços de rede (NAT),conforme descrito no Guia do usuário da Amazon VPC. Use essa configuração também para acessaruma instância de host fora da rede da AWS.

Para obter mais informações, consulte Roteamento aprimorado de VPC do Amazon Redshift (p. 124).

131

https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint





Grupos de parâmetros do AmazonRedshiftVisão geral

No Amazon Redshift, você associa um grupo de parâmetros a cada cluster criado. O parameter group éum grupo de se aplica a todos os bancos de dados criados por você no cluster. Esses parâmetros definemconfigurações de banco de dados como o tempo limite e o datestyle da consulta.

Sobre grupos de parâmetrosCada parameter group tem vários parâmetros para definir configurações do banco de dados. A lista deparâmetros disponíveis depende da família do parameter group à qual o parameter group pertence.A família do parameter group é a versão do mecanismo do Amazon Redshift a que os parâmetros dogrupo se aplicam. O formato do nome da família do grupo de parâmetros é redshift-version em queversion é a versão do mecanismo. Por exemplo, a versão atual do mecanismo é redshift-1.0.

O Amazon Redshift fornece um parameter group padrão para cada família do parameter group. Oparameter group padrão tem valores predefinidos para cada um dos parâmetros e não pode sermodificado. O formato do nome do parameter group padrão é default.parameter_group_family,em que parameter_group_family é a versão do mecanismo a que o parameter group pertence. Porexemplo, o parameter group padrão da versão redshift-1.0 se chama default.redshift-1.0.

Note

Neste momento, redshift-1.0 é a única versão do mecanismo do Amazon Redshift.Consequentemente, default.redshift-1.0 é o único parameter group padrão.

Se quiser usar valores de parâmetro diferentes do parameter group padrão, você deverá criar umparameter group personalizado e associar o cluster a ele. Inicialmente, os valores de parâmetro em umparameter group personalizado são os mesmos do parameter group padrão. O source inicial de todosos parâmetros é engine-default porque os valores são predefinidos pelo Amazon Redshift. Depoisque você alterar um valor de parâmetro, o source mudará para user a fim de indicar que o valor foimodificado em relação ao valor padrão.

Note

O Amazon Redshift console não exibe o source de cada parâmetro. Você deve usar a API doAmazon Redshift, a AWS CLI ou um dos SDKs da AWS para exibir o source.

Para grupos de parâmetros criados, você pode modificar um valor de parâmetro a qualquer momento,ou pode restaurar os padrões de todos os valores de parâmetro. Você também pode associar umgrupo de parâmetros diferente a um cluster. Em alguns casos, poderá modificar valores de parâmetroem um grupo de parâmetros que já está associado a um cluster ou associar um grupo de parâmetrosdiferente a um cluster. Nesses casos, poderá ser necessário reiniciar o cluster para que os valores deparâmetro atualizados entrem em vigor. Se o cluster falhar e for reiniciado pelo Amazon Redshift, asalterações serão aplicadas neste momento. As alterações não serão aplicadas se o cluster for reiniciadodurante a manutenção. Para obter mais informações, consulte Propriedades dinâmicas e estáticas doWLM (p. 135).

132

Amazon Redshift Guia de gerenciamento de clustersValores de parâmetro padrão

Valores de parâmetro padrãoA tabela a seguir mostra resumidamente os valores de parâmetro padrão com links para informações maisaprofundadas sobre cada parâmetro. Esses são os valores padrão da família de grupos de parâmetrosredshift-1.0.

Nome do parâmetro Valor Mais informações

auto_analyze true auto_analyze no Amazon Redshift DatabaseDeveloper Guide

datestyle ISO, MDY datestyle no Amazon Redshift Database DeveloperGuide

enable_user_activity_loggingfalse Registro em log da auditoria de banco dedados (p. 285) neste guia

extra_float_digits 0 extra_float_digits no Amazon Redshift DatabaseDeveloper Guide

max_concurrency_scaling_clusters1 max_concurrency_scaling_clusters no AmazonRedshift Database Developer Guide

query_group default query_group no Amazon Redshift DatabaseDeveloper Guide

require_ssl false Configurar as opções de segurança paraconexões (p. 102) neste guia

search_path $user, public search_path no Amazon Redshift DatabaseDeveloper Guide

statement_timeout 0 statement_timeout no Amazon Redshift DatabaseDeveloper Guide

wlm_json_configuration [{"auto_wlm":true}] Configurar o gerenciamento da carga detrabalho (p. 135) neste guia

use_fips_ssl false Habilite o modo SSL compatível com FIPSsomente se o sistema precisar ser compatível comFIPS.

Note

O parâmetro max_cursor_result_set_size está obsoleto. Para obter mais informaçõessobre o tamanho do conjunto de resultados do cursor, consulte Restrições de cursor no AmazonRedshift Database Developer Guide.

Você pode substituir temporariamente um parâmetro usando o comando SET no banco de dados.O comando SET substitui somente o parâmetro da duração da sessão atual. Além dos parâmetroslistados na tabela anterior, você também pode ajustar temporariamente a contagem de slots definindowlm_query_slot_count no banco de dados. O parâmetro wlm_query_slot_count não estádisponível para configuração em grupos de parâmetros. Para obter mais informações sobre como ajustar acontagem de slots, consulte wlm_query_slot_count, no Amazon Redshift Database Developer Guide. Paraobter mais informações sobre como substituir temporariamente outros parâmetros, consulte Modificar aconfiguração do servidor no Amazon Redshift Database Developer Guide.

133

https://docs.aws.amazon.com/redshift/latest/dg/r_auto_analyze.html

https://docs.aws.amazon.com/redshift/latest/dg/r_datestyle.html

https://docs.aws.amazon.com/redshift/latest/dg/r_extra_float_digits.html

https://docs.aws.amazon.com/redshift/latest/dg/r_max_concurrency_scaling_clusters.html

https://docs.aws.amazon.com/redshift/latest/dg/r_query_group.html

https://docs.aws.amazon.com/redshift/latest/dg/r_search_path.html

https://docs.aws.amazon.com/redshift/latest/dg/r_statement_timeout.html

https://docs.aws.amazon.com/redshift/latest/dg/declare.html#declare-constraints

https://docs.aws.amazon.com/redshift/latest/dg/r_wlm_query_slot_count.html

https://docs.aws.amazon.com/redshift/latest/dg/t_Modifying_the_default_settings.html

https://docs.aws.amazon.com/redshift/latest/dg/t_Modifying_the_default_settings.html

Amazon Redshift Guia de gerenciamento de clustersConfigurar valores de parâmetro usando a AWS CLI

Configurar valores de parâmetro usando a AWSCLI

Para configurar parâmetros do Amazon Redshift usando a AWS CLI, você usa o comando modify-cluster-parameter-group para um parameter group específico. Você especifica o parameter groupa ser modificado em parameter-group-name. Você usa o parâmetro parameters (do comandomodify-cluster-parameter-group) a fim de especificar pares de nome/valor para cada parâmetroque deseja modificar no parameter group.

Note

Existem considerações especiais durante a configuração do parâmetrowlm_json_configuration usando a AWS CLI. Os exemplos nesta seção se aplicam atodos os parâmetros, exceto wlm_json_configuration. Para obter mais informações sobrecomo configurar o wlm_json_configuration usando a AWS CLI, consulte Configurar ogerenciamento da carga de trabalho (p. 135).

Depois de modificar valores de parâmetro, você deverá reinicializar todos os clusters queestejam associados ao parameter group modificado. O status do cluster exibe applying paraParameterApplyStatus enquanto os valores são aplicados e pending-reboot depois que os valorestiverem sido aplicados. Depois de reinicializar, os bancos de dados no cluster começarão a usar os novosvalores de parâmetro. Para obter mais informações sobre como reiniciar clusters, consulte Reinicializaçãode um cluster (p. 51).

Note

O parâmetro wlm_json_configuration contém algumas propriedades dinâmicas e nãoexigem que você reinicie clusters associados para que as alterações sejam aplicadas. Para obtermais informações sobre propriedades dinâmicas e estáticas, consulte Propriedades dinâmicas eestáticas do WLM (p. 135).

Sintaxe

A sintaxe a seguir mostra como usar o comando modify-cluster-parameter-group paraconfigurar um parâmetro. Você especifica parameter_group_name e substitui parameter_name eparameter_value por um parâmetro real a ser modificado e um valor para esse parâmetro. Se vocêquiser modificar mais de um parâmetro simultaneamente, separe cada conjunto de parâmetros e valoresdo seguinte com um espaço.

aws redshift modify-cluster-parameter-group --parameter-group-name parameter_group_name --parameters ParameterName=parameter_name,ParameterValue=parameter_value

Exemplo

O exemplo a seguir mostra como configurar os parâmetros statement_timeout eenable_user_activity_logging do parameter group myclusterparametergroup.

Note

Para fins de legibilidade, o exemplo é exibido em várias linhas, mas, na AWS CLI real, tem umalinha.

aws redshift modify-cluster-parameter-group --parameter-group-name myclusterparametergroup --parameters ParameterName=statement_timeout,ParameterValue=20000 ParameterName=enable_user_activity_logging,ParameterValue=true

134

Amazon Redshift Guia de gerenciamento de clustersConfigurar o gerenciamento da carga de trabalho

Configurar o gerenciamento da carga de trabalhoNo Amazon Redshift, você usa o Workload Management (WLM – Gerenciamento da carga de trabalho)para definir o número de filas de consulta disponíveis e como as consultas são roteadas para essasfilas para processamento. O WLM faz parte da configuração do parameter group. Um cluster usar aconfiguração do WLM especificada no parameter group associado.

Quando você cria um parameter group, a configuração do WLM padrão contém uma fila capaz de executaraté cinco consultas simultaneamente. Você poderá adicionar filas e configurar propriedades do WLM emcada uma delas, se quiser mais controle sobre o processamento de consultas. Cada fila adicionada terá amesma configuração do WLM padrão até você configurar as propriedades.

Quando você adiciona filas, a última fila na configuração é a fila padrão. A menos que seja roteada paraoutra fila com base em critérios na configuração do WLM, uma consulta é processada pela fila padrão.É possível especificar o modo e o nível de simultaneidade (slots de consulta) da fila padrão, mas não épossível especificar grupos de usuários ou de consultas para a fila padrão.

Assim como acontece com outros parâmetros, você não pode modificar a configuração do WLM noparameter group padrão. Os clusters associados ao parameter group padrão sempre usam a configuraçãodo WLM padrão. Para modificar a configuração do WLM, crie um novo grupo de parâmetros e associeesse grupo de parâmetros a todos os clusters que exigirem a configuração do WLM personalizada.

Propriedades dinâmicas e estáticas do WLMAs propriedades de configuração do WLM são dinâmicas ou estáticas. É possível aplicar propriedadesdinâmicas ao banco de dados sem uma reinicialização do cluster, mas as propriedades estáticas exigemuma reinicialização do cluster para que as alterações entrem em vigor. Para obter mais informações sobrepropriedades dinâmicas e estáticas, consulte Propriedades de configuração dinâmicas e estáticas doWLM.

Propriedades para o parâmetrowlm_json_configurationVocê pode configurar o WLM usando o Amazon Redshift console, a AWS CLI, a API do Amazon Redshiftou um dos SDKs da AWS. A configuração do WLM usa várias propriedades para definir o comportamentoda fila, como alocação da memória entre as filas, o número de consultas que podem ser executadassimultaneamente em uma fila etc.

Note

As propriedades a seguir aparecem com seus nomes do Amazon Redshift console, com osnomes de propriedade JSON correspondentes nas descrições.

A tabela a seguir resume se uma propriedade se aplica ao WLM automático ou WLM manual.

Propriedade do WLM WLM automático WLM manual

Auto WLM (WLM automático) Sim Sim

Habilitar a aceleração deconsultas breves

Sim Sim

Tempo máximo de execuçãopara consultas breves

Sim Sim

Priority Sim Não

135

https://docs.aws.amazon.com/redshift/latest/dg/cm-c-wlm-dynamic-properties.html

https://docs.aws.amazon.com/redshift/latest/dg/cm-c-wlm-dynamic-properties.html

Amazon Redshift Guia de gerenciamento de clustersPropriedades para o parâmetro wlm_json_configuration

Propriedade do WLM WLM automático WLM manual

Tipo de fila Sim Sim

Nome da fila Sim Sim

Modo de escalabilidade dasimultaneidade

Sim Sim

Simultaneidade Não Sim

Grupos de usuários Sim Sim

Curinga do grupo de usuários Sim Sim

Grupos de consultas Sim Sim

Curinga do grupo de consultas Sim Sim

Tempo limite Não Suspenso

Memória Não Sim

Regras de monitoramento deconsulta

Sim Sim

A lista a seguir descreve as propriedades do WLM que você pode configurar para cada fila.

Auto WLM (WLM automático)

Auto WLM (WLM automático) definido como true habilita o WLM automático. O WLM automáticodefine os valores de Concurrency on main (Simultaneidade no principal) e Memory (%) (Memória (%))como Auto. O Amazon Redshift gerencia a simultaneidade de consultas e a alocação de memória. Opadrão é true.

Propriedade JSON: auto_wlmHabilitar a aceleração de consultas breves

A aceleração de consultas breves (SQA) prioriza as consultas de curta execução sobre as consultasde execução demorada. A SQA executa consultas breves em um espaço dedicado, de maneira queas consultas SQA não sejam forçadas a esperar em filas atrás de consultas mais demoradas. Com aSQA, consultas breves são iniciadas com mais rapidez e os usuários veem os resultados mais cedo.Quando você habilita a SQA, também pode especificar o tempo máximo de execução para consultasbreves. Para habilitar a SQA, especifique true. O padrão é false.

Propriedade JSON: short_query_queueTempo máximo de execução para consultas breves

Quando você habilita a SQA, pode especificar 0 para permitir que WLM defina, de forma dinâmica, otempo máximo de execução para consultas breves. Como alternativa, você pode especificar um valorde 1–20 segundos, em milissegundos. O valor padrão é 0.

Propriedade JSON: max_execution_timePriority (Prioridade)

Priority (Prioridade) define a prioridade das consultas executadas em uma fila. Para definir aprioridade, o WLM mode (Modo do WLM) deve ser definido como Auto WLM (WLM automático), ouseja, auto_wlm deve ser true. Os valores de prioridade podem ser highest, high, normal, low elowest. O padrão é normal.

136


Propriedade JSON: priorityTipo de fila

O tipo de fila designa uma fila como usada por Auto WLM (WLM automático) ou Manual WLM (WLMmanual). Defina queue_type como auto ou manual. Se não especificado, o padrão será manual.

Propriedade JSON: queue_typeNome da fila

O nome da fila. Você pode definir o nome da fila com base nas necessidades da sua empresa. Osnomes de fila devem ser exclusivos dentro de uma configuração do WLM, ter até 64 caracteresalfanuméricos, sublinhados ou espaços, e não podem conter aspas. Por exemplo, se você tiver umafila para as consultas de ETL, poderá chamá-la de ETL queue. Esse nome é usado em métricas,valores da tabela do sistema e no console do Amazon Redshift para identificar a fila. Consultas erelatórios que usam o nome dessas fontes precisam ser capazes de lidar com alterações no nome.Anteriormente, os nomes de fila eram gerados pelo Amazon Redshift. Os nomes padrão das filas sãoQueue 1, Queue 2, até a última fila nomeada Default queue.

Important

Se você alterar um nome de fila, o valor da dimensão QueueName de métricas de fila doWLM (como WLMQueueLength, WLMQueueWaitTime, WLMQueriesCompletedPerSecond,WLMQueryDuration, WLMRunningQueries e assim por diante) também mudará. Portanto,se você alterar o nome de uma fila, poderá ser necessário alterar os alarmes do CloudWatchconfigurados.

Propriedade JSON: nameModo de escalabilidade da simultaneidade

Para habilitar a escalabilidade da simultaneidade em uma fila, defina o Concurrency Scaling mode(Modo de escalabilidade da simultaneidade) como auto. Quando o número de consultas roteadaspara uma fila excede a simultaneidade configurada da fila, as consultas qualificadas são enviadaspara o cluster de escalabilidade. Quando os slots forem disponibilizados, as consultas serãoexecutadas no cluster principal. O padrão é off.

Propriedade JSON: concurrency_scalingSimultaneidade

O número de consultas que podem ser executadas simultaneamente em uma fila do WLM. Estapropriedade só se aplica ao WLM manual. Se a escalabilidade de simultaneidade estiver habilitada, asconsultas qualificadas serão enviadas a um cluster de escalabilidade quando uma fila atingir o nívelde simultaneidade (slots de consulta). Se a escalabilidade da simultaneidade estiver desabilitada, asconsultas aguardarão na fila até que um slot seja disponibilizado. O intervalo é entre 1 e 50.

Propriedade JSON: query_concurrencyUser Groups (Grupos de usuários)

Uma lista separada por vírgulas de nomes de grupos de usuários. Quando membros do grupo deusuários executam consultas no banco de dados, as consultas são roteadas para a fila associada aogrupo de usuários.

Propriedade JSON: user_groupUser Group Wildcard

Um valor Booliano que indica se é necessário permitir curingas para grupos de usuários. Se for 0, oscuringas estarão desativados; se for 1, os curingas estarão ativados. Quando curingas são permitidos,você pode usar "*" ou "?" para especificar vários grupos de usuários ao executar consultas. Para obtermais informações, consulte Curingas.

Propriedade JSON: user_group_wild_card

137

https://docs.aws.amazon.com/redshift/latest/dg/cm-c-defining-query-queues.html#wlm-wildcards


Query Groups (Grupos de consultas)

Uma lista separada por vírgulas de grupos de consultas. Quando membros do grupo de consultasexecutam consultas no banco de dados, as consultas são roteadas para a fila associada ao grupo deconsultas.

Propriedade JSON: query_groupQuery Group Wildcard

Um valor Booliano que indica se é necessário permitir curingas para grupos de consultas. Se for 0, oscuringas estarão desativados; se for 1, os curingas estarão ativados. Quando curingas são permitidos,você pode usar "*" ou "?" para especificar vários grupos de consultas ao executar consultas. Paraobter mais informações, consulte Curingas.

Propriedade JSON: query_group_wild_cardTimeout (Tempo limite) (ms)

O tempo limite do WLM (max_execution_time) está obsoleto. Não está disponível ao usar oWLM automático. Em vez disso, crie uma regra de monitoramento de consulta (QMR) usandoquery_execution_time para limitar o tempo de execução decorrido para uma consulta. Para obtermais informações, consulte Regras de monitoramento de consultas do WLM.

O tempo máximo, em milissegundos, durante o qual as consultas poderão ser executadas até seremcanceladas. Em alguns casos, uma consulta somente leitura, como uma declaração SELECT, poderáser cancelada devido a um tempo limite do WLM Nesses casos, o WLM tenta rotear a consulta para apróxima fila correspondente com base nas regras de atribuição de filas do WLM. Se não correspondera nenhuma outra definição de fila, a consulta será cancelada; ela não será atribuída à fila padrão. Paraobter mais informações, consulte Salto na fila de consultas do WLM. O tempo limite do WLM não seaplica a uma consulta que tenha atingido o estado returning. Para exibir o estado de uma consulta,consulte a tabela de sistema STV_WLM_QUERY_STATE.

Propriedade JSON: max_execution_timeMemória (%)

A porcentagem de memória a ser alocada à fila. Se especificar uma porcentagem de memória parapelo menos uma das filas, será necessário especificar uma porcentagem para todas as outras filas atéum total de 100%. Se a sua alocação de memória for inferior a 100% entre todas as filas, a memórianão alocada será gerenciada pelo serviço. O serviço pode conceder temporariamente essa memórianão alocada a uma fila que solicita memória adicional para processamento.

Propriedade JSON: memory_percent_to_useRegras de monitoramento de consulta

Você pode usar as regras de monitoramento da consulta do WLM para monitorar continuamenteas filas do WLM para consultas com base em critérios, ou predicados, especificados. Por exemplo,convém monitorar consultas com a tendência de consumir recursos de sistema excessivos e iniciaruma ação especificada quando uma consulta exceder os limites de desempenho especificados.

Note

Se você optar por criar regras programaticamente, será altamente recomendável usar oconsole para gerar o JSON incluído por você na definição do parameter group.

Você associa uma regra de monitoramento de consulta a uma fila de consultas específica. Pode haveraté 25 regras por fila e o limite total para todas as filas é de 25 regras.

Propriedade JSON: rules

Hierarquia de propriedades JSON:

rules

138

https://docs.aws.amazon.com/redshift/latest/dg/cm-c-defining-query-queues.html#wlm-wildcards

https://docs.aws.amazon.com/redshift/latest/dg/cm-c-wlm-query-monitoring-rules.html

https://docs.aws.amazon.com/redshift/latest/dg/cm-c-defining-query-queues.html#wlm-queue-hopping

https://docs.aws.amazon.com/redshift/latest/dg/r_STV_WLM_QUERY_STATE.html

Amazon Redshift Guia de gerenciamento de clustersConfigurar o parâmetro

wlm_json_configuration usando a AWS CLI

rule_name predicate metric_name operator value action value

Para cada regra, especifique as seguintes propriedades:• rule_name– Os nomes de regra devem ser exclusivos na configuração do WLM. Os nomes de

regra podem ter até 32 caracteres alfanuméricos ou sublinhados e não podem conter espaços ouaspas. Você pode ter até oito regras por fila, e o limite total para todas as filas é de oito regras.• predicate – Você pode ter até três predicados por regra. Para cada predicado, especifique as

propriedades a seguir.• metric_name – Para obter uma lista de métricas, consulte Métricas de monitoramento de

consulta no Amazon Redshift Database Developer Guide.• As operações do operator – são =, < e >.• value – O valor limite para a métrica especificada que dispara uma ação.

• action– Cada regra está associada a uma única ação. As ações válidas são:• log

• hop (disponível somente com o WLM manual)• abort

• change_query_priority (disponível somente com o WLM automático)

O exemplo a seguir mostra o JSON de uma regra de monitoramento de consulta do WLM chamadorule_1, com dois predicados e a ação hop.

"rules": [ { "rule_name": "rule_1", "predicate": [ { "metric_name": "query_execution_time", "operator": ">", "value": 100000 }, { "metric_name": "query_blocks_read", "operator": ">", "value": 1000 } ], "action": "hop" } ]

Para obter mais informações sobre cada uma dessas propriedades e estratégias para configurar filasde consultas, consulte Implementar gerenciamento de carga de trabalho no Amazon Redshift DatabaseDeveloper Guide.

Configurar o parâmetro wlm_json_configurationusando a AWS CLIPara configurar o WLM, você modifica o parâmetro wlm_json_configuration. O valor é formatadoem JSON (JavaScript Object Notation). Se você configurar o WLM usando a AWS CLI, a API do Amazon

139

https://docs.aws.amazon.com/redshift/latest/dg/cm-c-wlm-query-monitoring-rules.html#cm-c-wlm-query-monitoring-metrics

https://docs.aws.amazon.com/redshift/latest/dg/cm-c-wlm-query-monitoring-rules.html#cm-c-wlm-query-monitoring-metrics




Redshift ou um dos SDKs da AWS, use o restante desta seção para saber como construir a estruturaJSON do parâmetro wlm_json_configuration.

Note

Se configurar o WLM usando o Amazon Redshift console, não é necessário entender aformatação JSON porque o console oferece uma maneira fácil de adicionar filas e configurar aspropriedades. Para obter mais informações sobre como configurar o WLM usando o console,consulte Modificar um parameter group (p. 146).

Exemplo

O exemplo a seguir é a configuração do WLM padrão, que define uma fila com WLM automático.

{ "auto_wlm": true}

Exemplo

O exemplo a seguir é uma configuração do WLM personalizada que define uma fila do WLM com um nívelde simultaneidade (slots de consulta) de cinco.

{ "query_concurrency":5}

Sintaxe

A configuração do WLM padrão é muito simples, somente com uma fila e uma propriedade. Você podeadicionar mais filas e configurar várias propriedades para cada fila na estrutura JSON. A seguinte sintaxerepresenta a estrutura JSON que você usa para configurar várias filas com várias propriedades:

[ { "ParameterName":"wlm_json_configuration", "ParameterValue": "[ { "q1_first_property_name":"q1_first_property_value", "q1_second_property_name":"q1_second_property_value", ... }, { "q2_first_property_name":"q2_first_property_value", "q2_second_property_name":"q2_second_property_value", ... } ...

]" }]

No exemplo anterior, as propriedades representativas que começam com q1 são objetos em uma matrizda primeira fila. Cada um desses objetos é um par de nome/valor; name e value definem juntos aspropriedades do WLM da primeira fila. As propriedades representativas que começam com q2 são objetosem uma matriz da segunda fila. Se precisar de mais filas, você adicionará outra matriz para cada fila edefinirá as propriedades de cada objeto.

140



Ao modificar a configuração do WLM, você deve incluir na estrutura completa das filas, mesmo se quiseralterar somente uma propriedade dentro de uma fila. Isso porque toda a estrutura JSON é passada comouma string do valor do parâmetro wlm_json_configuration.

Formatar o comando da AWS CLIO parâmetro wlm_json_configuration exige um formato específico quando você usa a AWS CLI. Oformato usado por você depende do sistema operacional do cliente. Como os sistemas operacionais têmmaneiras diferentes de envolver a estrutura JSON, ela é passada corretamente pela linha de comando.Para obter detalhes sobre como construir o comando apropriado nos sistemas operacionais Linux, Mac OSX e Windows, consulte as seções a seguir. Para obter mais informações sobre as diferenças de colocarestruturas de dados JSON na AWS CLI em geral, consulte Strings entre aspas no Guia do usuário do AWSCommand Line Interface.

Exemplos

O exemplo de comando a seguir configura o WLM manual para um grupo de parâmetros chamadoexample-parameter-group. A configuração permite a aceleração de consulta breve com um tempomáximo de execução para consultas breves definido como 0, o que instrui o WLM a definir o valor de formadinâmica. A configuração de ApplyType é dynamic. Essa configuração significa que todas as alteraçõesfeitas em propriedades dinâmicas no parâmetro serão aplicadas automaticamente, a menos que outrasalterações estáticas tenham sido feitas na configuração. A configuração define três filas com o seguinte:

• A primeira fila permite que os usuários especifiquem report como um rótulo (conforme especificadona propriedade query_group) nas consultas para ajudar a rotear consultas para essa fila. Como aspesquisas com curinga são permitidas para o rótulo report*, este não precisa estar exato para queconsultas sejam roteadas para a fila. Por exemplo, reports e reporting correspondem a esse grupode consultas. A fila recebe 25 por cento da memória total em todas as filas e pode executar até quatroconsultas ao mesmo tempo. As consultas estão limitadas a um tempo máximo de 20.000 milissegundos(ms). O modo está definido como automático, portanto, quando os slots de consulta da fila estão lotados,as consultas qualificadas são enviadas para um cluster de escalabilidade.

• A segunda fila permite que usuários membros de grupos admin ou dba no banco de dados tenham asconsultas roteadas para a fila tendo em vista o processamento. Como as pesquisas com curinga estãodesabilitadas para grupos de usuários, os usuários devem corresponder exatamente a grupos no bancode dados de maneira que as consultas sejam roteadas para a fila. A fila recebe 40% da memória totalem todas as filas e pode executar até cinco consultas ao mesmo tempo. O modo está definido comodesativado, portanto, todas as consultas enviadas por membros nos grupos de dba e administrador sãoexecutadas no cluster principal.

• A última fila na configuração é a padrão. Essa fila recebe 35% da memória total em todas as filas e podeprocessar até cinco consultas ao mesmo tempo. O modo está definido como automático.

Note

O exemplo é mostrado em várias linhas para fins de demonstração. Os comandos reais nãodevem ter quebras de linha.

aws redshift modify-cluster-parameter-group --parameter-group-name example-parameter-group --parameters'[ { "query_concurrency": 4, "max_execution_time": 20000, "memory_percent_to_use": 25, "query_group": ["report"], "query_group_wild_card": 1, "user_group": [],

141

https://docs.aws.amazon.com/cli/latest/userguide/cli-using-param.html#quoting-strings



"user_group_wild_card": 0, "concurrency_scaling": "auto", "queue_type": "manual" }, { "query_concurrency": 5, "memory_percent_to_use": 40, "query_group": [], "query_group_wild_card": 0, "user_group": [ "admin", "dba" ], "user_group_wild_card": 0, "concurrency_scaling": "off", "queue_type": "manual" }, { "query_concurrency": 5, "query_group": [], "query_group_wild_card": 0, "user_group": [], "user_group_wild_card": 0, "concurrency_scaling": "auto", "queue_type": "manual" }, {"short_query_queue": true}]'

Veja a seguir um exemplo de como configurar regras de monitoramento de consultas do WLM para umaconfiguração de WLM automático. O exemplo cria um parameter group chamado example-monitoring-rules. A configuração define as mesmas três filas do exemplo anterior, mas query_concurrency ememory_percent_to_use não são mais especificadas. A configuração também adiciona as seguintesregras e prioridades de consulta:

• A primeira fila define uma regra chamada rule_1. A regra tem dois predicados: query_cpu_time >10000000 e query_blocks_read > 1000. A ação da regra é log. A prioridade dessa fila é Normal.

• A segunda fila define uma regra chamada rule_2. A regra tem dois predicados:query_execution_time > 600000000 e scan_row_count > 1000000000. A ação da regra éabort. A prioridade dessa fila é Highest.

• A última fila na configuração é a padrão. A prioridade dessa fila é Low.

Note

O exemplo é mostrado em várias linhas para fins de demonstração. Os comandos reais nãodevem ter quebras de linha.

aws redshift modify-cluster-parameter-group --parameter-group-name example-monitoring-rules --parameters'[ { "query_group" : [ "report" ], "query_group_wild_card" : 1, "user_group" : [ ], "user_group_wild_card" : 0, "concurrency_scaling" : "auto", "rules" : [{ "rule_name": "rule_1", "predicate": [{ "metric_name": "query_cpu_time", "operator": ">",

142



"value": 1000000 }, { "metric_name": "query_blocks_read", "operator": ">", "value": 1000 } ], "action" : "log" } ], "priority": "normal", "queue_type": "auto"}, { "query_group" : [ ], "query_group_wild_card" : 0, "user_group" : [ "admin", "dba" ], "user_group_wild_card" : 0, "concurrency_scaling" : "off", "rules" : [ { "rule_name": "rule_2", "predicate": [ {"metric_name": "query_execution_time", "operator": ">", "value": 600000000}, {"metric_name": "scan_row_count", "operator": ">", "value": 1000000000}], "action": "abort"}], "priority": "high", "queue_type": "auto"

}, { "query_group" : [ ], "query_group_wild_card" : 0, "user_group" : [ ], "user_group_wild_card" : 0, "concurrency_scaling" : "auto", "priority": "low", "queue_type": "auto", "auto_wlm": true}, { "short_query_queue" : true} ]'

Configurar o WLM usando a AWS CLI na linha de comando com um arquivoJSONÉ possível modificar o parâmetro wlm_json_configuration usando a AWS CLI e transmitir o valor doargumento parameters como um arquivo JSON.

aws redshift modify-cluster-parameter-group --parameter-group-name myclusterparaametergroup --parameters file://modify_pg.json

Os argumentos para --parameters são armazenados no arquivo modify_pg.json. A localização doarquivo é especificada no formato do seu sistema operacional. Para obter mais informações, consulteCarregar parâmetros de um arquivo. A seguir são exibidos exemplos do conteúdo do arquivo JSONmodify_pg.json.

[ { "ParameterName": "wlm_json_configuration", "ParameterValue": "[{\"user_group\":\"example_user_group1\",\"query_group\": \"example_query_group1\", \"query_concurrency\":7},{\"query_concurrency\":5}]" }

143

https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters.html#cli-usage-parameters-file



]

[ { "ParameterName": "wlm_json_configuration", "ParameterValue": "[{\"query_group\":[\"reports\"],\"query_group_wild_card\":0,\"query_concurrency\":4,\"max_execution_time\":20000,\"memory_percent_to_use\":25},{\"user_group\":[\"admin\",\"dba\"],\"user_group_wild_card\":1,\"query_concurrency\":5,\"memory_percent_to_use\":40},{\"query_concurrency\":5,\"memory_percent_to_use\":35},{\"short_query_queue\": true, \"max_execution_time\": 5000 }]", "ApplyType": "dynamic" }]

Regras para configurar o WLM usando a AWS CLI na linha de comando nossistemas operacionais Linux e macOS X

Siga estas regras para executar um comando da AWS CLI com parâmetros em uma linha:

• Toda a estrutura JSON deve estar entre aspas simples (') e colchetes ([ ]).• Todos os nomes e valores de parâmetro devem estar entre aspas duplas (").• Dentro do valor ParameterValue, você deve colocar toda a estrutura aninhada entre aspas duplas (")

e colchetes ([ ]).• Dentro da estrutura aninhada, cada uma das propriedades e dos valores para cada fila deve estar entre

chaves ({ }).• Dentro da estrutura aninhada, você deve usar o caractere de escape de barra invertida (\) antes das

aspas duplas (").• Para pares de nome/valor, dois-pontos (:) separa cada propriedade do valor.• Cada par de nome/valor é separado de outros por uma vírgula (,).• Várias filas são separadas por uma vírgula (,) entre o fim da chave (}) de uma fila e o início da chave ({)

da próxima fila.

Regras para configurar o WLM usando a AWS CLI no Windows PowerShell emsistemas operacionais Microsoft Windows

Siga estas regras para executar um comando da AWS CLI com parâmetros em uma linha:

• Toda a estrutura JSON deve estar entre aspas simples (') e colchetes ([ ]).• Todos os nomes e valores de parâmetro devem estar entre aspas duplas (").• Dentro do valor ParameterValue, você deve colocar toda a estrutura aninhada entre aspas duplas (")



aspas duplas (") e do caractere de escape de barra invertida (\). Esse requisito significa que você usarátrês barras invertidas e aspas duplas para verificar se as propriedades são passadas corretamente (\\\").

• Para pares de nome/valor, dois-pontos (:) separa cada propriedade do valor.• Cada par de nome/valor é separado de outros por uma vírgula (,).• Várias filas são separadas por uma vírgula (,) entre o fim da chave (}) de uma fila e o início da chave ({)

da próxima fila.

144

Amazon Redshift Guia de gerenciamento de clustersGerenciamento de grupos de parâmetros usando o console

Regras para configurar o WLM usando o prompt de comando em sistemasoperacionais WindowsSiga estas regras para executar um comando da AWS CLI com parâmetros em uma linha:

• Toda a estrutura JSON deve estar entre aspas duplas (") e colchetes ([ ]).• Todos os nomes e valores de parâmetro devem estar entre aspas duplas (").• Dentro do valor ParameterValue, você deve colocar toda a estrutura aninhada entre aspas duplas (")



aspas duplas (") e do caractere de escape de barra invertida (\). Esse requisito significa que você usarátrês barras invertidas e aspas duplas para verificar se as propriedades são passadas corretamente (\\\").

• Para pares de nome/valor, dois-pontos (:) separa cada propriedade do valor.• Cada par de nome/valor é separado de outros por uma vírgula (,).• Várias filas são separadas por uma vírgula (,) entre o fim da chave (}) de uma fila e o início da chave ({)

da próxima fila.

Gerenciamento de grupos de parâmetros usando oconsole

Você pode visualizar, criar, modificar e excluir grupos de parâmetros no Amazon Redshift console.

Você pode visualizar qualquer um dos grupos de parâmetros para ver um resumo dos valores dosparâmetros e do gerenciamento da carga de trabalho (WLM - workload management). Parâmetros degrupo são exibidos na guia Parameters (Parâmetros), e Workload queues (Filas de cargas de trabalho) sãoexibidas na guia Workload Management (Gerenciamento da carga de trabalho).

Criar um parameter groupPara definir valores de parâmetros diferentes do grupo de parâmetros padrão, você pode criar seu própriogrupo de parâmetros.

Note


Novo console

Para criar um parameter group


2. No menu de navegação, escolha CONFIG e Workload management (Gerenciamento da carga detrabalho) para exibir a página Workload management (Gerenciamento da carga de trabalho).

3. Escolha Create (Criar) para exibir a janela Create parameter group (Criar grupo de parâmetros).4. Insira um valor para Parameter group name (Nome do grupo de parâmetros) e Description

(Descrição).5. Para criar o grupo de parâmetros, escolha Create (Criar).

145



Amazon Redshift Guia de gerenciamento de clustersModificar um parameter group

Console original

Para criar um parameter group


2. No painel de navegação, selecione Grupos de parâmetros.3. Na página Grupos de parâmetros, selecione Criar grupo de parâmetros de cluster.4. Na caixa de diálogo Create Cluster Parameter Group (Criar grupo de parâmetros de clusters), escolha

uma família de grupos de parâmetros. Insira um nome e uma descrição para o grupo de parâmetros.Para obter mais informações sobre a nomeação de restrições para grupos de parâmetros, consulteCotas e limites no Amazon Redshift (p. 395).

5. Escolha Criar.

Modificar um parameter groupVocê pode modificar parâmetros para alterar as configurações de parâmetro e as propriedades deconfiguração de WLM.

Note

Você não pode modificar o grupo de parâmetro padrão.Note


Novo console

Para modificar um grupo de parâmetros



3. Escolha o grupo de parâmetros que você deseja modificar para exibição na página de detalhes, comas guias Parameters (Parâmetros) e Workload management (Gerenciamento da carga de trabalho).

4. Use a guia Parameters (Parâmetros) para visualizar as configurações atuais dos parâmetros.5. Escolha Edit parameters (Editar parâmetros) para habilitar a alteração das configurações destes

parâmetros:

• auto_analyze

• datestyle

146






• enable_user_activity_logging

• extra_float_digits

• max_concurrency_scaling_clusters

• max_cursor_result_set_size

• query_group

• require_ssl

• search_path

• statement_timeout

• use_fips_ssl

Para obter mais informações sobre esses parâmetros, consulte Grupos de parâmetros do AmazonRedshift (p. 132).

6. Insira suas alterações e escolha Save (Salvar) para atualizar o grupo de parâmetros.

Para modificar a configuração do WLM de um grupo de parâmetros




4. Escolha a guia Workload management (Gerenciamento da carga de trabalho) para visualizar aconfiguração do WLM.

5. Escolha Edit workload queues (Editar filas de carga de trabalho) para editar a configuração do WLM.6. (Opcional) Selecione Enable short query acceleration (Habilitar aceleração de consultas breves) para

habilitar a aceleração de consultas breves (SQA).

Ao habilitar a SQA, Maximum run time for short queries (1 to 20 seconds) (Tempo máximo deexecução de consultas breves (1 a 20 segundos)) é definido como Dynamic (Dinâmico) por padrão. Aodefinir o tempo máximo de execução como um valor fixo, escolha um valor de 1 – 20.

7. Complete uma ou mais das seguintes opções para modificar a configuração da fila:

• Escolha Switch WLM mode (Alternar modo de WLM) para selecionar entre Automatic WLM (WLMautomático) e Manual WLM (WLM manual).

Com Automatic WLM (WLM automático), os valores de Memory (Memória) e Concurrency on main(Simultaneidade no principal) são definidos como auto (automático).

• Para criar uma fila, escolha Edit workload queues (Editar filas de carga de trabalho) e escolha AddQueue (Adicionar fila).

• Para modificar uma fila, altere valores de propriedades na tabela. Dependendo do tipo da fila, aspropriedades podem incluir o seguinte:• Queue name (Nome da fila) pode ser alterado.• Memory (%) (Memória (%))• Concurrency on main (Simultaneidade no principal) cluster• Concurrency Scaling mode (Modo de escalabilidade da simultaneidade) pode estar off (desligado)

ou auto (automático).• Timeout (Tempo limite) (ms)• User groups (Grupos de usuários)• Query groups (Grupos de consultas)

147




Para obter mais informações sobre essas propriedades, consulte Propriedades para o parâmetrowlm_json_configuration (p. 135).

Important

Se você alterar um nome de fila, o valor da dimensão QueueName de métricas de fila doWLM (como WLMQueueLength, WLMQueueWaitTime, WLMQueriesCompletedPerSecond,WLMQueryDuration, WLMRunningQueries e assim por diante) também mudará.Portanto, se você alterar o nome de uma fila, poderá ser necessário alterar os alarmes doCloudWatch configurados.

• Para alterar a ordem das filas, escolha os botões de seta para cima e para baixo.• Para excluir uma fila, selecione Excluir na linha da fila na tabela.

8. (Opcional) Selecione Defer dynamic changes until reboot (Adiar mudanças dinâmicas até areinicialização) para que as alterações sejam aplicadas aos clusters associados após a próximareinicialização.

Note

Algumas mudanças exigem uma reinicialização do cluster independentemente destaconfiguração. Para obter mais informações, consulte Propriedades dinâmicas e estáticas doWLM (p. 135).

9. Escolha Salvar.

Console original

Para modificar parâmetros em um parameter group


No painel de navegação, selecione Grupos de parâmetros.2. Na página Grupos de parâmetros, na lista de grupos de parâmetros, selecione a linha do grupo de

parâmetros que você deseja modificar.3. Para editar outros parâmetros que não o parâmetro de configuração de WLM, selecione Editar

parâmetros.

A guia Parameters (Parâmetros) é aberta e permite que você atualize os parâmetros no grupo deparâmetros. Você pode atualizar os valores de parâmetros, como os seguintes:

• auto_analyze

• datestyle

• enable_user_activity_logging

• extra_float_digits

• force_acm

• max_concurrency_scaling_clusters

• query_group

• require_ssl

• search_path

• statement_timeout

• use_fips_ssl

4. Na caixa Value (Valor) correspondente ao parâmetro que você deseja modificar, insira um novo valor.Para obter mais informações sobre esses parâmetros, consulte Grupos de parâmetros do AmazonRedshift (p. 132).

148




5. Escolha Save Changes (Salvar alterações).

Note

Se você modificar esses parâmetros em um parameter group que já esteja associadoa um cluster, reinicie o cluster para que as alterações sejam aplicadas. Para obter maisinformações, consulte Reinicialização de um cluster (p. 51).

Para modificar a configuração de WLM em um parameter group


2. No painel de navegação, escolha Gerenciamento da carga de trabalho.3. Em Parameter groups, escolha o parameter group que deseja modificar.

Note

Você não pode modificar o grupo de parâmetro padrão.4. Selecione Edit (Editar).5. (Opcional) Selecione Enable short query acceleration (Habilitar aceleração de consultas breves) para

habilitar a aceleração de consultas breves (SQA).

Ao habilitar a SQA, Tempo máximo de execução de consultas breves (1 a 20 segundos) é definidopara Dinâmico por padrão. Ao definir o tempo máximo de execução como um valor fixo, escolha umvalor de 1 – 20.

6. Complete uma ou mais das seguintes opções para modificar a configuração da fila:

• Escolha Switch WLM mode (Alternar modo de WLM) para selecionar entre Auto WLM (WLMautomático) e Manual WLM (WLM manual).

Com Auto WLM (WLM automático), os valores de Memory (Memória) e Concurrency on main(Simultaneidade no principal) são definidos como auto (automático).

• Para criar uma fila, selecione Adicionar fila.• Para modificar o parâmetro Max Concurrency Scaling clusters (Máximo de clusters de

escalabilidade da simultaneidade), selecione Edit (Editar) ao lado do valor atual que é exibido.• Para modificar uma fila, altere valores de propriedades na tabela. Dependendo do tipo da fila, as

propriedades podem incluir o seguinte:• Memory (%) (Memória (%))• Concurrency on main (Simultaneidade no principal) cluster• Concurrency Scaling mode (Modo de escalabilidade da simultaneidade) pode estar off (desligado)

ou auto (automático).• Timeout (ms)• User groups (Grupos de usuários)• Query groups (Grupos de consultas)

• Para alterar a ordem de filas, selecione os botões de seta para cima e para baixo na tabela.• Para excluir uma fila, selecione Excluir na linha da fila na tabela.

7. (Opcional) Selecione Defer dynamic changes until reboot (Adiar mudanças dinâmicas até areinicialização) para que as alterações sejam aplicadas aos clusters associados após a próximareinicialização.

149



Amazon Redshift Guia de gerenciamento de clustersCriação ou modificação de uma regra de

monitoramento de consulta usando o console

Note

Algumas mudanças exigem uma reinicialização do cluster independentemente destaconfiguração. Para obter mais informações, consulte Propriedades dinâmicas e estáticas doWLM (p. 135).

8. Escolha Salvar.

Criação ou modificação de uma regra demonitoramento de consulta usando o consoleVocê pode usar o console do Amazon Redshift da AWS para criar e modificar as regras de gerenciamentode consultas de WLM. Regras de monitoramento de consulta fazem parte do parâmetros de configuraçãodo WLM para um parameter group. Para obter mais informações, consulte Regras de monitoramento deconsultas do WLM.

Ao criar uma regra, você define o nome de regra, um ou mais predicados e uma ação.

Quando você salva a configuração do WLM incluindo uma regra, você pode visualizar o código JSON paraa definição da regra como parte do JSON para o parâmetro de configuração do WLM.

Note


Novo console

Para criar uma regra de monitoramento de consulta




4. Escolha a guia Workload management (Gerenciamento da carga de trabalho) e escolha Edit workloadqueues (Editar filas de carga de trabalho) para editar a configuração de WLM.

5. Adicione uma nova regra usando um modelo predefinido ou criado do zero.

Para usam um modelo predefinido, faça o seguinte:

1. Escolha Add rule from template (Adicionar regra de modelo) no grupo Query monitoring rules(Regras de monitoramento de consultas). A listra de modelos de regras é exibida.

2. Escolha um ou mais modelos de regra. Quando você escolhe Save (Salvar), o WLM cria uma regrapara cada modelo que você escolher.

3. Insira ou confirme valores para a regra incluindo Rule names (Nomes de regras), Predicates(Predicados) e Actions (Ações).

4. Escolha Salvar.

Para adicionar uma nova regra criada do zero, faça o seguinte:

150







1. Para adicionar mais predicados, escolha Add predicate (Adicionar predicado). Você pode ter atétrês predicados para cada regra. Se todos os predicados são atendidos, o WLM dispara açãoassociada.

2. Escolha uma Ação. Cada regra tem uma ação.3. Escolha Salvar.

O Amazon Redshift gera o parâmetro de sua configuração de WLM em formato JSON e exibe-o na seçãoJSON.

Console original

Para criar uma regra de monitoramento de consulta


2. No painel de navegação, escolha Gerenciamento da carga de trabalho.3. Em Parameter groups, escolha o parameter group que deseja modificar.

Note

Você não pode modificar o grupo de parâmetro padrão.4. Para editar a configuração do WLM (a fim de adicionar uma regra), escolha Edit (Editar).5. Para criar uma nova regra usando um modelo predefinido, no grupo Regras para a fila 1, selecione

Adicionar regra a partir de modelos. A caixa de diálogo Rule Templates (Modelos de regras) é exibida,conforme mostrado na captura de tela a seguir.

6. Escolha um ou mais modelos de regra. O WLM cria uma regra para cada modelo que você escolher.Para este exemplo, selecione Consulta de longa execução com alto desvio de E/S e, então, escolhaSelecionar.

Uma nova regra com dois predicados aparece, conforme exibido na seguinte captura de tela.

151





7. Insira um valor em Rule name (Nome da regra). O nome pode ter até 32 caracteres alfanuméricos enão deve conter espaços ou aspas. Neste exemplo, insira HighIOskew.

8. (Opcional) Modifique os predicados das regras.9. Escolha um valor para Action (Ação). Cada regra tem uma ação. Para este exemplo, selecione Hop.

Hop encerra a consulta e o WLM roteia a consulta para a próxima file correspondente, se uma filaestiver disponível.

10. Escolha Salvar.

11. Para modificar as regras para uma fila, selecione Editar.12. Para adicionar uma nova regra do zero, selecione Add Custom Rule (Adicionar regra personalizada).

Você pode ter um máximo de cinco regras por fila e um total de oito regras para todas as filas.13. Insira um Rule name (Nome de regra), por exemplo, NestedLoop.14. Defina um valor para Predicate (Predicado). Selecione um nome de predicado, um operador e um

valor. Para este exemplo, escolha Nested loop join count (rows). Deixe o operador em maiorque ( > ) e, para o tipo de valor, digite 1000. A captura de tela a seguir mostra a nova regra com umpredicado.

152

Amazon Redshift Guia de gerenciamento de clustersExclusão de um grupo de parâmetros

15. Para adicionar predicados adicionais, escolha o ícone adicionar, à direita dos predicados. Vocêpode ter até três predicados por regra. Se todos os predicados são atendidos, o WLM dispara açãoassociada.

16. Escolha uma Ação. Cada regra tem uma ação. Para este exemplo, aceite a ação padrão, Log. Aação de log grava um registro na tabela de sistema STL_WLM_RULE_ACTION e deixa a consulta emexecução na fila.

17. Selecione Edição concluída. Os detalhes da fila são recolhidos.18. Escolha Salvar.

O Amazon Redshift gera seu parâmetro de configuração do WLM em formato JSON e exibe o JSON emuma janela na parte inferior da tela, conforme exibido na seguinte captura de tela.

Exclusão de um grupo de parâmetrosVocê pode excluir um parameter group se você não for precisar mais dele e ele não estiver associado aqualquer cluster. Você pode excluir somente grupos de parâmetros personalizados.

Note


Novo console

Para excluir um parameter group



153

https://docs.aws.amazon.com/redshift/latest/dg/r_STL_WLM_RULE_ACTION.html



Amazon Redshift Guia de gerenciamento de clustersAssociar um parameter group a um cluster

3. Em Parameter groups, escolha o parameter group que deseja modificar.

Note

Não é possível excluir o grupo de parâmetros padrão.4. Escolha Delete (Excluir) e confirme que deseja excluir o grupo de parâmetros.

Console original

Para excluir um grupo de parâmetros.

Para excluir um parameter group


2. No painel de navegação, selecione Grupos de parâmetros.3. Selecione a linha do grupo de parâmetros que você deseja excluir e selecione Excluir.

Note

Não é possível excluir o grupo de parâmetros padrão.4. Na caixa de diálogo Excluir grupos de parâmetro de cluster, selecione Continuar.

Associar um parameter group a um clusterQuando você executa um cluster, você deve associá-lo a um parameter group. Se você quiser alteraro parameter group mais tarde, você pode modificar o cluster e escolher um parameter group diferente.Para obter mais informações, consulte Criar um cluster usando uma execução de cluster (p. 39) e Paramodificar um cluster (p. 48).

Gerenciar grupos de parâmetros usando o AWSSDK para Java

Este exemplo demonstra as seguintes tarefas relacionadas a parameter groups:

• Criar um parameter group• Modificar um parameter group• Associar um parameter group a um cluster• Obter informações sobre parameter groups

Este exemplo cria um novo parameter group, parametergroup1, e faz as seguintes atualizações:

154



Amazon Redshift Guia de gerenciamento de clustersGerenciar grupos de parâmetrosusando o AWS SDK para Java

• Alterações feitas no parâmetro extra_float_digits para 2 no valor padrão de 0.• Substitui a configuração do gerenciamento da carga de trabalho existente (parâmetrowlm_json_configuration) pelo JSON a seguir, que define uma fila além da fila padrão.

[ { "user_group":[ "example_user_group1" ], "query_group":[ "example_query_group1" ], "query_concurrency":7 }, { "query_concurrency":5 }]

O JSON anterior é uma matriz de dois objetos, um para cada fila. O primeiro objeto define uma fila com umgrupo de usuários específico e um grupo de consultas. Ele também define o nível de simultaneidade como7.

{ "user_group":[ "example_user_group1" ], "query_group":[ "example_query_group1" ], "query_concurrency":7}

Como este exemplo substitui a configuração do WLM, essa configuração JSON também define a filapadrão sem grupo de usuários de consultas específico. Ele define a simultaneidade como o valor padrão,5.

{ "query_concurrency":5}

Para obter mais informações sobre a configuração do WML, vá até Implementar gerenciamento da cargade trabalho.

Para obter instruções detalhadas sobre como executar o exemplo a seguir, consulte Execução deexemplos de Java para o Amazon Redshift usando o Eclipse (p. 317). Você precisa atualizar o código efornecer um identificador de cluster.

Example

/** * Copyright 2010-2019 Amazon.com, Inc. or its affiliates. All Rights Reserved. * * This file is licensed under the Apache License, Version 2.0 (the "License"). * You may not use this file except in compliance with the License. A copy of * the License is located at * * http://aws.amazon.com/apache2.0/

155




* * This file is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR * CONDITIONS OF ANY KIND, either express or implied. See the License for the * specific language governing permissions and limitations under the License.*/

// snippet-sourcedescription:[CreateAndModifyClusterParameterGroup demonstrates how to create and modify an Amazon Redshift parameter group.]// snippet-service:[redshift]// snippet-keyword:[Java]// snippet-keyword:[Amazon Redshift]// snippet-keyword:[Code Sample]// snippet-keyword:[CreateClusterParameterGroup]// snippet-keyword:[DescribeClusterParameterGroups]// snippet-keyword:[ModifyClusterParameterGroup]// snippet-sourcetype:[full-example]// snippet-sourcedate:[2019-02-01]// snippet-sourceauthor:[AWS]// snippet-start:[redshift.java.CreateAndModifyClusterParameterGroup.complete]




public class CreateAndModifyClusterParameterGroup {

public static AmazonRedshift client; public static String clusterParameterGroupName = "parametergroup1"; public static String clusterIdentifier = "***provide a cluster identifier***"; public static String parameterGroupFamily = "redshift-1.0";



try { createClusterParameterGroup(); modifyClusterParameterGroup(); associateParameterGroupWithCluster(); describeClusterParameterGroups(); } catch (Exception e) { System.err.println("Operation failed: " + e.getMessage()); } }

private static void createClusterParameterGroup() { CreateClusterParameterGroupRequest request = new CreateClusterParameterGroupRequest() .withDescription("my cluster parameter group") .withParameterGroupName(clusterParameterGroupName) .withParameterGroupFamily(parameterGroupFamily); client.createClusterParameterGroup(request); System.out.println("Created cluster parameter group."); }

private static void describeClusterParameterGroups() { DescribeClusterParameterGroupsResult result = client.describeClusterParameterGroups(); printResultClusterParameterGroups(result);

156


}

private static void modifyClusterParameterGroup() { List<Parameter> parameters = new ArrayList<Parameter>(); parameters.add(new Parameter() .withParameterName("extra_float_digits") .withParameterValue("2")); // Replace WLM configuration. The new configuration defines a queue (in addition to the default). parameters.add(new Parameter() .withParameterName("wlm_json_configuration") .withParameterValue("[{\"user_group\":[\"example_user_group1\"],\"query_group\":[\"example_query_group1\"],\"query_concurrency\":7},{\"query_concurrency\":5}]"));

ModifyClusterParameterGroupRequest request = new ModifyClusterParameterGroupRequest() .withParameterGroupName(clusterParameterGroupName) .withParameters(parameters); client.modifyClusterParameterGroup(request);

}

private static void associateParameterGroupWithCluster() {

ModifyClusterRequest request = new ModifyClusterRequest() .withClusterIdentifier(clusterIdentifier) .withClusterParameterGroupName(clusterParameterGroupName);

Cluster result = client.modifyCluster(request);

System.out.format("Parameter Group %s is used for Cluster %s\n", clusterParameterGroupName, result.getClusterParameterGroups().get(0).getParameterGroupName()); } private static void printResultClusterParameterGroups(DescribeClusterParameterGroupsResult result) { if (result == null) { System.out.println("\nDescribe cluster parameter groups result is null."); return; }

System.out.println("\nPrinting parameter group results:\n"); for (ClusterParameterGroup group : result.getParameterGroups()) { System.out.format("\nDescription: %s\n", group.getDescription()); System.out.format("Group Family Name: %s\n", group.getParameterGroupFamily()); System.out.format("Group Name: %s\n", group.getParameterGroupName()); describeClusterParameters(group.getParameterGroupName()); } }

private static void describeClusterParameters(String parameterGroupName) { DescribeClusterParametersRequest request = new DescribeClusterParametersRequest() .withParameterGroupName(parameterGroupName);

DescribeClusterParametersResult result = client.describeClusterParameters(request); printResultClusterParameters(result, parameterGroupName); }

private static void printResultClusterParameters(DescribeClusterParametersResult result, String parameterGroupName) { if (result == null) { System.out.println("\nCluster parameters is null.");

157

Amazon Redshift Guia de gerenciamento de clustersGerenciar grupos de parâmetros usando

a CLI e a API do Amazon Redshift

return; }

System.out.format("\nPrinting cluster parameters for \"%s\"\n", parameterGroupName); for (Parameter parameter : result.getParameters()) { System.out.println(" Name: " + parameter.getParameterName() + ", Value: " + parameter.getParameterValue()); System.out.println(" DataType: " + parameter.getDataType() + ", MinEngineVersion: " + parameter.getMinimumEngineVersion()); System.out.println(" AllowedValues: " + parameter.getAllowedValues() + ", Source: " + parameter.getSource()); System.out.println(" IsModifiable: " + parameter.getIsModifiable() + ", Description: " + parameter.getDescription()); } }}

// snippet-end:[redshift.java.CreateAndModifyClusterParameterGroup.complete]

Gerenciar grupos de parâmetros usando a CLI e aAPI do Amazon Redshift

Você pode usar as operações da CLI do Amazon Redshift a seguir para gerenciar grupos de parâmetros.

• create-cluster-parameter-group• delete-cluster-parameter-group• describe-cluster-parameters• describe-cluster-parameter-groups• describe-default-cluster-parameters• modify-cluster-parameter-group• reset-cluster-parameter-group

Você pode usar as operações da API do Amazon Redshift a seguir para gerenciar grupos de parâmetros.

• CreateClusterParameterGroup• DeleteClusterParameterGroup• DescribeClusterParameters• DescribeClusterParameterGroups• DescribeDefaultClusterParameters• ModifyClusterParameterGroup• ResetClusterParameterGroup

158

https://docs.aws.amazon.com/cli/latest/reference/redshift/create-cluster-parameter-group.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-cluster-parameter-group.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-cluster-parameters.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-cluster-parameter-groups.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-default-cluster-parameters.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/modify-cluster-parameter-group.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/reset-cluster-parameter-group.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateClusterParameterGroup.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteClusterParameterGroup.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeClusterParameters.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeClusterParameterGroups.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeDefaultClusterParameters.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyClusterParameterGroup.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_ResetClusterParameterGroup.html


Snapshots do Amazon RedshiftTópicos

• Visão geral (p. 159)• Snapshots automatizados (p. 160)• Programações de snapshots automatizados (p. 160)• Formato da programação de snapshot (p. 160)• Snapshots manuais (p. 162)• Gerenciar armazenamento de snapshots (p. 162)• Excluir tabelas de snapshots (p. 162)• Copiar snapshots para outra região da AWS (p. 163)• Restauração de um cluster usando um snapshot (p. 163)• Restaurar uma tabela de um snapshot (p. 165)• Compartilhar snapshots (p. 169)• Gerenciamento de snapshots usando o console (p. 170)• Gerenciamento de snapshots usando o AWS SDK para Java (p. 185)• Gerenciar snapshots usando a CLI e a API do Amazon Redshift (p. 187)

Visão geralSnapshots são backups pontuais de um cluster. Existem dois tipos de snapshots: automatizados emanuais. O Amazon Redshift armazena esses snapshots internamente no Amazon S3 usando umaconexão Secure Sockets Layer (SSL) criptografada.

O Amazon Redshift faz snapshots incrementais automaticamente para acompanhar as alterações feitasno cluster desde o snapshot automatizado anterior. Os snapshots automatizados retêm todos os dadosnecessários para restaurar um cluster a partir de um snapshot. Você pode criar uma programação desnapshot para controlar quando snapshots automatizados são tirados ou tirar um snapshot manual aqualquer momento.

Quando você restaura de um snapshot, o Amazon Redshift cria um novo cluster o disponibiliza antesque todos os dados sejam carregados. Dessa forma, você pode começar a consultar o novo clusterimediatamente. O cluster transmite dados sob demanda do snapshot em resposta a consultas ativas ecarrega os dados restantes em segundo plano.

Ao iniciar um cluster, você pode definir o período de retenção para snapshots automatizados e manuais.Você pode alterar o período de retenção para snapshots automatizados e manuais, modificando o cluster.É possível alterar o período de retenção do snapshot manual ao criar o snapshot ou modificando osnapshot.

Você pode monitorar o progresso de snapshots visualizando os detalhes do snapshot no Consolede gerenciamento da AWS ou chamando describe-cluster-snapshots na CLI ou a ação de APIDescribeClusterSnapshots. Para um snapshot em andamento, eles exibem informações como o tamanhodo snapshot incremental, a taxa de transferência, o tempo decorrido e o tempo estimado restante.

Para garantir que seus backups estejam sempre disponíveis para o cluster, o Amazon Redshift armazenasnapshots em um bucket do Amazon S3 gerenciado internamente pelo Amazon Redshift. O AmazonRedshift fornece armazenamento grátis para snapshots equivalente à capacidade de armazenamento doseu cluster até que você o exclua. Depois de atingir o limite de armazenamento de snapshot livre, vocêserá cobrado por um eventual armazenamento adicional segundo o valor normal. Por causa disso, vocêdeve avaliar de quantos dias você precisa para manter snapshots e configurar o período de retenção de

159

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-cluster-snapshots.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeClusterSnapshots.html

Amazon Redshift Guia de gerenciamento de clustersSnapshots automatizados

acordo, além de excluir todos os snapshots manuais dos quais não precisa mais. Para obter informaçõessobre a definição de preço, consulte a página de detalhes do produto do Amazon Redshift.

Snapshots automatizadosQuando os snapshots automatizados estão habilitados para um cluster, o Amazon Redshift tira snapshotsdesse cluster. Por padrão, o Amazon Redshift tira um snapshot a cada oito horas ou depois de cada 5GB por nó de alterações de dados, o que ocorrer primeiro. Você também pode criar uma programação desnapshot para controlar quando snapshots automatizados são tirados. Os snapshots automatizados sãoativados por padrão quando você cria um cluster.

Os snapshots automatizados são excluídos ao final de um período de retenção. O período deretenção padrão é de um dia, mas você pode modificá-lo usando o console do Amazon Redshift ouprogramaticamente usando a API ou CLI do Amazon Redshift.

Para desativar snapshots automatizados, defina o período de retenção como zero. Se você desativarsnapshots automatizados, o Amazon Redshift vai parar de fazer snapshots e excluir todos os snapshotsautomatizados existentes para o cluster.

Apenas o Amazon Redshift pode excluir um snapshot automatizado; você não pode excluí-lomanualmente. O Amazon Redshift exclui snapshots automatizados ao final do período de retenção de umsnapshot, quando você desabilita snapshots automatizados para o cluster ou exclui o cluster. O AmazonRedshift retém o snapshot automatizado mais recente até que você desabilite snapshots automatizados ouexclua o cluster.

Se quiser manter um snapshot automatizado por um período mais longo, você poderá criar uma cópia delecomo um snapshot manual. O snapshot automatizado será mantido até o final do período de retenção,mas o snapshot manual correspondente será retido até você excluí-lo manualmente ou até o final doperíodo de retenção.

Programações de snapshots automatizadosPara controlar com precisão quando snapshots são tirados, você pode criar uma programação desnapshot e anexá-la a um ou mais clusters. Quando você modifica uma programação de snapshot, aprogramação é modificada para todos os clusters associados. Se um cluster não tem uma programação desnapshot anexada, o cluster usa a programação padrão de snapshot automatizado.

Uma programação de snapshot é um conjunto de regras de programação. Você pode definir uma regra deprogramação simples com base em um intervalo especificado, como a cada 8 ou 12 horas. Você tambémpode adicionar regras para tirar snapshots em certos dias da semana, em horários específicos ou duranteperíodos específicos. As regras também podem ser definidas usando expressões cron semelhantes aoUnix

Formato da programação de snapshotNo console do Amazon Redshift, você pode criar uma programação de snapshot. Você pode anexar umaprogramação a um cluster para acionar a criação de um snapshot do sistema. Uma programação pode serassociada a vários clusters, e você pode criar várias definições cron em uma programação para acionarum snapshot.

Você pode definir uma programação para seus snapshots usando uma sintaxe cron. A definição dessasprogramações usa uma sintaxe cron modificada semelhante ao Unix. Especifique o horário em TempoUniversal Coordenado (UTC). Você pode criar programações com frequência máxima de uma hora eprecisão mínima de um minuto.

160

https://aws.amazon.com/redshift/

http://en.wikipedia.org/wiki/Cron

http://en.wikipedia.org/wiki/Coordinated_Universal_Time

http://en.wikipedia.org/wiki/Coordinated_Universal_Time

Amazon Redshift Guia de gerenciamento de clustersFormato da programação de snapshot

As expressões cron modificadas do Amazon Redshift têm 3 campos obrigatórios, que são separados porum espaço em branco.

Syntax (Sintaxe)

cron(Minutes Hours Day-of-week)

Campos Values (Valores) Wildcards (Curingas)

Minutos 0–59

Horas 0–23 , - * /

Dia da semana 1 a 7 ou DOM-SÁB , - * /

Curingas

• O curinga , (vírgula) inclui valores adicionais. No campo Day-of-week, MON,WED,FRI incluirásegunda-feira, quarta-feira e sexta-feira. Os valores totais são limitados a 24 por campo.

• O curinga - (traço) especifica intervalos. No campo Hour, 1 a 15 incluiria as horas 1 a 15 do diaespecificado.

• O curinga * (asterisco) inclui todos os valores no campo. No campo Hours, * incluirá cada hora.• O curinga / (barra) especifica incrementos. No campo Hours, você pode inserir 1/10 para especificar a

cada décima hora, a partir da primeira hora do dia (por exemplo, 01:00, 11:00 e 21:00).

Limites

• As programações de snapshots que levam a frequências de backup menores que 1 hora ou maiores que24 horas não têm suporte. Se você tem programações sobrepostas que resultam na programação desnapshots em uma janela de 1 hora, o resultado é um erro de validação.

Ao criar uma programação, você pode usar os seguintes exemplos de strings cron.

Minutos Horas Dia dasemana

Significado

0 14-20/1 TER A cada hora entre 14h e20h na terça-feira.

0 21 SEG-SEX A cada noite às 21h, desegunda a sexta-feira.

30 0/6 SÁB-DOM Incremento a cada 6horas no sábado edomingo, a partir de30 minutos após meia-noite (00:30) daqueledia. Isso resulta em umsnapshot às [00:30,06:30, 12:30 e 18:30] decada dia.

30 12/4 * Incremento a cada 4horas, a partir de 12:30

161

Amazon Redshift Guia de gerenciamento de clustersSnapshots manuais

Minutos Horas Dia dasemana

Significado

de cada dia. O resultadoé [12:30, 16:30, 20:30].

Por exemplo, para executar em uma programação de um incremento a cada 2 horas, a partir de 15:15 decada dia. O resultado é [15:15, 17:15, 19:15, 21:15, 23:15] , especifique:

cron(15 15/2 *)

Você pode criar várias definições de programação cron em uma programação. Por exemplo, o seguintecomando da AWS CLI contém duas programações cron em uma programação.

create-snapshot-schedule --schedule-identifier "my-test" --schedule-definition "cron(0 17 SAT,SUN)" "cron(0 9,17 MON-FRI)"

Snapshots manuaisVocê poderá obter um snapshot manual a qualquer momento. Por padrão, os snapshots manuais sãoretidos indefinidamente, mesmo depois que você exclui o cluster. Você pode especificar o período deretenção ao criar um snapshot manual ou pode alterar o período de retenção modificando o snapshot.

Se um snapshot for excluído, você não poderá iniciar operações novas que referenciem esse snapshot.Porém, se estiver em andamento, uma operação de restauração será executada até a conclusão.

O Amazon Redshift tem uma cota que limita o número total de snapshots manuais que você pode criar;essa cota é por conta da AWS por região da AWS. A cota padrão está listada em Limites de serviço daAWS.

Gerenciar armazenamento de snapshotsComo os snapshots acumulam cobranças de armazenamento, é importante excluí-los quando nãoforem mais necessários. O Amazon Redshift exclui snapshots automáticos e manuais ao final doperíodo de retenção do snapshot. Você também pode excluir snapshots manuais usando o Console deGerenciamento da AWS ou com o comando batch-delete-cluster-snapshots da CLI.

É possível alterar o período de retenção do snapshot manual modificando as configurações do snapshotmanual.

Você pode obter informações sobre a quantidade de armazenamento que seus snapshots estãoconsumindo usando o console do Amazon Redshift ou usando o comando describe-storage da CLI.

Excluir tabelas de snapshotsPor padrão, todas as tabelas permanentes definidas pelo usuário são incluídas em snapshots. Se umatabela, como uma tabela temporária, não precisar de backup, você poderá reduzir significativamente otempo necessário para criar snapshots e restaurá-los. Você também reduz o espaço de armazenamentono Amazon S3 usando uma tabela sem backup. Para criar uma tabela sem backup, inclua o parâmetro

162



https://docs.aws.amazon.com/cli/latest/reference/redshift/batch-delete-cluster-snapshots.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-storage.html

Amazon Redshift Guia de gerenciamento de clustersCopiar snapshots para outra região da AWS

BACKUP NO ao criar a tabela. Para obter mais informações, consulte CREATE TABLE e CREATE TABLEAS, no Amazon Redshift Database Developer Guide.

Copiar snapshots para outra região da AWSVocê pode configurar o Amazon Redshift a fim de copiar automaticamente snapshots (automatizadosou manuais) de um cluster para outra região da AWS. Quando um snapshot é criado na região da AWSprincipal do cluster, ele é copiado em uma região da AWS secundária. As duas regiões da AWS sãoconhecidas respectivamente como a região da AWS de origem e a região da AWS de destino. Se vocêarmazenar uma cópia dos snapshots em outra região da AWS, poderá restaurar o cluster de dadosrecentes se nada afetar a região da AWS principal. Você pode configurar o cluster para copiar snapshotssomente em uma região da AWS destino por vez. Para obter uma lista das regiões do Amazon Redshift,consulte Regiões e endpoints na Referência geral do Amazon Web Services.

Ao permitir que o Amazon Redshift copie automaticamente snapshots para outra região da AWS,você especifica a região da AWS de destino para onde copiar os snapshots. No caso de snapshotsautomatizados, você também pode especificar o período de retenção para mantê-los na região da AWSde destino. Depois de ser copiado para a região da AWS de destino e atingir o período de retenção lá,ele será excluído da região da AWS de destino. Ao fazer isso, você mantém o uso do snapshot baixo.Para manter os snapshots automatizados por um período mais curto ou mais longo na região da AWS dedestino, altere esse período de retenção.

O período de retenção definido para snapshots automatizados copiados na região da AWS de destino éseparado do período de retenção para snapshots automatizados na região da AWS de origem. O períodode retenção padrão para snapshots copiados é sete dias. Esse período de sete dias somente se aplicaa snapshots automatizados. Nas regiões da AWS de origem e de destino, os snapshots manuais sãoexcluídos ao final do período de retenção do snapshots ou quando você os excluir manualmente.

Você pode desativar a cópia automática do snapshot de um cluster a qualquer momento. Quando vocêdesativa esse recurso, os snapshots deixam de ser copiados da região da AWS de origem para a regiãoda AWS de destino. Todos os snapshots automatizados copiados para a região da AWS de destino sãoexcluídos à medida que atingem o limite do período de retenção, a menos que você crie cópias manuaisdo snapshot deles. Esses snapshots manuais e todos os snapshots manuais que foram copiados da regiãoda AWS de destino serão mantidos na região da AWS de destino até você os excluir manualmente.

Para alterar a região da AWS de destino na qual os snapshots são copiados, primeiro desative o recursode cópia automática. Depois, reative-o, especificando a nova região da AWS de destino.

Depois de ser copiado para a região da AWS de destino, um snapshot será ativado e disponibilizado parafins de restauração.

Para copiar snapshots para clusters criptografados pelo AWS KMS– para outra região da AWS, crie umaconcessão para o Amazon Redshift usar uma Customer Master Key (CMK – Chave mestra do cliente) naregião da AWS de destino. Depois, escolha a concessão ao ativar a cópia de snapshots na região da AWSde origem. Para obter mais informações sobre como configurar concessões de cópia do snapshot, consulteCopiar snapshots criptografados pelo AWS KMS para outra região da AWS (p. 204).

Restauração de um cluster usando um snapshotUm snapshot contém dados de todos os bancos de dados em execução no cluster. Ele também contéminformações sobre seu cluster, incluindo o número de nós, tipo de nós e o nome do usuário mestre. Sevocê restaurar o cluster de um snapshot, o Amazon Redshift usará as informações do cluster para criar umnovo cluster. Depois, ele restaura todos os bancos de dados dos dados do snapshot.

Para o novo cluster criado a partir do snapshot original, você pode escolher a configuração, como o tipo eo número de nós. O cluster será restaurado na mesma região da AWS e em uma zona de disponibilidade

163

https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_TABLE_NEW.html

https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_TABLE_AS.html

https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_TABLE_AS.html

https://docs.aws.amazon.com/general/latest/gr/rande.html

Amazon Redshift Guia de gerenciamento de clustersRestauração de um cluster usando um snapshot

aleatória escolhida pelo sistema, a menos que você especifique outra zona de disponibilidade nasolicitação. Ao restaurar um cluster a partir de um snapshot, você poderá escolher um acompanhamentode manutenção compatível para o novo cluster.

Note

Quando você restaura um snapshot para um cluster com outra configuração, o snapshot deve serobtido em um cluster com a versão 1.0.10013 ou posterior.

Você pode monitorar o andamento de uma restauração chamando a operação de API DescribeClustersou exibindo os detalhes do cluster no Console de gerenciamento da AWS. Para uma restauração emandamento, eles exibem informações como o tamanho dos dados do snapshot, a taxa de transferência,o tempo decorrido e o tempo estimado restante. Para obter uma descrição dessas métricas, acesseRestoreStatus.

Você não pode usar um snapshot para restaurar o estado anterior de um cluster ativo.

Note

Quando você restaurar um snapshot em um novo cluster, o security group e o parameter grouppadrão serão usados, a menos que você especifique valores diferentes.

Talvez você queira restaurar um snapshot para um cluster com uma configuração diferente por estasrazões:

• Quando um cluster é composto por tipos de nós menores e você deseja consolidá-lo em um tipo maiorcom menos nós.

• Quando você monitorou sua carga de trabalho e determinou a necessidade de migrar para um tipo de nócom mais CPU e armazenamento.

• Quando você deseja medir o desempenho de cargas de trabalho de teste com tipos de nós diferentes.

A restauração tem as seguintes restrições:

• A nova configuração de nó deve ter armazenamento suficiente para os dados existentes. Mesmoquando você adiciona nós, sua nova configuração pode não ter armazenamento suficiente por causa damaneira como os dados são redistribuídos.

• As configurações possíveis (número de nós e tipo de nó) que você pode restaurar são determinadaspelo número de nós no cluster original e pelo tipo de nó de destino do novo cluster. Para determinaras possíveis configurações disponíveis, você pode usar o console do Amazon Redshift ou o comandodescribe-node-configuration-options da AWS CLI com action-type restore-cluster.Para obter mais informações sobre a restauração usando o console do Amazon Redshift, consulteRestauração de um cluster usando um snapshot (p. 178).

As etapas a seguir consideram um cluster com muitos nós e o consolida em um tipo de nó maior com umnúmero menor de nós usando a AWS CLI. Para este exemplo, começamos com um cluster de origem de24 nós ds2.xlarge. Nesse caso, suponha que já tenhamos criado um snapshot desse cluster e desejerestaurá-lo para um tipo de nó maior.

1. Execute o seguinte comando para obter os detalhes de um cluster ds2.xlarge de 24 nós.

aws redshift describe-clusters --region eu-west-1 -—cluster-identifier mycluster-123456789012

2. Execute o seguinte comando para obter os detalhes do snapshot.

aws redshift describe-cluster-snapshots --region eu-west-1 -—snapshot-identifier mycluster-snapshot

164


https://docs.aws.amazon.com/redshift/latest/APIReference/API_RestoreStatus.html

Amazon Redshift Guia de gerenciamento de clustersRestaurar uma tabela de um snapshot

3. Execute o seguinte comando para descrever as opções disponíveis para esse snapshot.

aws redshift describe-node-configuration-options --snapshot-identifier mycluster-snapshot --region eu-west-1 -—action-type restore-cluster

Este comando retorna uma lista de opções com os tipos de nós, o número de nós e a utilização dodisco recomendados para cada opção. Para este exemplo, o comando anterior lista as seguintesconfigurações de nós possíveis. Optamos por fazer a restauração para um cluster ds2.8xlarge detrês nós.

{ "NodeConfigurationOptionList": [ { "EstimatedDiskUtilizationPercent": 65.26134808858235, "NodeType": "ds2.xlarge", "NumberOfNodes": 24 }, { "EstimatedDiskUtilizationPercent": 32.630674044291176, "NodeType": "ds2.xlarge", "NumberOfNodes": 48 }, { "EstimatedDiskUtilizationPercent": 65.26134808858235, "NodeType": "ds2.8xlarge", "NumberOfNodes": 3 }, { "EstimatedDiskUtilizationPercent": 48.94601106643677, "NodeType": "ds2.8xlarge", "NumberOfNodes": 4 }, { "EstimatedDiskUtilizationPercent": 39.156808853149414, "NodeType": "ds2.8xlarge", "NumberOfNodes": 5 }, { "EstimatedDiskUtilizationPercent": 32.630674044291176, "NodeType": "ds2.8xlarge", "NumberOfNodes": 6 } ]}

4. Execute o comando a seguir para restaurar o snapshot para a configuração do cluster que escolhemos.Após a restauração desse cluster, temos o mesmo conteúdo que o cluster de origem, mas os dadosforam consolidados em três nós ds2.8xlarge.

aws redshift restore-from-cluster-snapshot --region eu-west-1 --snapshot-identifier mycluster-snapshot -—cluster-identifier mycluster-123456789012-x --node-type ds2.8xlarge --number-of-nodes 3

Restaurar uma tabela de um snapshotVocê pode restaurar uma única tabela de um snapshot, em vez de restaurar um cluster inteiro. Aorestaurar uma única tabela de um snapshot, você especifica o snapshot de origem, o banco de dados, oesquema e o nome da tabela, além do cluster de destino, do esquema e do nome da nova tabela, para atabela restaurada.

165


O nome da nova tabela não pode ser o nome de uma tabela existente. Para substituir uma tabela existentepor uma tabela restaurada de um snapshot, renomeie ou ignore a tabela existente antes de restaurar atabela do snapshot.

A tabela de destino é criada usando-se as definições de coluna da tabela de origem, os atributos da tabelae os atributos da coluna, exceto as chaves externas. Para evitar conflitos por causa de dependências,a tabela de destino não herda chaves externas da tabela de origem. Todas as dependências, comoexibições ou permissões concedidas na tabela de origem, não são aplicadas à tabela de destino.

Se o proprietário da tabela de origem existir, esse usuário será o proprietário da tabela restaurada, desdeque o usuário tenha permissões suficientes para se tornar o proprietário de uma relação no banco dedados e no esquema especificados. Do contrário, a tabela restaurada será de propriedade do usuáriomestre que foi criado quando o cluster foi iniciado.

A tabela restaurada retorna ao estado em que estava no momento em que o backup foi feito. Isso incluiregras de visibilidade da transação definidas pelo respeito do Amazon Redshift ao isolamento serializável,o que significa que os dados estarão imediatamente visíveis para transações instantâneas iniciadas após obackup.

Restaurar uma tabela de um snapshot tem as seguintes limitações:

• Você pode restaurar uma tabela somente no cluster atual, em execução ativa, e de um snapshot feitodesse cluster.

• Você pode restaurar somente uma tabela por vez.• Você não pode restaurar uma tabela de um snapshot de cluster feito antes de um cluster ser

redimensionado.

Note


Novo consolePara restaurar uma tabela de um snapshot


2. No menu de navegação, escolha CLUSTERS e escolha o cluster que você deseja usar para restauraruma tabela.

3. Em Actions (Ações), escolha Restore table (Restaurar tabela) para exibir a página Restore table(Restaurar tabela).

4. Insira informações sobre qual snapshot, tabela de origem e tabela de destino usar e escolha Restoretable (Restaurar tabela).

Console originalPara restaurar uma tabela de um snapshot usando o console do Amazon Redshift


2. Escolha Clusters e selecione um cluster.3. Escolha a guia Table restore.

166

https://docs.aws.amazon.com/redshift/latest/dg/c_serial_isolation.html






4. Escolha a guia Restore table.5. No painel Table restore, selecione um intervalo de datas que contenha o snapshot de cluster do qual

você deseja restaurar. Por exemplo, convém selecionar Last 1 Week para snapshots de clusterfeitos na semana anterior.

6. Adicione as seguintes informações:

• From snapshot (Do snapshot) – O identificador do snapshot de cluster que contém a tabela pararestauração.

• Source table to restore from• Database (Banco de dados) – O nome do banco de dados do snapshot de cluster que contém a

tabela para restauração.• Schema (Esquema) – O nome do esquema do banco de dados do snapshot de cluster que

contém a tabela para restauração.• Table (Tabela) – O nome da tabela do snapshot de cluster para restauração.

• Target table to restore to• Database (Banco de dados) – O nome do banco de dados no cluster de destino para restauração

da tabela.• Schema (Esquema) – O nome do esquema do banco de dados no cluster de destino para

restauração da tabela.• New table name (Nome da nova tabela) – O novo nome da tabela restaurada. Este nome não

pode ser o nome de uma tabela existente no banco de dados de destino.

167


7. Escolha a guia Restore para restaurar a tabela.

Se tiver restaurado pelo menos uma tabela de um snapshot de cluster, você poderá copiar os valores deuma solicitação de restauração de tabela anterior para uma solicitação de restauração de nova tabela.Essa abordagem significa que você não precisa digitar novamente valores que serão iguais para diversasoperações de restauração da tabela.

Para copiar de uma solicitação de restauração de tabela anterior para uma operação derestauração de nova tabela:

1. Na guia Table restore, escolha um status de restauração da tabela existente.

2. Escolha Copy restore request.

Example Exemplo: restaurar uma tabela de um snapshot usando a AWS CLI

O exemplo a seguir usa o comando restore-table-from-cluster-snapshot da AWS CLI pararestaurar a tabela my-source-table do esquema sample-database no my-snapshot-id. O exemplorestaura o snapshot para o cluster mycluster-example com o nome de uma nova tabela my-new-table.

168

Amazon Redshift Guia de gerenciamento de clustersCompartilhar snapshots

aws redshift restore-table-from-cluster-snapshot --cluster-identifier mycluster-example --new-table-name my-new-table --snapshot-identifier my-snapshot-id --source-database-name sample-database --source-table-name my-source-table

Compartilhar snapshotsVocê pode compartilhar um snapshot manual existente com outras contas de clientes da AWS autorizandoo acesso ao snapshot. Você pode autorizar até 20 para cada snapshot e 100 para cada chave doAWS Key Management Service (AWS KMS). Ou seja, se tiver 10 snapshots criptografados com umaúnica chave KMS, você poderá autorizar 10 contas da AWS para restaurar cada snapshot ou outrascombinações que totalizam até 100 contas e não excedem 20 contas para cada snapshot. Uma pessoaconectada como um usuário em uma das contas autorizadas poderá descrever o snapshot ou restaurá-lo para criar um novo cluster do Amazon Redshift na conta. Por exemplo, se você usar contas de clienteda AWS separadas para produção e teste, um usuário poderá fazer login usando a conta de produção ecompartilhar um snapshot com usuários na conta de teste. Alguém conectado como um usuário da contade teste poderá restaurar o snapshot a fim de criar um novo cluster de propriedade da conta de teste parafins de teste ou trabalho de diagnóstico.

Um snapshot manual é propriedade permanente da conta de cliente da AWS em que foi criado. Somenteusuários na conta proprietária do snapshot podem autorizar outras contas a acessar o snapshot ou revogarautorizações. Os usuários nas contas autorizadas somente podem descrever ou restaurar qualquersnapshot que tenha sido compartilhado com eles; eles não podem copiar nem excluir snapshots quetenham sido compartilhadas com eles. Uma autorização permanecerá em vigor até o proprietário dosnapshot revogá-la. Se uma autorização for revogada, o usuário sido autorizado anteriormente perderáa visibilidade do snapshot e não poderá iniciar ações novas referenciando o snapshot. Se a conta estiverno processo de restauração do snapshot quando o acesso for revogado, a restauração será executadaaté ser concluída. Você não poderá excluir um snapshot enquanto ele tiver autorizações ativas; você deverevogar primeiramente todas as autorizações.

As contas de clientes da AWS estão sempre autorizadas para acessar snapshots de propriedade da conta.As tentativas de autorizar ou revogar acesso para a conta do proprietário receberão um erro. Você nãopode restaurar nem descrever um snapshot de propriedade de uma conta do cliente da AWS inativa.

Depois que você tiver autorizado o acesso a uma conta do cliente da AWS, nenhum usuário do IAMpoderá realizar ações no snapshot, a menos que tenham políticas do IAM que permita isso.

• Os usuários do IAM na conta de proprietário do snapshot podem autorizar e revogar acesso a umsnapshot somente se tiverem uma política IAM que permita realizar essas ações com uma especificaçãode recurso que inclua o snapshot. Por exemplo, a política a seguir permite que um usuário naconta da AWS 012345678912 autorize outras contas a acessarem um snapshot chamado my-snapshot20130829:

{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "redshift:AuthorizeSnapshotAccess", "redshift:RevokeSnapshotAccess" ], "Resource":[ "arn:aws:redshift:us-east-1:012345678912:snapshot:*/my-snapshot20130829" ] }

169

Amazon Redshift Guia de gerenciamento de clustersGerenciamento de snapshots usando o console

]}

• Os usuários do IAM em uma conta da AWS com a qual um snapshot foi compartilhado não poderãorealizar ações nesse snapshot, a menos que tenham políticas IAM que permitam estas ações:• Para listar ou descrever um snapshot, eles devem ter uma políticas IAM que permita a açãoDescribeClusterSnapshots. O seguinte código mostra um exemplo:

{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "redshift:DescribeClusterSnapshots" ], "Resource":[ "*" ] } ]}

• Para restaurar um snapshot, os usuários devem ter uma política IAM que permita a açãoRestoreFromClusterSnapshot e tenha um elemento de recurso que abranja tanto o cluster queestão tentando criar quanto o snapshot. Por exemplo, se um usuário na conta 012345678912 tiverum snapshot compartilhado my-snapshot20130829 com a conta 219876543210, para criar umcluster restaurando o snapshot, um usuário na conta 219876543210 deve ter uma política como aseguinte:

{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "redshift:RestoreFromClusterSnapshot" ], "Resource":[ "arn:aws:redshift:us-east-1:012345678912:snapshot:*/my-snapshot20130829", "arn:aws:redshift:us-east-1:219876543210:cluster:from-another-account" ] } ]}

• Depois que o acesso a um snapshot tiver sido removido de uma conta da AWS, nenhum usuárionessa conta poderá acessar o snapshot. Isso ocorre mesmo que eles tenham políticas do IAM quepermitam ações no recurso do snapshot compartilhado anteriormente.

Gerenciamento de snapshots usando o consoleO Amazon Redshift tira snapshots incrementais automáticos de seus dados periodicamente e os salvano Amazon S3. Além disso, você pode capturar snapshots manuais de seus dados sempre que desejar.Nesta seção, você pode ficar sabendo como gerenciar seus snapshots no console do Amazon Redshift.Para obter mais informações sobre snapshots, consulte Snapshots do Amazon Redshift (p. 159).

Todas as tarefas de snapshot no console do Amazon Redshift começam a partir da lista de snapshots.Você pode filtrar a lista usando um intervalo de tempo, o tipo de snapshot e o cluster associado ao

170

Amazon Redshift Guia de gerenciamento de clustersCriar uma programação de snapshot

snapshot. Além disso, você pode classificar a lista por data, tamanho e tipo de snapshot. Dependendo dotipo de snapshot selecionado, você terá diferentes opções disponíveis para trabalhar com o snapshot.

Tópicos• Criar uma programação de snapshot (p. 171)• Criação de um snapshot manual (p. 172)• Alterar o período de retenção do snapshot manual (p. 174)• Excluir snapshots manuais (p. 176)• Copiar um snapshot automatizado (p. 177)• Restauração de um cluster usando um snapshot (p. 178)• Compartilhamento de um snapshot de cluster (p. 181)• Configuração de cópia de snapshots entre regiões para um cluster não criptografado (p. 182)• Configurar cópia de snapshots entre regiões para um cluster criptografado pelo AWS KMS (p. 183)• Alteração do período de retenção para a cópia de snapshots entre regiões (p. 184)

Criar uma programação de snapshotPara controlar com precisão quando snapshots são tirados, você pode criar uma programação desnapshot e anexá-la a um ou mais clusters. Você pode anexar uma programação quando criar umcluster ou modificando o cluster. Para obter mais informações, consulte Programações de snapshotsautomatizados (p. 160).

Note


Novo console

Para criar uma programação de snapshot


2. No menu de navegação, escolha CLUSTERS, Snapshots e escolha a guia Snapshot schedules(Programações de snapshots). As programações de snapshots são exibidas.

3. Escolha Add schedule (Adicionar programação) para exibir a página para adicionar uma programação.4. Insira as propriedades da definição da programação e escolha Add schedule (Adicionar programação).5. Na página exibida, você pode anexar clusters à sua nova programação de snapshots e escolher OK.

Console original

Para criar uma programação de snapshot


2. No painel de navegação, selecione Snapshots.3. Selecione Snapshot Schedules (Programações de snapshots).4. Selecione Add Schedule (Adicionar programação).5. Em When do you want to take automated snapshots? (Quando você deseja tirar snapshots

automatizados?), selecione Configure custom automated snapshot rules (Configurar regras

171





Amazon Redshift Guia de gerenciamento de clustersCriação de um snapshot manual

personalizadas de snapshot automatizado?) e adicione uma ou mais regras. Ou escolha Take asnapshot every 8 hours (Tirar um snapshot a cada 8 horas) e especificar o número de horas.

6. Escolha Select a snapshot rule to add (Selecionar uma regra de snapshot para adicionar) e selecioneum modelo de regra na lista. Você pode adicionar várias regras.

7. Modifique os campos do modelo para personalizar sua programação.

8. Para visualizar a programação, selecione Preview schedule for all rules (Visualizar programação paratodas as regras).

9. Selecione Add Schedule (Adicionar programação).

Criação de um snapshot manualVocê pode criar um snapshot manual de um cluster a partir da lista de snapshots da forma a seguir. Ouentão, você pode gerar um snapshot de um cluster no painel de configuração do cluster. Para obter maisinformações, consulte Criar um snapshot de um cluster (p. 57).

Note


Novo console

Para criar um snapshot manual


2. No menu de navegação, escolha CLUSTERS, Snapshots e escolha a guia Create snapshot (Criarsnapshot). A página de snapshot para criação de um snapshot manual é exibida.

3. Insira as propriedades da definição do snapshot e escolha Create snapshot (Criar snapshot). Podelevar algum tempo para o snapshot estar disponível.

172



Amazon Redshift Guia de gerenciamento de clustersCriação de um snapshot manual

Console original

Para criar um snapshot manual


2. No painel de navegação, selecione Snapshots.3. Escolha Create Snapshot (Criar snapshot).4. Na caixa de diálogo Create Snapshot (Criar snapshot), faça o seguinte:

a. Na caixa Cluster identifier (Identificador do cluster), escolha o cluster para o qual deseja fazer osnapshot.

b. Na caixa Snapshot identifier (Identificador de snapshot), digite um nome para o snapshot.c. Em Snapshot retention period (Período de retenção de snapshot), insira o número de dias para

manter o snapshot. Para reter o snapshot indefinidamente, insira -1.

5. Escolha Criar.

O snapshot pode levar algum tempo para ser concluído. O novo snapshot é exibido na lista desnapshots com seu status atual. O seguinte exemplo mostra que snapshot-example está emprocesso de criação.

173



Amazon Redshift Guia de gerenciamento de clustersAlterar o período de retenção do snapshot manual

Alterar o período de retenção do snapshot manualÉ possível alterar o período de retenção do snapshot manual modificando as configurações do snapshot.

Note


Novo console

Para alterar o período de retenção do snapshot manual


2. No menu de navegação, escolha CLUSTERS, Snapshots e escolha o snapshot manual a ser alterado.3. Em Actions (Ações), escolha Manual snapshot settings (Configurações de snapshot manual) para

exibir as propriedades do snapshot manual.4. Insira as propriedades revisadas da definição do snapshot e escolha Save (Salvar).

174



Amazon Redshift Guia de gerenciamento de clustersAlterar o período de retenção do snapshot manual

Console original

Para alterar o período de retenção do snapshot manual


2. No painel de navegação, selecione Snapshots.

3. Para filtrar a lista para encontrar o snapshot que deseja copiar, realize uma ou todas as seguintesações:

• Na caixa Time Range (Período), selecione um período que restrinja sua pesquisa adequadamente.• Na caixa Type (Tipo), selecione manual.• Na caixa Cluster, selecione um nome de cluster para listar os snapshots de um único cluster ou

escolha All Clusters (Todos os clusters) para listar os snapshots de todos os clusters.• No campo Sort by (Classificar por), escolha como deseja que a lista seja ordenada.

4. Na lista de snapshots, selecione o snapshot que você deseja modificar.5. Escolha Manual Snapshot Settings (Configurações de snapshot manual).

6. Em Snapshot retention period (Período de retenção de snapshot), insira o número de dias para mantero snapshot. Para reter o snapshot indefinidamente, insira -1.

175



Amazon Redshift Guia de gerenciamento de clustersExcluir snapshots manuais


Excluir snapshots manuaisVocê pode excluir os snapshots manuais selecionando um ou mais snapshots na lista de snapshots.

Note


Novo console

Para excluir um snapshot manual


2. No menu de navegação, escolha CLUSTERS, Snapshots e escolha o snapshot a ser excluído.3. Em Actions (Ações), escolha Delete snapshot (Excluir snapshot) para excluir o snapshot.4. Confirme a exclusão dos snapshots listados e escolha Delete (Excluir).

Console original

Para excluir um snapshot manual


2. No painel de navegação, selecione Snapshots.3. Para filtrar a lista, realize uma ou todas as seguintes ações:

• Na caixa Time Range (Período), selecione um período que restrinja sua pesquisa adequadamente.• Na caixa Type (Tipo), selecione manual.• Na caixa Cluster, selecione um nome de cluster para listar os snapshots de um único cluster ou


4. Na lista de snapshots, selecione as linhas que contêm os snapshots que deseja excluir.5. Escolha Delete Manual Snapshot (Excluir snapshot manual).

176





Amazon Redshift Guia de gerenciamento de clustersCopiar um snapshot automatizado

6. Na caixa de diálogo Delete Manual Snapshot (Excluir snapshot manual), clique em Continue(Continuar).

Copiar um snapshot automatizadoSnapshots automatizados são excluídos automaticamente quando seus períodos de retenção expiram,quando você desabilita snapshots automatizados ou quando você exclui um cluster. Se você desejaarmazenar um snapshot automatizado, pode copiá-lo para um snapshot manual.

Note


Novo console

Para copiar um snapshot automatizado


2. No menu de navegação, escolha CLUSTERS, Snapshots e escolha o snapshot a ser copiado.3. Em Actions (Ações), escolha Copy automated snapshot (Copiar snapshot automatizado) para copiar o

snapshot.4. Atualize as propriedades do novo snapshot e escolha Copy (Copiar).

177




Console original

Para copiar um snapshot automatizado



• Na caixa Time Range (Período), selecione um período que restrinja sua pesquisa adequadamente.• Na caixa Type (Tipo), selecione automated (automatizado).• Na caixa Cluster, selecione um nome de cluster para listar os snapshots de um único cluster ou


4. Na lista de snapshots, selecione o snapshot que você deseja copiar.5. Escolha Copy Automated Snapshot (Copiar snapshot automatizado).6. Na caixa Snapshot Identifier (Identificador de snapshot) da caixa de diálogo Copy Automated

Snapshot (Copiar snapshot automatizado), insira um nome para a cópia de snapshot.7. Em Snapshot retention period (Período de retenção de snapshot), insira o número de dias para manter

o snapshot. Para reter o snapshot indefinidamente, insira -1.

8. Escolha Continue.

Restauração de um cluster usando um snapshotQuando você restaura um cluster a partir de um snapshot, o Amazon Redshift cria um novo cluster comtodos os dados do snapshot no novo cluster.

Note


Novo console

Para restaurar um cluster a partir de um snapshot


178






2. No menu de navegação, escolha CLUSTERS, Snapshots e escolha o snapshot a ser restaurado.3. Escolha Restore from snapshot (Restaurar de snapshot) para visualizar a Cluster configuration

(Configuração do cluster) e os valores de Cluster details (Detalhes do cluster) do novo cluster a sercriado usando as informações do snapshot.

4. Atualize as propriedades do novo cluster e escolha Restore cluster from snapshot (Restaurar clusterde snapshot).

Console originalNote

Você pode usar estas etapas para alterar a plataforma de um cluster de EC2-Classic para EC2-VPC e vice-versa.

Para restaurar um cluster a partir de um snapshot



• Na caixa Time Range (Período), selecione um período que restrinja sua pesquisa adequadamente.• Na caixa Type (Tipo), selecione manual ou automated (automatizado).• Na caixa Cluster, selecione um nome de cluster para listar os snapshots de um único cluster ou


4. Na lista de snapshots, selecione a linha que contém o snapshot que você deseja usar.5. Selecione Restore From Snapshot (Restaurar a partir de snapshot).

6. Na caixa de diálogo Restaurar cluster a partir de snapshot, siga um dos procedimentos abaixo:

a. Na caixa Identificador de cluster, digite um identificador de cluster para o cluster restaurado.

Os identificadores de cluster devem atender às seguintes condições:

• Devem conter de 1 a 255 caracteres alfanuméricos ou hífens.• Os caracteres alfabéticos devem ser minúsculos.• O primeiro caractere deve ser uma letra.• Não podem terminar com um hífen ou conter dois hífens consecutivos.• Devem ser exclusivos para todos os clusters de uma conta da AWS.

b. Na caixa Porta, aceite a porta do snapshot ou altere o valor conforme apropriado.c. Selecione Permitir atualização de versão conforme apropriado.

179




d. Em Grupo de sub-rede do cluster, selecione o grupo de sub-rede onde você deseja restaurar ocluster.

Essa opção aparece somente se você restaurar o cluster para a plataforma de EC2-VPC.e. Em Publicly Accessible (Acessível publicamente), selecione Yes (Sim) se desejar que o cluster

tenha um endereço IP público que possa ser acessado por meio de uma conexão pública àInternet. Selecione No (Não) se desejar que o cluster tenha um endereço IP privado que possaser acessado apenas pela VPC. Se sua conta da AWS permite que você crie clusters do EC2-Classic, o padrão é No (Não). Do contrário, o padrão é Sim.

Essa opção aparece somente se você restaurar o cluster para a plataforma de EC2-VPC.f. Em Escolher um endereço IP público, selecione Sim se você deseja selecionar um endereço

IP elástico (EIP) que você já tenha configurado. Do contrário, selecione No (Não) para que oAmazon Redshift crie um EIP para a instância.

Essa opção aparece somente se você restaurar o cluster para a plataforma de EC2-VPC.g. Em IP elástico, selecione um EIP que deseja usar para se conectar ao cluster de fora da VPC.

Essa opção aparece somente se você restaurar o cluster para a plataforma de EC2-VPC eselecionar Sim em Escolher um endereço IP público.

h. Na caixa Zona de disponibilidade, aceite a zona de disponibilidade do snapshot ou altere o valorconforme apropriado.

i. Em Parameter group de cluster, selecione um parameter group para associar ao cluster.j. Em Security groups de cluster ou Security groups de VPC, selecione um security group para

associar com o cluster. Os tipos de grupo de segurança que aparecem aqui dependem se vocêestá restaurando o cluster para a plataforma EC2-VPC ou EC2-Classic.

A opção para selecionar um grupo de segurança de cluster ou um grupo de segurança de VPCdepende se você restaura o cluster para a plataforma de EC2-VPC ou para a plataforma EC2-Classic.

k. Em Maintenance track (Acompanhamento de manutenção), é exibido o valor doacompanhamento de manutenção. Se preferir, em Change maintenance track to (Alteraracompanhamento de manutenção para), opte por restaurar o cluster usando um dosacompanhamentos de manutenção listados.

O seguinte é um exemplo de restauração de um snapshot em um cluster que usa a plataforma deEC2-VPC.

O seguinte é um exemplo de restauração de um snapshot em um cluster que usa a plataforma deEC2-Classic.

180

Amazon Redshift Guia de gerenciamento de clustersCompartilhamento de um snapshot de cluster

7. Escolha Restore.

Compartilhamento de um snapshot de clusterVocê pode autorizar outros usuários a acessar um snapshot manual que você possui e, mais tarde,revogar este acesso quando ele não for mais necessário.

Note


Novo console

Para compartilhar um snapshot com outra conta


2. No menu de navegação, escolha CLUSTERS, Snapshots e escolha o snapshot manual a sercompartilhado.

3. Em Actions (Ações), escolha Manual snapshot settings (Configurações de snapshot manual) paraexibir as propriedades do snapshot manual.

4. Insira a conta, ou contas, com a qual compartilhar na seção Manage access (Gerenciar o acesso) eescolha Save (Salvar).

Console original

Para compartilhar um snapshot de cluster


2. No painel de navegação, selecione Snapshots.3. Se você precisar filtrar a lista para encontrar o snapshot que você deseja compartilhar, realize uma ou

todas as seguintes ações:

• Na caixa Time Range (Período), selecione um período que restrinja sua pesquisa adequadamente.

181





Amazon Redshift Guia de gerenciamento de clustersConfiguração de cópia de snapshots entreregiões para um cluster não criptografado

• Na caixa Cluster, selecione o cluster cujo snapshot você deseja compartilhar.4. Na lista de snapshots, selecione a linha que contém o snapshot que você deseja usar.5. Selecione Manage Access (Gerenciar acesso).6. Na caixa de diálogo Gerenciar acesso a snapshots, você pode autorizar um usuário a acessar o

snapshot ou revogar um acesso previamente autorizado.

• Para autorizar um usuário a acessar o snapshot, digite o ID de 12 dígitos da conta da AWS desseusuário na caixa (omita os traços) e selecione Add Account (Adicionar conta).

• Para revogar a autorização de um usuário, selecione X ao lado do ID de conta da AWS do usuário.

7. Selecione Save (Salvar) para salvar suas alterações ou em Cancel (Cancelar) para reverter asalterações.

Configuração de cópia de snapshots entre regiõespara um cluster não criptografadoVocê pode configurar o Amazon Redshift para copiar snapshots de um cluster em outra região da AWS.Para configurar a cópia de snapshots entre regiões, é necessário habilitar esse recurso de cópia paracada cluster e configurar onde copiar os snapshots e por quanto tempo armazenar as cópias de snapshotsautomatizados na região da AWS de destino. Quando a cópia entre regiões está habilitada para umcluster, todos os snapshots manuais e automatizados são copiados para a região da AWS especificada.Os nomes dos snapshots copiados são prefixados com copy:.

Note


Novo console

Como configurar um snapshot entre regiões


2. No menu de navegação, escolha CLUSTERS e escolha o cluster do qual você deseja moversnapshots.

3. Em Actions (Ações), escolha Configure cross-region snapshot (Configurar snapshot entre regiões)para exibir a página de configuração.

4. Insira as propriedades da nova configuração e escolha Save (Salvar).

182



Amazon Redshift Guia de gerenciamento de clustersConfigurar cópia de snapshots entre regiõespara um cluster criptografado pelo AWS KMS

Console original

Como configurar a cópia de snapshots entre regiões para um cluster não criptografado


2. No painel de navegação, escolha Clusters.3. Selecione Backup e depois Configure Cross-Region Snapshots (Configurar snapshots entre regiões).4. Na caixa de diálogo Configurar snapshots entre regiões, para Copiar snapshots, selecione Sim.5. Em Destination Region (Região de destino), escolha a região da AWS na qual copiar os snapshots.6. Em Retention Period (days) (Período de retenção (dias)), escolha o número de dias que você

deseja que os snapshots automatizados sejam retidos na região da AWS de destino antes de seremexcluídos.


Configurar cópia de snapshots entre regiões para umcluster criptografado pelo AWS KMSAo executar um cluster do Amazon Redshift, você pode optar por criptografá-lo com uma chave mestra doAWS Key Management Service (AWS KMS). As chaves do AWS KMS são específicas de uma região daAWS. Para habilitar a cópia de snapshots entre regiões para um cluster criptografado pelo AWS KMS énecessário configurar uma concessão de cópia de snapshot para uma chave mestra na região da AWS dedestino. Fazendo isso, você habilita o Amazon Redshift a executar operações de criptografia na região daAWS de destino.

O procedimento a seguir descreve o processo de habilitação de cópia de snapshot entre regiões para umcluster criptografado pelo AWS KMS. Para obter mais informações sobre criptografia no Amazon Redshifte permissões de cópia de snapshot, consulte Copiar snapshots criptografados pelo AWS KMS para outraregião da AWS (p. 204).

Note


Novo console

Como configurar um snapshot entre regiões para um cluster criptografado pelo AWS KMS



3. Em Actions (Ações), escolha Configure cross-region snapshot (Configurar snapshot entre regiões)para exibir a página de configuração.

4. Insira as propriedades da nova configuração e escolha Save (Salvar).

Console original

Como configurar a cópia de snapshots entre regiões para um cluster criptografado pelo AWS KMS

1. Abra o console do Amazon Redshift em https://console.aws.amazon.com/redshift/.

183






Amazon Redshift Guia de gerenciamento de clustersAlteração do período de retenção para

a cópia de snapshots entre regiões

2. No painel de navegação, escolha Clusters.3. Na lista de clusters, selecione um nome de cluster para acessar a exibição das Configurações para o

cluster.4. Selecione Backup e depois Configure Cross-Region Snapshots (Configurar snapshots entre regiões).5. Na caixa de diálogo Configurar snapshots entre regiões, para Copiar snapshots, selecione Sim.6. Em Destination Region (Região de destino), escolha a região da AWS na qual copiar os snapshots.7. Em Retention Period (days) (Período de retenção (dias)), escolha o número de dias que você

deseja que os snapshots automatizados sejam retidos na região da AWS de destino antes de seremexcluídos.

8. Para Permissão de cópia de snapshot existente, realize uma das seguintes ações:

a. Selecione não para criar uma nova permissão de cópia de snapshot. Para KMS Key (ChaveKMS), selecione a chave do AWS KMS para a qual criar a permissão e digite um nome emSnapshot Copy Grant Name (Nome da permissão de cópia de snapshot).

b. Selecione Yes (Sim) para escolher uma concessão de cópia de snapshots existentes da região daAWS de destino. Então, selecione uma permissão a partir de Permissão de cópia de snapshot.


Alteração do período de retenção para a cópia desnapshots entre regiõesApós configurar uma cópia de snapshot entre regiões, talvez você queira alterar as configurações. Vocêpode, facilmente, alterar o período de retenção selecionando um novo número de dias e salvando asalterações.

Warning

Não é possível modificar a região da AWS de destino após a configuração da cópia de snapshotsentre regiões.Para copiar snapshots para uma região da AWS diferente, primeiro desabilite a cópia desnapshots entre regiões. Depois, reabilite-a com uma nova região da AWS de destino e um novoperíodo de retenção. Todos os snapshots automatizados são excluídos depois que você desabilitaa cópia de snapshots entre regiões. Portanto, você deve determinar se há algum que você queiramanter e copiá-los para snapshots manuais antes de desabilitar a cópia de snapshots entreregiões.

Note


Novo console

Como modificar um snapshot entre regiões


2. No menu de navegação, escolha CLUSTERS e escolha o cluster do qual você deseja modificarsnapshots.

3. Em Actions (Ações), escolha Configure cross-region snapshot (Configurar snapshot entre regiões)para exibir as propriedades do snapshot.

4. Insira as propriedades revisadas da definição do snapshot e escolha Save (Salvar).

184



Amazon Redshift Guia de gerenciamento de clustersGerenciamento de snapshots usando o AWS SDK para Java

Console original

Para modificar o período de retenção para snapshots copiados para um cluster de destino


2. No painel de navegação, escolha Clusters.3. Selecione Backup e depois Configure Cross Region Snapshots (Configurar snapshots entre regiões).4. Na caixa Retention Period (Período de retenção), selecione o novo número de dias que você deseja

que os snapshots automatizados sejam retidos na região da AWS de destino.

Se você selecionar um número menor de dias para reter snapshots na região da AWS de destino,todos os snapshots automatizados que foram obtidos antes do novo período de retenção serãoexcluídos. Se você selecionar um número maior de dias para reter snapshots na região da AWS dedestino, o período de retenção de snapshots automatizados existentes será estendido. Ele é estendidode acordo com a diferença entre o valor antigo e o novo.

5. Escolha Save Configuration (Salvar configuração).

Gerenciamento de snapshots usando o AWS SDKpara Java

Este exemplo demonstra as seguintes operações comuns que envolvem um snapshot:

• Criação de um snapshot manual de um cluster.• Exibição de informações sobre todos os snapshots de um cluster.• Exclusão dos snapshots manuais de um cluster.

Neste exemplo, um snapshot de cluster é iniciado. Quando o snapshot é criado com êxito, todos ossnapshots manuais do cluster que foram criados antes do novo snapshot são excluídos. Quando oprocesso de criação do snapshot manual é iniciado, o snapshot não fica disponível imediatamente.Portanto, este exemplo usa um loop para consultar o status do snapshot chamando o métododescribeClusterSnapshot. Normalmente, o snapshot deve se tornar disponível após algunsmomentos a partir da iniciação. Para obter mais informações sobre snapshots, consulte Snapshots doAmazon Redshift (p. 159).

Para obter instruções detalhadas sobre como executar o exemplo a seguir, consulte Execução deexemplos de Java para o Amazon Redshift usando o Eclipse (p. 317). Você precisa atualizar o código efornecer um identificador de cluster.

Example

/** * Copyright 2010-2019 Amazon.com, Inc. or its affiliates. All Rights Reserved. * * This file is licensed under the Apache License, Version 2.0 (the "License"). * You may not use this file except in compliance with the License. A copy of * the License is located at * * http://aws.amazon.com/apache2.0/ * * This file is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR * CONDITIONS OF ANY KIND, either express or implied. See the License for the * specific language governing permissions and limitations under the License.

185



Amazon Redshift Guia de gerenciamento de clustersGerenciamento de snapshots usando o AWS SDK para Java

*/

// snippet-sourcedescription:[CreateAndDescribeSnapshot demonstrates how to create an Amazon Redshift cluster snapshot and describe existing snapshots.]// snippet-service:[redshift]// snippet-keyword:[Java]// snippet-keyword:[Amazon Redshift]// snippet-keyword:[Code Sample]// snippet-keyword:[CreateClusterSnapshot]// snippet-keyword:[DeleteClusterSnapshot]// snippet-keyword:[DescribeClusterSnapshots]// snippet-sourcetype:[full-example]// snippet-sourcedate:[2019-01-30]// snippet-sourceauthor:[AWS]// snippet-start:[redshift.java.CreateAndDescribeSnapshot.complete]


import java.io.IOException;import java.text.SimpleDateFormat;import java.util.Date;


public class CreateAndDescribeSnapshot {

public static AmazonRedshift client; public static String clusterIdentifier = "***provide a cluster identifier***"; public static long sleepTime = 20;



try { // Unique snapshot identifier String snapshotId = "my-snapshot-" + (new SimpleDateFormat("yyyy-MM-dd-HH-mm-ss")).format(new Date());

Date createDate = createManualSnapshot(snapshotId); waitForSnapshotAvailable(snapshotId); describeSnapshots(); deleteManualSnapshotsBefore(createDate); describeSnapshots();

} catch (Exception e) { System.err.println("Operation failed: " + e.getMessage()); } }

private static Date createManualSnapshot(String snapshotId) {

CreateClusterSnapshotRequest request = new CreateClusterSnapshotRequest() .withClusterIdentifier(clusterIdentifier) .withSnapshotIdentifier(snapshotId); Snapshot snapshot = client.createClusterSnapshot(request); System.out.format("Created cluster snapshot: %s\n", snapshotId); return snapshot.getSnapshotCreateTime(); }

private static void describeSnapshots() {

DescribeClusterSnapshotsRequest request = new DescribeClusterSnapshotsRequest() .withClusterIdentifier(clusterIdentifier);

186

Amazon Redshift Guia de gerenciamento de clustersGerenciar snapshots usando a

CLI e a API do Amazon Redshift

DescribeClusterSnapshotsResult result = client.describeClusterSnapshots(request);

printResultSnapshots(result); }

private static void deleteManualSnapshotsBefore(Date creationDate) {

DescribeClusterSnapshotsRequest request = new DescribeClusterSnapshotsRequest() .withEndTime(creationDate) .withClusterIdentifier(clusterIdentifier) .withSnapshotType("manual");

DescribeClusterSnapshotsResult result = client.describeClusterSnapshots(request);

for (Snapshot s : result.getSnapshots()) { DeleteClusterSnapshotRequest deleteRequest = new DeleteClusterSnapshotRequest() .withSnapshotIdentifier(s.getSnapshotIdentifier()); Snapshot deleteResult = client.deleteClusterSnapshot(deleteRequest); System.out.format("Deleted snapshot %s\n", deleteResult.getSnapshotIdentifier()); } }

private static void printResultSnapshots(DescribeClusterSnapshotsResult result) { System.out.println("\nSnapshot listing:"); for (Snapshot snapshot : result.getSnapshots()) { System.out.format("Identifier: %s\n", snapshot.getSnapshotIdentifier()); System.out.format("Snapshot type: %s\n", snapshot.getSnapshotType()); System.out.format("Snapshot create time: %s\n", snapshot.getSnapshotCreateTime()); System.out.format("Snapshot status: %s\n\n", snapshot.getStatus()); } }

private static Boolean waitForSnapshotAvailable(String snapshotId) throws InterruptedException { Boolean snapshotAvailable = false; System.out.println("Wating for snapshot to become available."); while (!snapshotAvailable) { DescribeClusterSnapshotsResult result = client.describeClusterSnapshots(new DescribeClusterSnapshotsRequest() .withSnapshotIdentifier(snapshotId)); String status = (result.getSnapshots()).get(0).getStatus(); if (status.equalsIgnoreCase("available")) { snapshotAvailable = true; } else { System.out.print("."); Thread.sleep(sleepTime*1000); } } return snapshotAvailable; }

}// snippet-end:[redshift.java.CreateAndDescribeSnapshot.complete]

Gerenciar snapshots usando a CLI e a API doAmazon Redshift

Você pode usar as operações da CLI do Amazon Redshift a seguir para gerenciar snapshots.

187

Amazon Redshift Guia de gerenciamento de clustersGerenciar snapshots usando a

CLI e a API do Amazon Redshift

• authorize-snapshot-access• copy-cluster-snapshot• create-cluster-snapshot• delete-cluster-snapshot• describe-cluster-snapshots• disable-snapshot-copy• enable-snapshot-copy• modify-snapshot-copy-retention-period• restore-from-cluster-snapshot• revoke-snapshot-access

Você pode usar as ações da API do Amazon Redshift a seguir para gerenciar snapshots.

• AuthorizeSnapshotAccess• CopyClusterSnapshot• CreateClusterSnapshot• DeleteClusterSnapshot• DescribeClusterSnapshots• DisableSnapshotCopy• EnableSnapshotCopy• ModifySnapshotCopyRetentionPeriod• RestoreFromClusterSnapshot• RevokeSnapshotAccess

Para obter mais informações sobre snapshots do Amazon Redshift, consulte Snapshots do AmazonRedshift (p. 159).

188

https://docs.aws.amazon.com/cli/latest/reference/redshift/authorize-snapshot-access.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/copy-cluster-snapshot.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/create-cluster-snapshot.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-cluster-snapshot.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-cluster-snapshots.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/disable-snapshot-copy.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/enable-snapshot-copy.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/modify-snapshot-copy-retention-period.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/restore-from-cluster-snapshot.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/revoke-snapshot-access.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_AuthorizeSnapshotAccess.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CopyClusterSnapshot.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateClusterSnapshot.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteClusterSnapshot.html


https://docs.aws.amazon.com/redshift/latest/APIReference/API_DisableSnapshotCopy.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_EnableSnapshotCopy.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifySnapshotCopyRetentionPeriod.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_RestoreFromClusterSnapshot.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_RevokeSnapshotAccess.html


Compra de nós reservados doAmazon Redshift

Visão geralNa AWS, as cobranças que você acumula pela utilização do Amazon Redshift são baseadas em nós decomputação. Cada nó de computação é faturado por uma taxa horária. A taxa horária varia de acordocom fatores como a região, o tipo de nó e se é possível ou não aplicar ao nó as definições de preços sobdemanda ou de preços de nós reservados.

A definição de preços de nós sob demanda é a opção mais cara, porém é a opção mais flexível noAmazon Redshift. Com as taxas sob demanda, você é cobrado somente pelos nós de computação quepossui em um cluster em execução. Se você fechar ou excluir um cluster, não será mais cobrado pelos nósde computação que estavam nesse cluster. Você é cobrado apenas pelos nós de computação que usa, enada além disso. A taxa horária cobrada para cada nó de computação varia de acordo com fatores como aregião e o tipo do nó.

A definição de preço dos nós reservados é menos cara do que a definição de preços sob demanda, poisos nós de computação são faturados por uma taxa horária com desconto. No entanto, para receber essastaxas com desconto, você precisa comprar as ofertas de nós reservados. Quando você compra uma oferta,faz uma reserva. O ato da reserva define uma taxa com desconto para cada nó que você reserva para aduração da reserva. A taxa com desconto em uma oferta varia de acordo com fatores como região, tipo denó, duração e opção de pagamento.

É possível designar um nó como um nó reservado chamando a operação de APIPurchaseReservedNodeOffering ou escolhendo Purchase reserved nodes (Comprar nós reservados)no console do Amazon Redshift. Ao comprar um nó reservado, é necessário especificar uma região daAWS, um tipo de nó, um período de vigência, uma quantidade de nós e um tipo de oferta para o tipo de nóreservado aplicável. O nó reservado só pode ser usado na região da AWS designada.

Este tópico discute as ofertas de nós reservados e como você pode comprá-los os para reduzir seuscustos de execução de clusters no Amazon Redshift. Este tópico discute as taxas de maneira geral,por exemplo, taxas sob demanda ou com desconto, para que você possa compreender os conceitos dedefinição de preços e como a definição de preços afeta o faturamento. Para obter mais informações sobretaxas específicas, consulte Definição de preço do Amazon Redshift.

Sobre as ofertas de nós reservadosSe você pretende manter seu cluster do Amazon Redshift em execução continuamente durante umperíodo prolongado, deve considerar a compra de ofertas de nós reservados. Essas ofertas representamuma economia significativa em relação aos preços cobrados sob demanda, mas exigem que você reservenós de computação e se comprometa a pagar por eles por um período de um ou três anos.

A reserva de nós é um conceito de faturamento usado estritamente para determinar a taxa que é cobradapelos nós. Reservar um nó não cria de fato nenhum nó para você. Você é cobrado pelos nós reservadosindependentemente do uso, o que significa que é preciso pagar por cada nó reservado pelo período deduração da reserva, não importando se você tem ou não algum nó em um cluster em execução ao qual ataxa com desconto se aplica.

189


Amazon Redshift Guia de gerenciamento de clustersComparação das definições de preço

entre as ofertas de nós reservados

Na fase de avaliação do seu projeto, ou quando você está desenvolvendo uma prova de conceito, adefinição de preço sob demanda proporciona a flexibilidade de pagamento conforme o uso, ou seja, depagar somente pelo que você usa, e de parar de pagar a qualquer momento, ao desligar ou excluir osclusters. Depois de estabelecer as necessidades de seu ambiente de produção e ao iniciar a fase deimplementação, você deve considerar a reserva de nós de computação e a compra de uma ou mais oferta.

Um oferta pode se referir a um ou mais nós de computação. Você especifica o número de nós decomputação a serem reservados quando compra a oferta. Você pode optar por comprar uma oferta comvários nós de computação ou pode preferir comprar várias ofertas e especificar um determinado númerode nós de computação em cada oferta.

Como exemplo, veja a seguir algumas maneiras válidas de comprar uma oferta para três nós decomputação:

• Compre uma oferta e especifique três nós de computação.• Compre duas ofertas e especifique um nó de computação para a primeira oferta e dois nós de

computação para a segunda oferta.• Compre três ofertas e especifique um nó de computação para cada uma das ofertas.

Comparação das definições de preço entre as ofertasde nós reservadosO Amazon Redshift fornece várias opções de pagamento para as ofertas. A opção de pagamento que vocêescolhe influencia a programação dos pagamentos e a taxa com desconto que é cobrada pela reserva.Quanto mais você paga adiantado pela reserva, mais você economiza no valor total.

As opções de pagamento disponíveis para as ofertas são apresentadas a seguir. As ofertas estãorelacionadas na ordem de menor para maior economia em relação às taxas sob demanda.

Note

Será cobrada a taxa horária aplicável por cada hora pelo período de duração específicoda reserva, independente de você usar o nó reservado ou não. A opção de pagamentoapenas determina a frequência dos pagamentos e o desconto a ser aplicado. Para obter maisinformações, consulte Sobre as ofertas de nós reservados (p. 189).

Comparação de ofertas de nós reservados

Opção depagamento

Programação depagamentos

Economiascomparativas

Duração Cobrançasadiantadas

Cobrançasmensaisrecorrentes

Sem taxasiniciais

Prestações mensaispelo período deduração da reserva.Nenhum pagamentoadiantado.

Um desconto de cercade 20 por cento emrelação às taxas sobdemanda.

Período devigência deum ano

Nenhum Sim

Adiantadoparcial

Pagamento adiantadoparcial e prestaçõesmensais pelo períodode duração da reserva.

Desconto entre41 e 73 por centodependendo doperíodo de duração.

Período devigência deum ou trêsanos

Sim Sim

Adiantadointegral

Pagamento totaladiantado para a

Desconto entre42 e 76 por cento,

Período devigência de

Sim Nenhum

190

Amazon Redshift Guia de gerenciamento de clustersComo os nós reservados funcionam

Opção depagamento

Programação depagamentos

Economiascomparativas

Duração Cobrançasadiantadas

Cobrançasmensaisrecorrentes

reserva. Nenhumacobrança mensal.

dependendo doperíodo de duração.

um ou trêsanos

Note

Se você comprou anteriormente ofertas de Heavy Utilization para o Amazon Redshift, a ofertacomparável é a Partial Upfront.

Como os nós reservados funcionamCom as ofertas de nós reservados, você paga de acordo com os termos de pagamento descritos na seçãoanterior. Você paga dessa maneira quer você já tenha um cluster em execução, quer você execute umcluster depois de fazer uma reserva.

Quando você compra uma oferta, sua reserva fica em status payment-pending até que a reserva sejaprocessada. Se o processamento da reserva falhar, o status exibido será payment-failed e você poderátentar processá-lo novamente. Uma vez que sua reserva seja processada com êxito, o status muda paraactive. A taxa com desconto aplicável para a reserva não é aplicada à sua fatura até que o status sejaalterado para active. Após o fim do período de duração da reserva, o status é alterado para retired, masvocê pode continuar a acessar as informações sobre a reserva para acompanhar o histórico. Quando umareserva é retired, seus clusters continuam a ser executados mas você pode ser cobrado pela taxa sobdemanda, a menos que possua uma outra reserva que aplique a definição de preços com desconto paraos nós.

Os nós reservados são específicos da região na qual você compra a oferta. Se você está comprando umaoferta usando o console do Amazon Redshift, selecione a região da AWS na qual deseja comprar a ofertae, em seguida, conclua o processo de reserva. Se você está comprando uma oferta usando um programa,a região é determinada pelo endpoint do Amazon Redshift ao qual você está conectado. Para informaçõessobre regiões do Amazon Redshift, consulte Regions e Endpoints, no Referência geral do Amazon WebServices.

Para garantir que a taxa com desconto seja aplicada a todos os nós quando você executa um cluster,certifique-se de que a região, o tipo do nó e o número de nós selecionados correspondam a uma ou maisreservas ativas. Caso contrário, os nós que não corresponderem a uma reserva ativa serão cobrados pelataxa sob demanda.

Para um cluster em execução, se você ultrapassar o número de nós que reservou, começará a acumularcobranças pelos nós adicionais pela taxa sob demanda. Essa acumulação significa que é possívelque você seja cobrado com taxas diferentes para nós no mesmo cluster, dependendo de quantos nósreservou. Você pode comprar uma outra oferta para cobrir os nós adicionais e, dessa forma, a taxa comdesconto será aplicada a esses nós pelo restante do período de duração, uma vez que o status da reservase torne active.

Se você redimensionar seu cluster para um tipo de nó diferente e não tiver reservado nós daquele tipo,será cobrado pela taxa sob demanda. Você pode comprar uma outra oferta com o novo tipo de nó sedesejar receber taxas com desconto para o seu cluster redimensionado. Contudo, você também continuarápagando pela reserva original até que o período de duração termine. Se você precisar modificar suasreservas antes que o prazo expire, crie um caso de suporte usando o Console da AWS.

Nós reservados e faturamento consolidadoOs benefícios da definição de preços dos nós reservados são compartilhados quando a conta que faza compra é parte de um conjunto de contas que são faturadas sob uma conta pagante de faturamento

191


https://console.aws.amazon.com/support/home

Amazon Redshift Guia de gerenciamento de clustersExemplos de nós reservados

consolidado. A utilização por hora em todas as subcontas é agregada todo mês na conta pagante. Emgeral, isso é útil para empresas em que há equipes ou grupos funcionais diferentes; dessa forma, alógica usual dos nós reservados é aplicada para calcular a conta. Para obter mais informações, consulteFaturamento consolidado, no Guia do usuário do AWS Billing and Cost Management.

Exemplos de nós reservadosOs cenários nesta seção demonstram como os nós acumulam as cobranças com base nas taxas sobdemanda e nas taxas com desconto, usando os seguintes detalhes de reserva:

• Região: Oeste dos EUA (Oregon)• Tipo de nó: ds2.xlarge• Opção de pagamento: nenhum pagamento adiantado• Duração: um ano• Número de nós reservados: 16

Exemplo 1Você tem um cluster ds2.xlarge na região Oeste dos EUA (Oregon) com 20 nós.

Neste cenário, 16 nós recebem a taxa com o desconto da reserva, mas os 4 nós adicionais no cluster sãofaturados pela taxa sob demanda.

Exemplo 2Você tem um cluster ds2.xlarge na região Oeste dos EUA (Oregon) com 12 nós.

Neste cenário, todos os 12 nós no cluster recebem a taxa com desconto da reserva. Contudo, vocêtambém paga pelos demais nós reservados na reserva, mesmo que não tenha no momento um cluster emexecução ao qual eles se aplicam.

Exemplo 3Você tem um cluster ds2.xlarge na região Oeste dos EUA (Oregon) com 12 nós. Depois de vários mesesexecutando o cluster com essa configuração, é preciso adicionar nós ao cluster. Você redimensiona ocluster, escolhendo o mesmo tipo de nó e especificando um total de 16 nós.

Neste cenário, a cobrança é feita pela taxa com desconto para os 16 nós. Sua cobrança permanece amesma durante um ano completo, pois o número de nós existentes no cluster é igual ao número de nósreservados.

Exemplo 4Você tem um cluster ds2.xlarge na região Oeste dos EUA (Oregon) com 16 nós. Depois de vários mesesexecutando o cluster com essa configuração, é preciso adicionar nós. Você redimensiona o cluster,escolhendo o mesmo tipo de nó e especificando um total de 20 nós.

Neste cenário, a cobrança é feita pela taxa com desconto para todos os nós antes do redimensionamento.Após o redimensionamento, você é cobrado pela taxa com desconto para os 16 nós no restante do ano e écobrado pela taxa sob demanda para os 4 nós adicionais que adicionou ao cluster.

Exemplo 5Você tem dois clusters ds2.xlarge na região Oeste dos EUA (Oregon). Um dos clusters tem 6 nós e o outrotem 10 nós.

192

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html

Amazon Redshift Guia de gerenciamento de clustersComprar uma oferta de nó reservados com o console

Neste cenário, a cobrança é feita pela taxa com desconto para todos os nós, pois o número total de nósem ambos os clusters é igual ao número de nós reservados.

Exemplo 6Você tem dois clusters ds2.xlarge na região Oeste dos EUA (Oregon). Um dos clusters tem 4 nós e o outrotem 6 nós.

Neste cenário, você é cobrado pela taxa com desconto para os 10 nós que possui nos clusters que estãoem execução e também paga a taxa com desconto para os 6 nós adicionais que reservou, mesmo que nãotenha no momento nenhum cluster em execução ao qual eles se aplicam.

Comprar uma oferta de nó reservados com oconsole do Amazon Redshift

Você usa a página Reserved Nodes (Nós reservados) no console do Amazon Redshift para comprarofertas de nó reservado e exibir reservas anteriores e atuais.

Depois de comprar uma oferta, a lista Reserved Node exibirá as reservas e os detalhes de cada uma,como o tipo de nó, o número de nós e o status da reserva. Para obter mais informações sobre os detalhesda reserva, consulte Como os nós reservados funcionam (p. 191).

Note


Novo consolePara comprar um nó reservado


2. No menu de navegação, escolha CLUSTERS e Reserved nodes (Nós reservados) para exibir a listade nós reservados.

3. Escolha Purchase reserved nodes (Comprar nós reservados) para exibir a página para escolher aspropriedades do nó que você deseja comprar.

4. Insira as propriedades do nó e escolha Purchase reserved nodes (Comprar nós reservados).

Console originalPara comprar uma oferta de nó reservado


2. No painel de navegação, selecione Reserved Nodes.3. Escolha Purchase Reserved Nodes.4. No assistente Purchase Reserved Nodes, selecione Node Type, Term e Offering Type.

193






5. Para Number of Nodes, digite o número de nós a serem reservados.6. Escolha Continue.7. Examine os detalhes da oferta e escolha Purchase.

8. Na página Reserved Nodes, a reserva exibe a lista de reservas com um status payment-pending.

Note


Novo consolePara atualizar um nó reservado, use o Original Console (Console original) ou a AWS CLI.

194


Console original

Atualizar um nó reservado de DC1 para DC2

É possível atualizar os nós reservados DC1 para nós DC2 para o restante do seu período de vigência atualsem custos. O DC2 foi projetado para cargas de trabalho de data warehouse complexa que exigem baixalatência e altas taxas de transferência.

Pré-requisitos

Migre o cluster que inclui o nó que você planeja atualizar antes de atualizar os nós reservados. Para migraro cluster DC1 para DC2, use a operação de redimensionamento ou restauração. Se o cluster for um clusterDC1.large, será possível restaurar para um novo cluster DC2.large usando um snapshot existente. Se ocluster for um cluster DC1.8xlage, será possível redimensioná-lo para que seja um cluster de DC2.8xlarge.Verifique se o cluster DC1 está desativado antes de atualizar os nós reservados. O cluster DC2 acumulauma definição de preço sob demanda até que os nós reservados DC1 sejam atualizados.

Para obter mais informações sobre a restauração a partir de um snapshot, consulte Snapshots do AmazonRedshift (p. 159). Para obter mais informações sobre o redimensionamento de um cluster, consulteRedimensionar clusters no Amazon Redshift (p. 22).

Para atualizar a reserva de um nó reservado


2. No painel de navegação, escolha Reserved Nodes (Nós reservados).3. Selecione o nó reservado DC1 que deseja atualizar.4. Revise os detalhes na caixa de diálogo Upgrade reserved node (Atualizar nó reservado) e selecione

Upgrade (Atualizar).

195



Amazon Redshift Guia de gerenciamento de clustersAtualizar nós reservados com a AWS CLI

Atualizar nós reservados com a AWS CLIPara atualizar a reserva de um nó reservado com a AWS CLI

1. Obtenha uma lista de ReservedNodeOfferingID para ofertas que atendem aos seus requisitos de tipode pagamento, período de vigência e cobranças. O exemplo a seguir essa etapa.

aws redshift get-reserved-node-exchange-offerings --reserved-node-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx{ "ReservedNodeOfferings": [ { "Duration": 31536000, "ReservedNodeOfferingId": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy", "UsagePrice": 0.0, "NodeType": "dc2.large", "RecurringCharges": [ { "RecurringChargeFrequency": "Hourly", "RecurringChargeAmount": 0.2 } ], "CurrencyCode": "USD",

196

Amazon Redshift Guia de gerenciamento de clustersComprar uma oferta de nó reservado usando Java

"OfferingType": "No Upfront", "ReservedNodeOfferingType": "Regular", "FixedPrice": 0.0 } ]}

2. Chame accept-reserved-node-exchange e forneça o ID do nó reservado DC1 que deseja trocarcom o ReservedNodeOfferingID obtido na etapa anterior.

O exemplo a seguir essa etapa.

aws redshift accept-reserved-node-exchange --reserved-node-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --target-reserved-node-offering-id yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyyy{ "ExchangedReservedNode": { "UsagePrice": 0.0, "OfferingType": "No Upfront", "State": "exchanging", "FixedPrice": 0.0, "CurrencyCode": "USD", "ReservedNodeId": "zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz", "NodeType": "dc2.large", "NodeCount": 1, "RecurringCharges": [ { "RecurringChargeFrequency": "Hourly", "RecurringChargeAmount": 0.2 } ], "ReservedNodeOfferingType": "Regular", "StartTime": "2018-06-27T18:02:58Z", "ReservedNodeOfferingId": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyyy", "Duration": 31536000 }}

É possível confirmar que a troca foi concluída chamando describe-reserved-nodes e verificando o valor deNode type.

Comprar uma oferta de nó reservado usando oAWS SDK para Java

O exemplo a seguir demonstra como usar o AWS SDK para Java a fim de fazer o seguinte:

• Listar nós reservados existentes.• Procurar uma nova oferta de nó reservada com base em critérios de nó especificados.• Comprar um nó reservado.

Este exemplo primeiro seleciona todas as ofertas de nó reservadas correspondentes a um tipo de nóespecificado e um valor de preço fixo. Em seguida, este exemplo passa pela oferta encontrada e permitecomprar a oferta.

197

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-reserved-nodes.html


Important

Se executar esse exemplo e aceitar a oferta para comprar uma opção de nó reservada, você serácobrado pela oferta.

Para obter instruções passo a passo a fim de executar esse exemplo, consulte Execução de exemplos deJava para o Amazon Redshift usando o Eclipse (p. 317). Para obter informações sobre um tipo de nó eum preço fixo além do listado, atualize o código e informe esse tipo de nó e esse preço fixo.

Example


// snippet-sourcedescription:[ListAndPurchaseReservedNodeOffering demonstrates how to list and purchase Amazon Redshift reserved node offerings.]// snippet-service:[redshift]// snippet-keyword:[Java]// snippet-keyword:[Amazon Redshift]// snippet-keyword:[Code Sample]// snippet-keyword:[DescribeReservedNodeOfferings]// snippet-keyword:[PurchaseReservedNodeOffering]// snippet-keyword:[ReservedNode]// snippet-sourcetype:[full-example]// snippet-sourcedate:[2019-01-31]// snippet-sourceauthor:[AWS]// snippet-start:[redshift.java.ListAndPurchaseReservedNodeOffering.complete]


import java.io.DataInput;import java.io.DataInputStream;import java.io.IOException;import java.util.ArrayList;


public class ListAndPurchaseReservedNodeOffering {

public static AmazonRedshift client; public static String nodeTypeToPurchase = "dc2.large"; public static Double fixedPriceLimit = 10000.00; public static ArrayList<ReservedNodeOffering> matchingNodes = new ArrayList<ReservedNodeOffering>();



try { listReservedNodes();

198


findReservedNodeOffer(); purchaseReservedNodeOffer();

} catch (Exception e) { System.err.println("Operation failed: " + e.getMessage()); } }

private static void listReservedNodes() { DescribeReservedNodesResult result = client.describeReservedNodes(); System.out.println("Listing nodes already purchased."); for (ReservedNode node : result.getReservedNodes()) { printReservedNodeDetails(node); } }

private static void findReservedNodeOffer() { DescribeReservedNodeOfferingsRequest request = new DescribeReservedNodeOfferingsRequest(); DescribeReservedNodeOfferingsResult result = client.describeReservedNodeOfferings(request); Integer count = 0;

System.out.println("\nFinding nodes to purchase."); for (ReservedNodeOffering offering : result.getReservedNodeOfferings()) { if (offering.getNodeType().equals(nodeTypeToPurchase)){

if (offering.getFixedPrice() < fixedPriceLimit) { matchingNodes.add(offering); printOfferingDetails(offering); count +=1; } } } if (count == 0) { System.out.println("\nNo reserved node offering matches found."); } else { System.out.println("\nFound " + count + " matches."); } }

private static void purchaseReservedNodeOffer() throws IOException { if (matchingNodes.size() == 0) { return; } else { System.out.println("\nPurchasing nodes.");

for (ReservedNodeOffering offering : matchingNodes) { printOfferingDetails(offering); System.out.println("WARNING: purchasing this offering will incur costs."); System.out.println("Purchase this offering [Y or N]?"); DataInput in = new DataInputStream(System.in); String purchaseOpt = in.readLine(); if (purchaseOpt.equalsIgnoreCase("y")){

try { PurchaseReservedNodeOfferingRequest request = new PurchaseReservedNodeOfferingRequest() .withReservedNodeOfferingId(offering.getReservedNodeOfferingId()); ReservedNode reservedNode = client.purchaseReservedNodeOffering(request); printReservedNodeDetails(reservedNode); }

199

Amazon Redshift Guia de gerenciamento de clustersComprar uma oferta de nó reservado usando

a AWS CLI e a API do Amazon Redshift

catch (ReservedNodeAlreadyExistsException ex1){ } catch (ReservedNodeOfferingNotFoundException ex2){ } catch (ReservedNodeQuotaExceededException ex3){ } catch (Exception ex4){ } } } System.out.println("Finished.");

} }

private static void printOfferingDetails( ReservedNodeOffering offering) { System.out.println("\nOffering Match:"); System.out.format("Id: %s\n", offering.getReservedNodeOfferingId()); System.out.format("Node Type: %s\n", offering.getNodeType()); System.out.format("Fixed Price: %s\n", offering.getFixedPrice()); System.out.format("Offering Type: %s\n", offering.getOfferingType()); System.out.format("Duration: %s\n", offering.getDuration()); }

private static void printReservedNodeDetails(ReservedNode node) { System.out.println("\nPurchased Node Details:"); System.out.format("Id: %s\n", node.getReservedNodeOfferingId()); System.out.format("State: %s\n", node.getState()); System.out.format("Node Type: %s\n", node.getNodeType()); System.out.format("Start Time: %s\n", node.getStartTime()); System.out.format("Fixed Price: %s\n", node.getFixedPrice()); System.out.format("Offering Type: %s\n", node.getOfferingType()); System.out.format("Duration: %s\n", node.getDuration()); }}// snippet-end:[redshift.java.ListAndPurchaseReservedNodeOffering.complete]

Comprar uma oferta de nó reservado usando aAWS CLI e a API do Amazon Redshift

Você pode usar as operações da AWS CLI a seguir para comprar ofertas de nó reservado.

• purchase-reserved-node-offering• describe-reserved-node-offerings• describe-orderable-cluster-options

É possível usar as operações da API do Amazon Redshift a seguir para comprar ofertas de nó reservado.

• PurchaseReservedNodeOffering• DescribeReservedNodeOfferings• DescribeOrderableClusterOptions

200

https://docs.aws.amazon.com/cli/latest/reference/redshift/purchase-reserved-node-offering.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-reserved-node-offerings.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-orderable-cluster-options.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_PurchaseReservedNodeOffering.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeReservedNodeOfferings.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeOrderableClusterOptions.html


Segurança no Amazon RedshiftA segurança da nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiaráde um datacenter e de uma arquitetura de rede criados para atender aos requisitos das empresas com asmaiores exigências de segurança.

A segurança é uma responsabilidade compartilhada entre a AWS e você. O modelo de responsabilidadecompartilhada descreve a segurança da nuvem e a segurança na nuvem:

• Segurança da nuvem – a AWS é responsável pela proteção da infraestrutura que executa serviçosda AWS na nuvem da AWS. A AWS também fornece serviços que você pode usar com segurança. Aeficácia da nossa segurança é regularmente testada e verificada por auditores terceirizados como partedos programas de conformidade da AWS. Para saber mais sobre os programas de conformidade que seaplicam ao Amazon Redshift, consulte Serviços da AWS em escopo por programa de conformidade.

• Segurança na nuvem – Sua responsabilidade é determinada pelo serviço da AWS que você usa. Vocêtambém é responsável por outros fatores, inclusive a confidencialidade dos dados, os requisitos daorganização, as leis e as regulamentações vigentes.

O acesso aos recursos do Amazon Redshift é controlado em quatro níveis:

• Gerenciamento de cluster –– a capacidade de criar, configurar e excluir clusters é controlada porpermissões dadas ao usuário ou conta do IAM associado às suas credenciais de segurança da AWS.Os usuários do IAM que têm as permissões adequadas podem usar o Console de gerenciamento daAWS, a AWS Command Line Interface (CLI) ou a API do Amazon Redshift para gerenciar seus clusters.Esse acesso é gerenciado pelo uso de políticas do IAM. Para obter mais detalhes, consulte Identity andAccess Management no Amazon Redshift (p. 219).

• Conectividade de cluster– Os security groups do Amazon Redshift especificam as instâncias da AWSque são autorizadas a conectar a um cluster do Amazon Redshift em formato de roteamento semclasse entre domínios (CIDR). Para obter informações sobre a criação de security groups do AmazonRedshift, Amazon EC2 e Amazon VPC e como associá-los aos clusters, consulte Grupos de segurançade clusters do Amazon Redshift (p. 301).

• Acesso ao banco de dados – A capacidade de acessar objetos do banco de dados, como tabelas eexibições, é controlada por contas de usuários no banco de dados do Amazon Redshift. Os usuáriossó podem acessar recursos no banco de dados do qual suas contas de usuário receberam permissãopara acessar. Você cria essas contas de usuário do Amazon Redshift e permissões de gerenciamentousando as instruções SQL CREATE USER, CREATE GROUP, GRANT e REVOKE. Para obter maisinformações, consulte Gerenciar a segurança do banco de dados no Amazon Redshift DatabaseDeveloper Guide.

• Credenciais de banco de dados temporárias e logon único – Além de criar e gerenciar usuários debanco de dados usando comandos SQL, como CREATE USER e ALTER USER, você pode configurar ocliente SQL com drivers JDBC ou ODBC personalizados do Amazon Redshift. Esses drivers gerenciamo processo de criação de usuários de banco de dados e senhas temporárias como parte do processo delogon do banco de dados.

Os drivers autenticam os usuários de banco de dados com base na autenticação do AWS Identityand Access Management (IAM). Se você já gerencia identidades de usuário fora da AWS, use umprovedor de identidade (IdP) compatível com o SAML 2.0 para gerenciar o acesso aos recursos doAmazon Redshift. Use uma função do IAM para configurar o IdP e a AWS para permitir que os usuáriosfederados gerem credenciais de banco de dados temporárias e façam logon nos bancos de dadosdo Amazon Redshift. Para obter mais informações, consulte Usar a autenticação do IAM para gerarcredenciais do usuário do banco de dados (p. 237).

201

https://aws.amazon.com/compliance/shared-responsibility-model/


https://aws.amazon.com/compliance/programs/

https://aws.amazon.com/compliance/services-in-scope/

https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_USER.html

https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_GROUP.html

https://docs.aws.amazon.com/redshift/latest/dg/r_GRANT.html

https://docs.aws.amazon.com/redshift/latest/dg/r_REVOKE.html

https://docs.aws.amazon.com/redshift/latest/dg/r_Database_objects.html

Amazon Redshift Guia de gerenciamento de clustersProteção de dados

Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar oAmazon Redshift. Os tópicos a seguir mostram como configurar o Amazon Redshift para atender aos seusobjetivos de segurança e conformidade. Você também aprende como usar outros serviços da AWS queajudam a monitorar e proteger os recursos do Amazon Redshift.

Tópicos• Proteção de dados no Amazon Redshift (p. 202)• Identity and Access Management no Amazon Redshift (p. 219)• Registrar em log e monitorar no Amazon Redshift (p. 285)• Validação de conformidade do Amazon Redshift (p. 299)• Resiliência no Amazon Redshift (p. 300)• Segurança da infraestrutura no Amazon Redshift (p. 301)• Análise de configuração e vulnerabilidade no Amazon Redshift (p. 315)

Proteção de dados no Amazon RedshiftO Amazon Redshift protege os dados em repouso por meio da criptografia. Como alternativa, você podeproteger seus dados armazenados no disco dentro de um cluster e todos os backups no Amazon S3 comAdvanced Encryption Standard (AES-256). Para obter mais informações, consulte Criptografia do banco dedados do Amazon Redshift (p. 203).

Criptografia de dadosA proteção de dados significa proteger os dados em trânsito (à medida que são transferidos para e doAmazon Redshift) e em repouso (enquanto estão armazenados em disco em datacenters do AmazonRedshift). Você pode proteger os dados em trânsito, utilizando SSL ou a criptografia no lado do cliente.Você tem as seguintes opções para proteger seus dados em repouso no Amazon Redshift.

• Usar a criptografia no lado do servidor – você pede ao Amazon Redshift para criptografar os dados antesde salvá-lo em disco nos seus datacenters e descriptografá-lo ao fazer download dos objetos.

• Usar a criptografia no lado do cliente – você pode criptografar dados do cliente e fazer upload dos dadoscriptografados no Amazon Redshift. Nesse caso, você gerencia o processo de criptografia, as chaves decriptografia e as ferramentas relacionadas.

Criptografia em repousoA criptografia no lado do servidor é feita nos dados em repouso, ou seja, o Amazon Redshift criptografaopcionalmente os dados à medida que os grava nos seus datacenters e os descriptografa quando eles sãoacessados. Contanto que você autentique sua solicitação e tenha permissões de acesso, não há diferençana forma de acesso aos dados criptografados ou não criptografados.

O Amazon Redshift protege os dados em repouso por meio da criptografia. Como alternativa, você podeproteger seus dados armazenados no disco dentro de um cluster e todos os backups no Amazon S3 comAdvanced Encryption Standard (AES-256).

Para gerenciar as chaves usadas para criptografar e descriptografar seus recursos do Amazon Redshift,você usa o AWS Key Management Service (AWS KMS). O AWS KMS combina hardware e softwareseguros e altamente disponíveis para oferecer um sistema de gerenciamento de chaves dimensionadopara a nuvem. Usando o AWS KMS, é possível criar chaves de criptografia e definir as políticas quecontrolam como elas podem ser usadas. O AWS KMS é compatível com o AWS CloudTrail, o quepossibilita a auditoria do uso de chaves para verificar se elas estão sendo usadas adequadamente. As

202

https://docs.aws.amazon.com/kms/latest/developerguide/

Amazon Redshift Guia de gerenciamento de clustersCriptografia de dados

chaves do AWS KMS podem ser usadas em combinação com o Amazon Redshift e os serviços da AWScompatíveis. Para obter uma lista de serviços compatíveis com o AWS KMS, consulte Como os serviçosda AWS usam o AWS KMS no Guia de desenvolvedor do AWS Key Management Service.

Tópicos• Criptografia do banco de dados do Amazon Redshift (p. 203)

Criptografia do banco de dados do Amazon Redshift

No Amazon Redshift, você pode ativar a criptografia do banco de dados dos clusters para ajudar aproteger os dados em repouso. Quando você ativar a criptografia de um cluster, os blocos de dados e osmetadados do sistema serão criptografados para o cluster o os snapshots.

É possível habilitar a criptografia ao iniciar o cluster ou modificar um cluster não criptografado para usarcriptografia do AWS Key Management Service (AWS KMS). Para fazê-lo, você pode usar uma chavegerenciada pela AWS ou uma chave gerenciada pelo cliente (CMK). Quando você modifica o cluster paraativar a criptografia KMS, o Amazon Redshift migra automaticamente os dados para um novo clustercriptografado. Os snapshots criados a partir do cluster criptografado também são criptografados. Vocêtambém pode migrar um cluster criptografado para um cluster não criptografado, modificando o cluster ealterando a opção Encrypt database (Criptografar banco de dados). Para obter mais informações, consulteAlterar a criptografia do cluster (p. 207).

Embora a criptografia seja uma configuração opcional no Amazon Redshift, recomendamos habilitá-laem clusters que contenham dados confidenciais. Além disso, talvez seja necessário usar a criptografia,dependendo das diretrizes ou das regulamentações que regem os dados. Por exemplo, PCI DSS(Payment Card Industry Data Security Standard), SOX (Sarbanes-Oxley Act), HIPAA (Health InsurancePortability and Accountability Act) e outras regulamentações determinam as diretrizes para processar tiposde dados específicos.

O Amazon Redshift usa uma hierarquia de chaves de criptografia para criptografar o banco de dados. Vocêpode usar o AWS Key Management Service (AWS KMS) ou um Hardware Security Module (HSM – Módulode segurança de hardware) para gerenciar as chaves de criptografia de nível superior nessa hierarquia. Oprocesso usado pelo Amazon Redshift na criptografia muda de acordo com a maneira que você gerenciachaves. O Amazon Redshift integra-se automaticamente ao AWS KMS, mas não a um HSM. Ao usar umHSM, você deve utilizar certificados de cliente e servidor para configurar uma conexão confiável entre oAmazon Redshift e o HSM.

Tópicos• Criptografia do banco de dados para o Amazon Redshift usando o AWS KMS (p. 203)• Criptografia para o Amazon Redshift usando módulos de segurança de hardware (p. 205)• Rotação de chave de criptografia no Amazon Redshift (p. 206)• Alterar a criptografia do cluster (p. 207)• Configuração da criptografia do banco de dados usando o console (p. 210)• Configurar a criptografia do banco de dados usando a AWS CLI e a API do Amazon Redshift (p. 216)

Criptografia do banco de dados para o Amazon Redshift usando o AWS KMS

Quando você escolhe o AWS KMS para o gerenciamento de chaves com o Amazon Redshift, existe umahierarquia de quatro níveis de chaves de criptografia. Essas chaves, em ordem hierárquica, são a chavemestra, uma Cluster Encryption Key (CEK – Chave de criptografia de cluster), uma chave de criptografia debanco de dados e chaves de criptografia de dados.

Quando você inicia o cluster, o Amazon Redshift retorna uma lista das Customer Master Keys (CMKs –Chaves mestra do cliente) criada pela conta da AWS ou que tem permissão para ser usada no AWS KMS.Você seleciona uma CMK a ser usada como a chave mestra na hierarquia da criptografia.

203

https://docs.aws.amazon.com/kms/latest/developerguide/services.html

https://docs.aws.amazon.com/kms/latest/developerguide/services.html


Por padrão, o Amazon Redshift seleciona a chave padrão como a chave mestra. A chave padrão é umachave gerenciada pela AWS criada para a conta da AWS a ser usada no Amazon Redshift. O AWS KMScria essa chave da primeira vez em que você inicia um cluster criptografado em uma região da AWS eescolhe a chave padrão.

Se não quiser usar a chave padrão, será necessário ter (ou criar) uma CMK gerenciada pelo clienteseparadamente no AWS KMS antes de executar o cluster no Amazon Redshift. As CMKs gerenciadaspelo cliente dão mais flexibilidade, inclusive a possibilidade de criar, alternar, desativar e definir controle deacesso, além de auditar as chaves de criptografia usadas para ajudar a proteger os dados. Para obter maisinformações sobre a criação de CMKs, consulte Criar chaves no AWS Key Management Service DeveloperGuide.

Se quiser usar uma chave do AWS KMS em outra conta da AWS, você deverá ter permissão parausar a chave e especificar o nome de recurso da Amazon (ARN) no Amazon Redshift. Para obter maisinformações sobre o acesso a chaves no AWS KMS, consulte Controlar o acesso às chaves, no AWS KeyManagement Service Developer Guide.

Depois que você escolher uma chave mestra, o Amazon Redshift solicitará que o AWS KMS gere umachave de dados e a criptografe usando a chave mestra selecionada. Esse chave de dados é usada comoa CEK no Amazon Redshift. O AWS KMS exporta a CEK criptografada para o Amazon Redshift, onde elaé armazenada internamente em disco em uma rede à parte do cluster com a concessão para a CMK eo contexto de criptografia da CEK. Somente a CEK criptografada é exportada para o Amazon Redshift.A CMK permanece no AWS KMS. O Amazon Redshift também passa a CEK criptografada por um canalseguro para o cluster e a carrega na memória. Em seguida, o Amazon Redshift chama o AWS KMS paradescriptografar a CEK e carregar a CEK na memória. Para obter mais informações sobre concessões,contexto de criptografia e outros conceitos relacionados ao AWS KMS, consulte Conceitos no AWS KeyManagement Service Developer Guide.

Em seguida, o Amazon Redshift gera aleatoriamente uma chave a ser usada como a DEK e a carrega namemória no cluster. A CEK descriptografa é usada para criptografar a DEK, passada por um canal segurodo cluster a ser armazenada internamente pelo Amazon Redshift em disco em uma rede à parte do cluster.Assim como a CEK, as versões criptografadas e descriptografadas da DEK são carregadas na memória nocluster. Em seguida, a versão descriptografada da DEK é usada para criptografar as chaves de criptografiaindividuais geradas aleatoriamente para cada bloco de dados no banco de dados.

Quando o cluster é reiniciado, o Amazon Redshift começa com as versões criptografadas, armazenadasinternamente, da CEK e da DEK, recarrega-as na memória e chama o AWS KMS para descriptografara CEK com a CMK novamente para que ela possa ser carregada na memória. Em seguida, a CEKdescriptografada é usada para descriptografar a DEK novamente, e a DEK descriptografada é carregadana memória e usada para criptografar e descriptografar as chaves do bloco de dados conforme necessário.

Para obter mais informações sobre como criar clusters do Amazon Redshift criptografados com chavesdo AWS KMS, consulte Criar um cluster (p. 37) e Gerencie clusters usando a CLI e a API do AmazonRedshift (p. 60).

Copiar snapshots criptografados pelo AWS KMS para outra região da AWS

As chaves do AWS KMS são específicas para uma região da AWS. Se habilitar a cópia de snapshots doAmazon Redshift para outra região da AWS e o cluster de origem e os snapshots forem criptografadosusando-se uma chave mestra do AWS KMS, você precisará configurar uma concessão para o AmazonRedshift a fim de usar uma chave mestra na região da AWS de destino. Essa concessão permite que oAmazon Redshift criptografe snapshots na região da AWS de destino. Para obter mais informações sobreuma cópia do snapshot em várias regiões, consulte Copiar snapshots para outra região da AWS (p. 163).

Note

Se ativar a cópia de snapshots de um cluster criptografado e usar o AWS KMS para a chavemestra, você não poderá renomear o cluster porque o nome do cluster faz parte do contextoda criptografia. Se precisar renomear o cluster, você poderá desativar a cópia de snapshots naregião da AWS de origem, renomear o cluster, configurar e reativar a cópia de snapshots.

204

https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html


https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html


O processo para configurar a concessão para cópia de snapshots é este.

1. Na região da AWS de destino, crie uma concessão de cópia de snapshot fazendo o seguinte:• Se você ainda não tiver uma chave do AWS KMS a ser usada, crie uma. Para obter mais informações

sobre a criação de chaves do AWS KMS, consulte Criar chaves no AWS Key Management ServiceDeveloper Guide.

• Especifique um nome para a concessão de cópia do snapshot. Esse nome deve ser exclusivo nessaregião da AWS para a conta da AWS.

• Especifique o ID da chave do AWS KMS para o qual você está criando a concessão. Se você nãoespecificar um ID da chave, a concessão se aplicará à chave padrão.

2. Na região da AWS de origem, ative a cópia de snapshots e especifique o nome da concessão de cópiade snapshot criada por você na região da AWS de destino.

Esse processo anterior será necessário somente se você ativar a cópia de snapshots usando a AWS CLI,a API do Amazon Redshift ou os SDKs. Se você usar o console, o Amazon Redshift fornecerá o fluxo detrabalho apropriado para configurar a concessão ao ativar uma cópia de snapshot em todas as regiões.Para obter mais informações sobre como configurar a cópia de snapshot em todas as regiões para clusterscriptografados pelo AWS KMS usando o console, consulte Configurar cópia de snapshots entre regiõespara um cluster criptografado pelo AWS KMS (p. 183).

Antes de o snapshot ser copiado para a região da AWS de destino, o Amazon Redshift o descriptografausando a chave mestra na região da AWS de origem e o recriptografa temporariamente usando uma chaveRSA gerada aleatoriamente que o Amazon Redshift gerencia de maneira interna. Em seguida, o AmazonRedshift copia o snapshot usando um canal seguro para a região da AWS de destino, descriptografa essesnapshot usando a chave RSA gerenciada internamente e o recriptografa usando a chave mestra naregião da AWS de destino.

Para obter mais informações sobre como configurar concessões para clusters criptografados pelo AWSKMS, consulte Configurar o Amazon Redshift para usar chaves de criptografia do AWS KMS com a AWSCLI e a API do Amazon Redshift (p. 216).

Criptografia para o Amazon Redshift usando módulos de segurança de hardware

Se não usar o AWS KMS no gerenciamento de chaves, você poderá usar um HSM no gerenciamentodelas com o Amazon Redshift.

Important

A criptografia de HSM não é compatível com tipos de nós DC2 e RA3.

HSMs são dispositivos que oferecem controle direto sobre a geração e o gerenciamento de chaves.Eles proporcionam mais segurança separando o gerenciamento de chaves das camadas de aplicativo ebanco de dados. O Amazon Redshift oferece suporte ao AWS CloudHSM Classic para o gerenciamentode chaves. O processo de criptografia é diferente quando você usa o HSM para gerenciar as chaves decriptografia, em vez do AWS KMS.

Important

O Amazon Redshift oferece suporte somente ao AWS CloudHSM Classic. Não há suporte parao serviço mais recente do AWS CloudHSM. O AWS CloudHSM Classic não está disponível emtodas as regiões da AWS. Para obter mais informações sobre as regiões da AWS disponíveis,consulte a Tabela de regiões da AWS.

Quando você configura o cluster para usar um HSM, o Amazon Redshift envia uma solicitação ao HSMpara gerar e armazenar uma chave a ser usada como a CEK. Porém, diferentemente do AWS KMS, oHSM não exporta a CEK para o Amazon Redshift. Em vez disso, o Amazon Redshift gera aleatoriamentea DEK no cluster e a passa para o HSM para ser criptografada pela CEK. O HSM retorna a DEKcriptografada ao Amazon Redshift, onde ela é mais criptografada usando uma chave mestra interna gerada

205


https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/


aleatoriamente e armazenada internamente em disco em uma rede à parte do cluster. O Amazon Redshifttambém carrega a versão descriptografada da DEK na memória no cluster, de maneira que a DEK possaser usada para criptografar e descriptografar as chaves individuais dos blocos de dados.

Se o cluster for reinicializado, o Amazon Redshift vai descriptografar a DEK duplamente criptografadae armazenada internamente usando a chave mestra interna para retornar a DEK armazenadainternamente no estado criptografado pela CEK. A DEK criptografada pela CEK é passada ao HSM paraser descriptografada e repassada para o Amazon Redshift, onde pode ser recarregada na memórianovamente para ser usada com as chaves de bloco de dados individuais.

Configurar uma conexão confiável entre o Amazon Redshift e um HSM

Ao optar por usar um HSM para o gerenciamento da chave de cluster, você precisa configurar um link derede confiável entre o Amazon Redshift e o HSM. Isso exige a configuração dos certificados de cliente eservidor. A conexão confiável é usada para passar as chaves de criptografia entre o HSM e o AmazonRedshift durante as operações de criptografia e descriptografia.

O Amazon Redshift cria um certificado de cliente público com base em um par de chaves privada e públicageradas automaticamente. Elas são criptografadas e armazenadas internamente. Você faz download eregistra o certificado cliente público no HSM, além de atribui-lo à partição do HSM aplicável.

Vocês fornece ao Amazon Redshift o endereço IP do HSM, o nome da partição do HSM, a senha dapartição do HSM e o certificado do servidor do HSM público, criptografado usando-se uma chave mestrainterna. O Amazon Redshift conclui o processo de configuração e verifica se ele pode se conectar ao HSM.Se não puder, o cluster será colocado no estado INCOMPATIBLE_HSM, e não será criado. Nesse caso,você deve excluir o cluster incompleto e tentar novamente.

Important

Quando você modifica o cluster para usar uma partição do HSM diferente, o Amazon Redshiftverifica se ele pode se conectar à nova partição, mas não verifica se existe uma chave decriptografia válida. Para usar a nova partição, você deve replicar as chaves para a nova partição.Se o cluster for reiniciado e o Amazon Redshift não conseguir encontrar uma chave válida, haveráfalha na reinicialização. Para obter mais informações, consulte Replicação de chaves entre osHSMs.

Para obter mais informações sobre como configurar o Amazon Redshift para usar um HSM, consulteConfigurar o Amazon Redshift para usar um HSM com o Amazon Redshift console (p. 211) e Configuraro Amazon Redshift para usar um HSM com a AWS CLI e a API do Amazon Redshift (p. 217).

Após a configuração inicial, se o Amazon Redshift não conseguir se conectar ao HSM, um evento seráregistrado em log. Para obter mais informações sobre esses eventos, consulte Notificações de evento doAmazon Redshift.

Rotação de chave de criptografia no Amazon Redshift

No Amazon Redshift, você pode alternar chaves de criptografia para clusters criptografados. Quandovocê inicia o processo de rodízio de chaves, o Amazon Redshift alterna a CEK do cluster especificadoe de qualquer snapshot automatizado ou manual do cluster. O Amazon Redshift também alterna aDEK do cluster especificado, mas não pode alternar a DEK dos snapshots enquanto eles permanecemarmazenados internamente no Amazon Simple Storage Service (Amazon S3) e criptografados usando-se aDEK existente.

Enquanto o rodízio estiver em andamento, o cluster será colocado em um estado ROTATING_KEYS atéa conclusão, quando retornará ao estado AVAILABLE. O Amazon Redshift lida com a descriptografia erecriptografia durante o processo de rotação de chaves.

Note

Você não pode alternar chaves para snapshots sem um cluster de origem. Para excluir umcluster, leve em consideração se os snapshots dependem do rodízio da chave.

206

https://docs.aws.amazon.com/cloudhsm/latest/userguide/cli-clone-hapg.html

https://docs.aws.amazon.com/cloudhsm/latest/userguide/cli-clone-hapg.html

https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-event-notifications.html

https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-event-notifications.html


Como o cluster está temporariamente indisponível durante o processo de rodízio da chave, você deveráalternar as chaves somente com a frequência que os dados exigirem ou quando suspeitar de queas chaves foram comprometidas. Como melhores práticas, você deve examinar o tipo de dados quearmazena e planejar com que frequência alternar as chaves que criptografam esses dados. A frequênciapara alternar chaves varia de acordo com as políticas corporativas da segurança de dados e todos ospadrões do setor referentes aos dados confidenciais e à compatibilidade regulatória. Verifique se o planoequilibra necessidades de segurança com considerações sobre disponibilidade para o cluster.

Para obter mais informações sobre como alternar chaves, consulte Rotação de chaves de criptografiausando o Amazon Redshift console (p. 215) e Rotação de chaves de criptografia usando a AWS CLI e aAPI do Amazon Redshift (p. 217).

Alterar a criptografia do cluster

Você pode modificar um cluster não criptografado para usar a criptografia do AWS Key ManagementService (AWS KMS), usando uma chave gerenciada pela AWS ou uma chave gerenciada pelo cliente(CMK). Quando você modifica o cluster para ativar a criptografia KMS, o Amazon Redshift migraautomaticamente os dados para um novo cluster criptografado. Você também pode migrar um cluster nãocriptografado para um cluster criptografado, modificando o cluster.

Durante a operação de migração, o cluster fica disponível em modo de somente leitura e o status docluster é exibido como resizing (redimensionando).

Se o cluster estiver configurado para habilitar a cópia de snapshot entre as regiões da AWS, você devedesabilitá-lo antes de alterar a criptografia. Para obter mais informações, consulte Copiar snapshots paraoutra região da AWS (p. 163) e Configurar cópia de snapshots entre regiões para um cluster criptografadopelo AWS KMS (p. 183). Você não pode habilitar a criptografia do módulo de segurança de hardware(HSM) modificando o cluster. Em vez disso, crie um cluster criptografado por HSM e migre seus dadospara esse cluster. Para obter mais informações, consulte Migrar para um cluster criptografado porHSM (p. 208).

Note


Novo console

Para modificar a criptografia do banco de dados em um cluster



3. Em Actions (Ações), escolha Modify (Modificar) para exibir a página de configuração.4. Na seção Database configuration (Configuração do banco de dados), escolha a configuração de

Encryption (Criptografia) e escolha Modify cluster (Modificar cluster).

Console original

Para alterar a criptografia de cluster usando o console


2. No painel de navegação, escolha Clusters e, em seguida, escolha o cluster que deseja modificar.

207






3. Escolha Cluster e, em seguida, escolha Modify (Modificar).4. Para Encrypt database (Criptografar banco de dados), escolha KMS para habilitar a criptografia ou

escolha None (Nenhum) para desabilitá-la.5. Para usar uma chave gerenciada pelo cliente, para Master Key (Chave mestra), escolha Enter a key

ARN (Inserir o ARN da chave) e insira o ARN no campo ARN.

6. Selecione Modify.

Para alterar a criptografia de cluster usando a CLI

Para modificar o cluster não criptografado para usar o KMS, execute o comando da CLI modify-clustere especifique –-encrypted, como mostrado a seguir. Por padrão, a chave do KMS padrão é usada. Paraespecificar uma chave gerenciada pelo cliente, inclua a opção --kms-key-id.

aws redshift modify-cluster --cluster-identifier <value> --encrypted --kms-key-id <value>

Para remover a criptografia do cluster, execute o seguinte comando da CLI.

aws redshift modify-cluster --cluster-identifier <value> --no-encrypted

Migrar para um cluster criptografado por HSM

Para migrar um cluster não criptografado para um cluster criptografado usando um módulo de segurançade hardware (HSM), crie um cluster criptografado e mova os dados para esse cluster. Não é possívelmigrar para um cluster criptografado por HSM modificando o cluster.

208


Para migrar de um cluster não criptografado para um cluster criptografado por HSM, descarregue os dadosdo seu cluster de origem existente. Em seguida, recarregue os dados em um novo cluster de destino coma configuração de criptografia escolhida. Para obter mais informações sobre como executar um clustercriptografado, consulte Criptografia do banco de dados do Amazon Redshift (p. 203).

Durante o processo de migração, seu cluster de origem ficará disponível somente para consultas deleitura até a última etapa. A última etapa é renomear os clusters de origem e de destino, o que modificaos endpoints para que todo o tráfego seja roteado para o novo cluster de destino. Quando você renomearo cluster de destino, ele ficará disponível somente após a reinicialização. Suspenda todas as cargasde dados e outras operações de gravação no cluster de origem enquanto os dados estiverem sendotransferidos.

Preparo para a migração

1. Identifique todos os sistemas dependentes que interagem com o Amazon Redshift, por exemplo, asferramentas de Business Intelligence (BI) e os sistemas de extração, transformação e carga (ETL).

2. Identifique as consultas de validação para testar a migração.

Por exemplo, você pode usar a seguinte consulta para localizar o número de tabelas definidas pelousuário.

select count(*)from pg_table_defwhere schemaname != 'pg_catalog';

A consulta a seguir retorna uma lista de todas as tabelas definidas pelo usuário e o número de linhasem cada tabela.

select "table", tbl_rowsfrom svv_table_info;

3. Escolha o momento adequado para a sua migração. Para saber o horário em que o uso do clusteré mais baixo, monitore as métricas do cluster, como a utilização da CPU e o número de conexõesdo banco de dados. Para obter mais informações, consulte Visualizar dados de desempenho docluster (p. 335).

4. Remova tabelas não utilizadas.

Para criar uma lista das tabelas e o número de vezes que cada tabela foi consultada, execute aseguinte consulta.

select database,schema,table_id,"table",round(size::float/(1024*1024)::float,2) as size,sortkey1,nvl(s.num_qs,0) num_qsfrom svv_table_info tleft join (select tbl,perm_table_name,count(distinct query) num_qsfrom stl_scan swhere s.userid > 1and s.perm_table_name not in ('internal worktable','s3')group by tbl,perm_table_name) s on s.tbl = t.table_idwhere t."schema" not in ('pg_internal');

5. Execute um novo cluster criptografado.

209


Use o mesmo número de porta para o cluster de destino e o cluster de origem. Para obter maisinformações sobre como executar um cluster criptografado, consulte Criptografia do banco de dadosdo Amazon Redshift (p. 203).

6. Configure o processo de descarregamento e o carregamento.

Você pode usar o Utilitário de descarregamento/cópia do Amazon Redshift para lhe ajudar namigração de dados entre clusters. O utilitário exporta dados do cluster de origem para um localno Amazon S3. Os dados são criptografados com o AWS KMS. Em seguida, o utilitário importaautomaticamente os dados para o destino. Se preferir, você poderá usar o utilitário para limpar oAmazon S3 depois que a migração for completa.

7. Execute um teste para verificar seu processo e estime por quanto tempo as operações de gravaçãoprecisam ser suspensas.

Durante as operações de descarregamento e carregamento, mantenha a consistência dos dadossuspendendo os carregamentos deles e outras operações de gravação. Usando uma das suasmaiores tabelas, execute o processo de descarregamento e carregamento para ajudar você a estimaro tempo.

8. Crie objetos de banco de dados, como esquemas, visualizações e tabelas. Se quiser ajuda para geraras instruções de linguagem de definição de dados (DDL) necessárias, você poderá usar os scripts emAdminViews no repositório de GitHub da AWS.

Para migrar o cluster

1. Encerre todos os processos ETL no cluster de origem.

Para verificar se não há operações de gravação em processo, use o console de gerenciamentodo Amazon Redshift para monitorar a IOPS de gravação. Para obter mais informações, consulteVisualizar dados de desempenho do cluster (p. 335).

2. Execute as consultas de validação identificadas anteriormente para coletar informações sobre ocluster de origem não criptografado antes da migração.

3. (Opcional) Crie uma fila de gerenciamento de carga de trabalho (WLM) para usar o máximo derecursos disponíveis nos clusters de origem e de destino. Por exemplo, crie uma fila chamadadata_migrate e configure a fila com memória de 95% e simultaneidade de 4%. Para obter maisinformações, consulte Roteamento de consultas para filas com base em grupos de usuários e gruposde consultas, no Amazon Redshift Database Developer Guide.

4. Usando a fila data_migrate, execute UnloadCopyUtility.

Monitore os processos UNLOAD e COPY usando o console do Amazon Redshift.5. Execute as consultas de validação novamente e verifique se os resultados correspondem aos

resultados do cluster de origem.6. Renomeie seus clusters de origem e destino para trocar os endpoints. Para evitar interrupções,

execute esta operação fora do horário comercial.7. Verifique se é possível se conectar ao cluster de destino usando todos os seus clientes SQL, como o

ETL e as ferramentas de relatórios.8. Desligue o cluster de origem não criptografado.

Configuração da criptografia do banco de dados usando o console

Você pode usar o Amazon Redshift console para configurar o Amazon Redshift para usar um HSM e parafazer o rodízio de chaves de criptografia. Para obter informações sobre como criar clusters usando chavesde criptografia do AWS KMS, consulte Criar um cluster (p. 37) e Gerencie clusters usando a CLI e a API doAmazon Redshift (p. 60).

210

https://github.com/awslabs/amazon-redshift-utils/tree/master/src/UnloadCopyUtility

https://github.com/awslabs/amazon-redshift-utils/tree/master/src/AdminViews

https://docs.aws.amazon.com/redshift/latest/dg/tutorial-wlm-routing-queries-to-queues.html

https://docs.aws.amazon.com/redshift/latest/dg/tutorial-wlm-routing-queries-to-queues.html


Note


Novo console

Para modificar a criptografia do banco de dados em um cluster



3. Em Actions (Ações), escolha Modify (Modificar) para exibir a página de configuração.4. Na seção Database configuration (Configuração do banco de dados), escolha uma configuração de

Encryption (Criptografia) e escolha Modify cluster (Modificar cluster).

Console original

Configurar o Amazon Redshift para usar um HSM com o Amazon Redshift console

Você pode usar os seguintes procedimentos para especificar as informações de conexão e deconfiguração de HSM para o Amazon Redshift usando o Amazon Redshift console.

Como criar uma conexão de HSM


2. No painel de navegação, escolha Security (Segurança) e escolha a guia HSM Connections (ConexõesHSM).

3. Escolha Create HSM Connection (Criar conexão HSM).

4. Na página Cria conexão de HSM, digite as seguintes informações:

a. Na caixa Nome de conexão de HSM, digite um nome para identificar esta conexão.b. Na caixa Descrição, digite uma descrição sobre a conexão.c. Na caixa Endereço IP de HSM, digite o endereço IP para seu HSM.d. Na caixa HSM Partition Name (Nome de partição de HSM), digite o nome da partição à qual o

Amazon Redshift deve se conectar.e. Na caixa Senha da partição de HSM, digite a senha necessária para conexão com a partição de

HSM.f. Copie o certificado de servidor público de seu HSM e cole-o na caixa Cole o certificado de

servidos público de HSM aqui.g. Escolha Criar.

211






5. Após a criação da conexão, você pode criar um certificado de cliente HSM. Para criar um certificadode cliente HSM imediatamente depois de criar a conexão, escolha Yes (Sim) e conclua as etapas nopróximo procedimento. Caso contrário, escolha Not now (Agora não) para retornar à lista de conexõesHSM e concluir o restante do processo em outra ocasião.

Para criar um certificado de cliente HSM


2. No painel de navegação, escolha Security (Segurança) e escolha a guia HSM Certificates(Certificados HSM).

3. Escolha Create HSM Client Certificate (Criar certificado de cliente HSM).

212




4. Na página Criar certificado de cliente HSM, digite um nome na caixa Identificador de certificado decliente HSM para identificar esse certificado de cliente.

5. Escolha Next (Próximo).6. Após a criação do certificado, uma página de confirmação é exibida com informações para registrar

a chave em seu HSM. Se você não tem permissão para configurar o HSM, coordene as seguintesetapas com um administrador de HSM.

a. Em seu computador, abra um novo arquivo de texto.b. No Amazon Redshift console, na página de confirmação Create HSM Client Certificate (Criar

certificado de cliente HSM), copie a chave pública.c. Cole a chave pública no arquivo aberto e salve com o nome de arquivo exibido na etapa 1 da

página de confirmação. Certifique-se de salvar o arquivo com a extensão de arquivo .pem, porexemplo: 123456789mykey.pem.

213


d. Faça upload do arquivo .pem em seu HSM.e. No HSM, abra uma janela de prompt de comando e execute os comandos listados na etapa

4 na página de confirmação para registrar a chave. O comando usa o seguinte formato, comClientName, KeyFilename e PartitionName sendo valores que você precisar substituir comseus próprios:

client register -client ClientName -hostname KeyFilename

client assignPartition -client ClientName -partition PartitionName

Por exemplo:

client register -client MyClient -hostname 123456789mykey

client assignPartition -client MyClient -partition MyPartition

f. Depois de registrar a chave no HSM, clique em Next (Próximo).7. Após a criação e o registro do certificado de cliente HSM, escolha um dos seguintes botões.

• Execute um cluster com HSM. Esta opção inicia o processo de execução de um novo cluster.Durante o processo, você pode selecionar um HSM para armazenar chaves de criptografia. Paraobter mais informações sobre o processo de execução de um cluster, consulte Gerenciamento declusters usando o console (p. 35).

Criar uma conexão de HSM. Esta opção inicial o processo Criar conexão o processo de HSM.

Exibir certificados. Essa opção o retorna para HSM no painel de navegação e exibe uma lista decertificados de clientes na guia Certificados.

Previous (Anterior). Essa opção o retorna para a página de confirmação Criar certificados decliente HSM.

Close (Fechar). Essa opção o retorna para HSM no painel de navegação e exibe uma lista deconexões de HSM na guia Conexões.

Para exibir a chave pública para um certificado de cliente HSM


2. No painel de navegação, escolha Security (Segurança) e escolha a guia HSM Certificates(Certificados HSM).

214




3. Escolha o certificado de cliente HSM para exibir a chave pública. Essa chave é mesma que vocêadicionou ao HSM no procedimento anterior, Para criar um certificado de cliente HSM (p. 212)

Para excluir uma conexão de HSM


2. No painel de navegação, escolha Security (Segurança) e escolha a guia HSM Connections (ConexõesHSM).

3. Escolha a conexão HSM que você deseja excluir.4. Na caixa de diálogo Delete HSM Connection (Excluir conexão HSM), clique em Delete (Excluir) para

excluir a conexão do Amazon Redshift ou escolha Cancel (Cancelar) para retornar para a guiaHSMConnections (Conexões HSM) sem excluir a conexão.

Para excluir um certificado de cliente HSM


2. No painel de navegação, escolha Security (Segurança) e selecione a guia HSM Certificates(Certificados HSM).

3. Na lista, escolha o certificado de cliente HSM que você deseja excluir.4. Na caixa de diálogo Delete HSM Client Certificate (Excluir certificado de cliente HSM), escolha Delete

(Excluir) para excluir o certificado do Amazon Redshift ou escolha Cancel (Cancelar) para voltar para aguia Certificates (Certificados) sem excluir o certificado.

Rotação de chaves de criptografia usando o Amazon Redshift console

Você pode usar o seguinte procedimento para substituir chaves de criptografia usando o Amazon Redshiftconsole.

215






Note


Novo console

Para alternar as chaves de criptografia de um cluster


2. No menu de navegação, escolha CLUSTERS e escolha o cluster do qual você deseja atualizar aschaves de criptografia.

3. Em Actions (Ações), escolha Rotate encryption (Alternar criptografia) para exibir a página Rotateencryption keys (Alternar chaves de criptografia).

4. Na página Rotate encryption keys (Alternar chaves de criptografia), escolha Rotate encryption keys(Alternar chaves de criptografia).

Console original

Para substituir uma chave de criptografia


2. No painel de navegação, escolha Clusters.3. Na lista, escolha o cluster do qual você deseja alternar as chaves.4. Escolha Database (Banco de dados) e escolha Rotate Encryption Keys (Alternar chaves de

criptografia).5. Escolha Yes, Rotate Keys (Sim, alternar chaves) se desejar alternar as chaves, caso contrário,

escolha Cancel (Cancelar).Note

Seu cluster ficará momentaneamente indisponível até a conclusão do processo de rotação dachave.

Configurar a criptografia do banco de dados usando a AWS CLI e a API do Amazon Redshift

Use a API do Amazon Redshift e sua AWS Command Line Interface (AWS CLI) para configurar opçõesde chave de criptografia para bancos de dados do Amazon Redshift. Para obter mais informações sobrecriptografia de banco de dados, consulte Criptografia do banco de dados do Amazon Redshift (p. 203).

Configurar o Amazon Redshift para usar chaves de criptografia do AWS KMS com a AWS CLI e aAPI do Amazon Redshift

Você pode usar as seguintes ações de API do Amazon Redshift para configurar o Amazon Redshift parausar chaves de criptografia do AWS KMS.

• CreateCluster• CreateSnapshotCopyGrant• DescribeSnapshotCopyGrants• DeleteSnapshotCopyGrant• DisableSnapshotCopy• EnableSnapshotCopy

216






https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateSnapshotCopyGrant.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeSnapshotCopyGrants.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteSnapshotCopyGrant.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DisableSnapshotCopy.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_EnableSnapshotCopy.html


Você pode usar as seguintes operações de CLI do Amazon Redshift para configurar o Amazon Redshiftpara usar chaves de criptografia do AWS KMS.

• create-cluster• create-snapshot-copy-grant• describe-snapshot-copy-grants• delete-snapshot-copy-grant• disable-snapshot-copy• enable-snapshot-copy

Configurar o Amazon Redshift para usar um HSM com a AWS CLI e a API do Amazon Redshift

Você pode usar as seguintes ações de API do Amazon Redshift para gerenciar os módulos de segurançade hardware.

• CreateHsmClientCertificate• CreateHsmConfiguration• DeleteHsmClientCertificate• DeleteHsmConfiguration• DescribeHsmClientCertificates• DescribeHsmConfigurations

Você pode usar as seguintes operações da AWS CLI para gerenciar os módulos de segurança dehardware.

• create-hsm-client-certificate• create-hsm-configuration• delete-hsm-client-certificate• delete-hsm-configuration• describe-hsm-client-certificates• describe-hsm-configurations

Rotação de chaves de criptografia usando a AWS CLI e a API do Amazon Redshift

Você pode usar as seguintes ações de API do Amazon Redshift para girar chaves de criptografia.

• RotateEncryptionKey

Você pode usar as seguintes operações de AWS CLI para girar chaves de criptografia.

• rotate-encryption-key

Criptografia em trânsitoVocê pode configurar seu ambiente para proteger a confidencialidade e integridade de dados em trânsito.

Criptografia de dados em trânsito entre um cluster do Amazon Redshift e o cliente SQL usando JDBC/ODBC:

• Você pode se conectar aos clusters do Amazon Redshift nas ferramentas do cliente SQL usando asconexões de JDBC (Java Database Connectivity) e ODBC (Open Database Connectivity).

217


https://docs.aws.amazon.com/cli/latest/reference/redshift/create-snapshot-copy-grant.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-snapshot-copy-grants.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-snapshot-copy-grant.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/disable-snapshot-copy.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/enable-snapshot-copy.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateHsmClientCertificate.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateHsmConfiguration.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteHsmClientCertificate.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteHsmConfiguration.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeHsmClientCertificates.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeHsmConfigurations.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/create-hsm-client-certificate.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/create-hsm-configuration.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-hsm-client-certificate.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-hsm-configuration.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-hsm-client-certificates.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-hsm-configurations.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_RotateEncryptionKey.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/rotate-encryption-key.html


• O Amazon Redshift oferece suporte a conexões de Secure Sockets Layer (SSL) para criptografar dadose a certificados de servidores para validar o certificado do servidor ao qual o cliente se conecta. O clienteconecta ao nó líder de um cluster do Amazon Redshift. Para obter mais informações, consulte Configuraras opções de segurança para conexões (p. 102).

• Para oferecer suporte a conexões SSL, o Amazon Redshift cria e instala certificados emitidos pelo AWSCertificate Manager (ACM) em cada cluster. Para obter mais informações, consulte Transição paracertificados ACM das conexões SSL (p. 105).

• Para proteger seus dados em trânsito dentro da Nuvem AWS, o Amazon Redshift usa SSL comaceleração de hardware para se comunicar com o Amazon S3 ou o Amazon DynamoDB para operaçõesCOPY, UNLOAD, de backup e de restauração.

Criptografia de dados em trânsito entre um cluster do Amazon Redshift e o Amazon S3 ou o DynamoDB:

• O Amazon Redshift usa SSL com aceleração de hardware para se comunicar com o Amazon S3 ou oDynamoDB para operações COPY, UNLOAD, de backup e de restauração.

• O Redshift Spectrum oferece suporte à criptografia no lado do servidor do Amazon S3 usando a chavepadrão da conta gerenciada pelo AWS Key Management Service (KMS).

• Cargas de criptografia do Amazon Redshift com Amazon S3 e AWS KMS. Para mais informações,acesse https://aws.amazon.com/blogs/big-data/encrypt-your-amazon-redshift-loads-with-amazon-s3-and-aws-kms/.

Criptografia e assinatura de dados em trânsito entre os clientes da AWS CLI, do SDK ou da API e osendpoints do Amazon Redshift:

• O Amazon Redshift fornece endpoints HTTPS para criptografar dados em trânsito.• Para proteger a integridade das solicitações de API ao Amazon Redshift, as chamadas de API precisam

ser autenticadas pelo chamador (com um certificado X.509 ou com a chave de acesso secreta da AWSdo cliente) de acordo com o processo de autenticação do Signature versão 4 (Sigv4). Para obter maisinformações, consulte Processo de autenticação do Signature versão 4.

• Use a AWS CLI ou um dos AWS SDKs para fazer solicitações à AWS. Essas ferramentas autenticamautomaticamente as solicitações para você com a chave de acesso especificada na configuração dasferramentas.

Gerenciamento de chavesÉ possível configurar o ambiente para proteger os dados com chaves:

• O Amazon Redshift integra-se automaticamente ao AWS Key Management Service (AWS KMS) para ogerenciamento de chaves. O AWS KMS usa a criptografia de envelope. Para obter mais informações,consulte Criptografia de envelope.

• Quando as chaves de criptografia são gerenciadas no AWS KMS, o Amazon Redshift usa umaarquitetura de quatro níveis baseada em chaves para criptografar. A arquitetura consiste em chavesde criptografia de dados AES-256 geradas aleatoriamente, uma chave de banco de dados, uma chavede cluster e uma chave mestra. Para obter mais informações, consulte Como o Amazon Redshift usa oAWS KMS.

• É possível criar sua própria chave mestra do cliente (CMK) no KMS. Para obter mais informações,consulte Criação de chaves.

• Você também pode importar seu próprio material de chaves para novas CMKs. Para mais informações,consulte Importação do material de chaves no AWS Key Management Service (AWS KMS).

• O Amazon Redshift oferece suporte ao gerenciamento de chaves de criptografia em módulos desegurança de hardware (HSMs) externos. O HSM pode estar no local ou pode ser o AWS CloudHSM.Ao usar um HSM, você deve usar certificados de cliente e servidor para configurar uma conexão

218

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping

https://docs.aws.amazon.com/kms/latest/developerguide/services-redshift.html

https://docs.aws.amazon.com/kms/latest/developerguide/services-redshift.html


https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html

Amazon Redshift Guia de gerenciamento de clustersPrivacidade do tráfego entre redes

confiável entre o Amazon Redshift e o seu HSM. O Amazon Redshift é compatível apenas com o AWSCloudHSM Classic para gerenciamento de chaves. Para obter mais informações, consulte Criptografiapara o Amazon Redshift usando módulos de segurança de hardware (p. 205). Para obter informaçõesgerais sobre o AWS CloudHSM, consulte O que é AWS CloudHSM?.

• Você pode alternar chaves de criptografia para clusters criptografados. Para obter mais informações,consulte Rotação de chave de criptografia no Amazon Redshift (p. 206).

Privacidade do tráfego entre redesPara direcionar o tráfego entre o Amazon Redshift e clientes e aplicativos em uma rede corporativa:

• Configure uma conexão privada entre a nuvem privada virtual (VPC) e sua rede corporativa. Configureuma conexão VPN IPsec na Internet ou uma conexão física privada usando a conexão do AWSDirect Connect. O AWS Direct Connect permite estabelecer uma interface virtual privada da rede localdiretamente ao Amazon VPC, fornecendo a você uma conexão de rede privada e com alta largurade banda entre a rede e a VPC. Com várias interfaces virtuais, você pode inclusive estabelecer umaconectividade privada com múltiplas VPCs enquanto mantém o isolamento da rede. Para obter maisinformações, consulte O que é o AWS Site-to-Site VPN? e O que é o AWS Direct Connect?

Para rotear o tráfego entre um cluster do Amazon Redshift em uma VPC e buckets do Amazon S3 namesma região da AWS:

• Configure um VPC endpoint privado do Amazon S3 para acessar de forma privada os dados do AmazonS3 em um carregamento ou extração ETL. Para mais informações, consulte Endpoints para o AmazonS3.

• Ative "Enhanced VPC routing" para um cluster do Amazon Redshift especificando um VPC endpoint doAmazon S3 de destino. O tráfego gerado pelos comandos COPY, UNLOAD ou CREATE LIBRARY doAmazon Redshift são, então, direcionados por meio do endpoint privado. Para obter mais informações,consulte Habilitar o roteamento aprimorado de VPC (p. 125).

Identity and Access Management no AmazonRedshift

O acesso ao Amazon Redshift exige credenciais que a AWS possa usar para autenticar suas solicitações.Essas credenciais devem ter permissões para acessar recursos da AWS, tais como um cluster do AmazonRedshift. As seções a seguir fornecem detalhes sobre como é possível usar o AWS Identity and AccessManagement (IAM) e o Amazon Redshift para ajudar a proteger seus recursos controlando quem podeacessá-los:

• Autenticação (p. 219)• Controle de acesso (p. 220)

AutenticaçãoVocê pode acessar a AWS como alguns dos seguintes tipos de identidade:

• Usuário raiz da conta da AWS – Ao criar uma conta da AWS, você começa com uma única identidadede login que tenha acesso total a todos os recursos e serviços da AWS na conta. Essa identidade échamada de AWS da conta da usuário raiz e é acessada pelo login com o endereço de e-mail e a senhaque você usou para criar a conta. Recomendamos que não use o usuário raiz para suas tarefas diárias,

219

https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html



https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html


Amazon Redshift Guia de gerenciamento de clustersControle de acesso

nem mesmo as administrativas. Em vez disso, siga as melhores práticas de uso do usuário raiz somentepara criar seu primeiro usuário do IAM. Depois, armazene as credenciais usuário raiz com segurança euse-as para executar apenas algumas tarefas de gerenciamento de contas e de serviços.

• Usuário do IAM – um usuário do IAM é uma identidade na sua conta da AWS que tem permissõespersonalizadas específicas (por exemplo, para criar a cluster no Amazon Redshift). Você pode usaruma senha e um nome do usuário do IAM para fazer login em páginas da web seguras da AWS como oConsole de gerenciamento da AWS, os Fóruns de discussão da AWS ou o AWS Support Center.

Além de um nome e uma senha de usuário, você também pode gerar chaves de acesso para cadausuário. Você pode usar essas chaves ao acessar serviços da AWS de forma programática, seja comum dos vários SDKs ou usando a AWS Command Line Interface (CLI). As ferramentas de SDK e deCLI usam as chaves de acesso para o cadastramento criptográfico da sua solicitação. Se você nãoutilizar ferramentas da AWS, cadastre a solicitação você mesmo. Amazon Redshift supports Signatureversão 4, um protocolo para autenticar solicitações de API de entrada. Para mais informações sobrea autenticação de solicitações, consulte Processo de cadastramento do Signature versão 4 na AWSGeneral Reference.

• As funções IAM – Uma função do IAM é uma identidade do IAM que você pode criar em sua conta quetenha permissões específicas. Uma função do IAM é semelhante a um usuário do IAM, pois é umaidentidade da AWS com políticas de permissão que determinam o que a identidade pode e não podefazer na AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, uma função destina-se a ser assumida por qualquer pessoa que precisar. Além disso, uma função não tem credenciais delongo prazo padrão, como uma senha ou chaves de acesso, associadas a ela. Em vez disso, quandovocê assumir uma função, ela fornecerá credenciais de segurança temporárias para sua sessão defunção. IAM com credenciais temporárias são úteis nas seguintes situações:• Acesso de usuário federado – Em vez de criar um usuário do IAM, você pode usar identidades

existentes do AWS Directory Service, do diretório de usuário da sua empresa ou de um provedor deidentidades da Web. Estes são conhecidos como usuários federados. A AWS atribui uma função aum usuário federado quando o acesso é solicitado por meio de um provedor de identidades. Paraobter mais informações sobre usuários federados, consulte Usuários federados e funções no Guia dousuário do IAM.

• Acesso ao serviço da AWS – Uma função de serviço é uma função do IAM que um serviço assumepara realizar ações em seu nome na sua conta. Ao configurar alguns ambientes de serviço da AWS,você deve definir uma função a ser assumida pelo serviço. Essa função de serviço deve incluir todasas permissões necessárias para o serviço acessar os recursos da AWS de que precisa. As funçõesde serviço variam de acordo com o serviço, mas muitas permitem que você escolha as permissões,desde que atenda aos requisitos documentados para esse serviço. As funções de serviço fornecemacesso apenas dentro de sua conta e não podem ser usadas para conceder acesso a serviços emoutras contas. Você pode criar, modificar e excluir uma função de serviço no IAM. Por exemplo, vocêpode criar uma função que permita que Amazon Redshift acesse um bucket do Amazon S3 em seunome e carregue dados desse bucket em um cluster Amazon Redshift. Para obter mais informações,consulte Criar uma função para delegar permissões a um serviço da AWS no Guia do usuário do IAM.

• Execução de aplicativos no Amazon EC2 – Você pode usar uma função do IAM para gerenciarcredenciais temporárias para aplicativos que estão sendo executados em uma instância do EC2 e quefazem solicitações de API da AWS CLI ou AWS. É preferível fazer isso do que armazenar chaves deacesso na instância do EC2. Para atribuir uma função da AWS a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, crie um perfil de instância que esteja anexado à instância. Um perfilde instância contém a função e permite que programas que estão em execução na instância do EC2obtenham credenciais temporárias. Para mais informações, consulte Uso de uma função do IAM paraconceder permissões aos aplicativos em execução nas instâncias do Amazon EC2 no Guia do usuáriodo IAM.

Controle de acessoVocê pode ter credenciais válidas para autenticar suas solicitações. No entanto, a menos que tenhapermissões, você não pode criar nem acessar os recursos do Amazon Redshift. Por exemplo, você deve

220

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://console.aws.amazon.com/

https://forums.aws.amazon.com/

https://console.aws.amazon.com/support/home#/

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://aws.amazon.com/tools/#sdk

https://aws.amazon.com/cli/


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

Amazon Redshift Guia de gerenciamento de clustersVisão geral do gerenciamento de acesso

ter permissões para criar um cluster do Amazon Redshift, criar um snapshot, adicionar uma assinatura deevento e assim por diante.

As seções a seguir descrevem como gerenciar permissões para o Amazon Redshift. Recomendamos quevocê leia a visão geral primeiro.

• Visão geral do gerenciamento de permissões de acesso aos recursos do Amazon Redshift (p. 221)• Usar políticas baseadas em identidade (políticas do IAM) para o Amazon Redshift (p. 226)

Visão geral do gerenciamento de permissões deacesso aos recursos do Amazon RedshiftTodo recurso da AWS é de propriedade de uma conta da AWS, e as permissões para criar ou acessar osrecursos são regidas por políticas de permissões. Um administrador de conta pode anexar políticas depermissões a identidades do IAM (ou seja, usuários, grupos e funções), e alguns serviços (como o AWSLambda) também oferecem suporte à anexação de políticas de permissões a recursos.

Note

Um administrador da conta (ou usuário administrador) é um usuário com privilégios deadministrador. Para obter mais informações, consulte Melhores práticas do IAM no Guia dousuário do IAM.

Ao conceder permissões, você decide quem recebe as permissões, para quais recursos as permissõessão concedidas e as ações específicas que você deseja permitir nesses recursos.

Recursos e operações do Amazon RedshiftNo Amazon Redshift, o principal recurso é um cluster. O Amazon Redshift é compatível com outrosrecursos que podem ser usados com o recurso principal, como snapshots, parameter groups e assinaturasde eventos. Estes são chamados de sub-recursos.

Esses recursos e sub-recursos têm Nomes de recursos da Amazon (ARNs) exclusivos associados a eles,conforme mostrado na tabela a seguir.

Tipo de recurso Formato ARN

Cluster arn:aws:redshift:region:account-id:cluster:cluster-name

Banco de dados docluster

arn:aws:redshift:region:account-id:dbname:cluster-name/database-name

Usuário do banco dedados do cluster

arn:aws:redshift:region:account-id:dbuser:cluster-name/database-user-name

Grupo de usuários dobanco de dados docluster

arn:aws:redshift:region:account-id:dbgroup:cluster-name/database-group-name

Grupo de parâmetros docluster

arn:aws:redshift:region:account-id:parametergroup:parameter-group-name

Security group decluster

arn:aws:redshift:region:account-id:securitygroup:security-group-name

221

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html


Tipo de recurso Formato ARN

CIDR/endereço IP arn:aws:redshift:region:account-id:securitygroupingress:security-group-name/cidrip/IP-range

Security group EC2 arn:aws:redshift:region:account-id:securitygroupingress:security-group-name/ec2securitygroup/owner/EC2-security-group-id

Assinatura de eventos arn:aws:redshift:region:account-id:eventsubscription:event-subscription-name

Certificado de cliente demódulo de segurançade hardware (HSM)

arn:aws:redshift:region:account-id:hsmclientcertificate:HSM-client-certificate-id

Configuração de HSM arn:aws:redshift:region:account-id:hsmconfiguration:HSM-configuration-id

Parameter group arn:aws:redshift:region:account-id:parametergroup:parameter-group-name

Snapshot arn:aws:redshift:region:account-id:snapshot:cluster-name/snapshot-name

Concessão de cópia desnapshot

arn:aws:redshift:region:account-id:snapshotcopygrant:snapshot-copy-grant-name

Grupo de sub-rede arn:aws:redshift:region:account-id:subnetgroup:subnet-group-name

O Amazon Redshift fornece um conjunto de operações para funcionar com recursos do Amazon Redshift.Para ver uma lista das operações disponíveis, consulte Referência de permissões da API do AmazonRedshift (p. 235).

Entender a propriedade de recursosUm proprietário do recurso é a conta da AWS que criou um recurso. Isto é, o proprietário do recurso é aconta da AWS da entidade principal (a conta-raiz, um usuário do IAM ou uma função do IAM) que autenticaa solicitação que cria o recurso. Os exemplos a seguir ilustram como isso funciona:

• Se você usar as credenciais da conta-raiz da sua conta da AWS para criar um cluster de banco dedados, sua conta da AWS será a proprietária do recurso do Amazon Redshift.

• Se você criar um usuário do IAM na sua conta da Amazon Redshift e conceder a ele permissões paracriar recursos do, o usuário poderá criar recursos do Amazon Redshift. No entanto, a sua conta da AWS,à qual o usuário pertence, é a proprietária dos recursos do Amazon Redshift.

• Se você criar uma função do IAM em sua conta da AWS com permissões para criar recursos do AmazonRedshift, qualquer pessoa que possa assumir a função poderá criar recursos do Amazon Redshift. Suaconta da AWS, à qual a função pertence, é a proprietária dos recursos do Amazon Redshift.

Gerenciar o acesso aos recursosA política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opçõesdisponíveis para a criação das políticas de permissões.

222


Note

Esta seção discute como usar o IAM no contexto do Amazon Redshift. Não são fornecidasinformações detalhadas sobre o serviço do IAM. Para obter a documentação completa do IAM,consulte O que é o IAM? no Guia do usuário do IAM. Para obter mais informações sobre a sintaxee as descrições da política do IAM, consulte Referência de política do IAM da AWS no Guia dousuário do IAM.

As políticas anexadas a uma identidade do IAM são conhecidas como políticas baseadas em identidade(políticas do IAM) e as políticas anexadas a um recurso são conhecidas como políticas baseadas emrecurso. O Amazon Redshift oferece suporte apenas às políticas baseadas em identidade (políticas doIAM).

Políticas baseadas em identidade (políticas do IAM)

Você pode anexar as políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:

• Anexar uma política de permissões a um usuário ou grupo na sua conta – Um administrador deconta pode usar uma política de permissões associada a determinado usuário. Essa política concedepermissões para esse usuário criar um recurso do Amazon Redshift, como um cluster.

• Anexar uma política de permissões a uma função (conceder permissões entre contas) – você podeanexar uma política de permissões com base em identidade a uma função do IAM para concederpermissões entre contas. Por exemplo, o administrador na Conta A pode criar uma função paraconceder permissões entre contas a outra conta da AWS (por exemplo, Conta B) ou um serviço da AWSda seguinte forma:1. Um administrador da Conta A cria uma função do IAM e anexa uma política de permissões à função

que concede permissões em recursos da Conta A.2. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como

a principal, que pode assumir a função.3. A seguir, o administrador da Conta B pode delegar permissões para assumir a função para todos os

usuários na Conta B. Isso permite que os usuários na Conta B criem ou acessem recursos na ContaA. O principal na política de confiança também poderá ser um principal do serviço da AWS, se vocêquiser conceder a um serviço da AWS permissões para assumir a função.

Para obter mais informações sobre o uso do IAM para delegar permissões, consulte Gerenciamento deacesso no Guia do usuário do IAM.

A seguir, é exibida uma política de exemplo que permite a um usuário criar, excluir, modificar e reinicializarclusters do Amazon Redshift para sua conta da AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid":"AllowManageClusters", "Effect":"Allow", "Action": [ "redshift:CreateCluster", "redshift:DeleteCluster", "redshift:ModifyCluster", "redshift:RebootCluster" ], "Resource":"*" } ]}

223


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html


Para mais informações sobre como usar políticas baseadas em identidade com o Amazon Redshift,consulte Usar políticas baseadas em identidade (políticas do IAM) para o Amazon Redshift (p. 226). Paraobter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários,grupos e funções) no Guia do usuário do IAM.

Políticas baseadas em recursos

Outros serviços, como o Amazon S3, também são compatíveis com políticas de permissões baseadas emrecursos. Por exemplo, você pode anexar uma política a um bucket do S3 para gerenciar permissões deacesso a esse bucket. O não oferece suporte a políticas baseadas em recursos.

Especificar elementos da política: ações, efeitos, recursos eentidades principaisPara cada recurso do Amazon Redshift (consulte Recursos e operações do Amazon Redshift (p. 221)),o serviço define um conjunto de operações de API (consulte Ações). Para conceder permissões a essasoperações da API, o Amazon Redshift define um conjunto de ações que podem ser especificadas em umapolítica. A execução de uma operação de API pode exigir permissões para mais de uma ação.

Estes são os elementos de política básicos:

• Recurso – em uma política, você usa um nome de recurso da Amazon (ARN) para identificar o recursoao qual a política se aplica. Para obter mais informações, consulte Recursos e operações do AmazonRedshift (p. 221).

• Ação – use palavras-chave de ação para identificar operações de recursos que você deseja permitir ounegar. Por exemplo, a permissão redshift:DescribeClusters permite que o usuário execute aoperação DescribeClusters do Amazon Redshift.

• Efeito – você especifica o efeito quando o usuário solicita a ação específica — que pode ser permitirou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estaráimplicitamente negado. Você também pode negar explicitamente o acesso a um recurso, o que podefazer para ter a certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferenteconceda acesso.

• Principal – Em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política estáanexada é automática e implicitamente o principal. Para as políticas baseadas em recursos, vocêespecifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (aplica-se somente a políticas baseadas em recursos). O Amazon Redshift não oferece suporte para politicasbaseadas em recurso.

Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte Referência de política doIAM da AWS no Guia do usuário do IAM.

Para obter uma tabela que mostra todas as ações da API do Amazon Redshift e os recursos a que elas seaplicam, consulte Referência de permissões da API do Amazon Redshift (p. 235).

Especificar condições em uma políticaAo conceder permissões, você pode usar a linguagem da política de acesso para especificar as condiçõesquando uma política deve entrar em vigor. Por exemplo, convém que uma política só seja aplicada apósuma data específica. Para obter mais informações sobre como especificar condições em uma linguagemde políticas de acesso, consulte Elementos de políticas JSON do IAM: condição, no Guia do usuário doIAM.

Para identificar as condições em que as políticas de permissões se aplicam, inclua um elementoCondition em sua política de permissões do IAM. Por exemplo, você pode criar uma política quepermita a um usuário criar um cluster usando a ação redshift:CreateCluster e você pode adicionar

224

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_Operations.html



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html


um elemento Condition para restringir o usuário a criar o cluster somente em uma região específica.Para obter mais detalhes, consulte Uso de condições de política do IAM para controle de acessorefinado (p. 225). Para obter uma lista com todos os valores de chave de condição e as ações e osrecursos do Amazon Redshift aos quais eles se aplicam, consulte Referência de permissões da API doAmazon Redshift (p. 235).

Uso de condições de política do IAM para controle de acesso refinado

No Amazon Redshift, é possível usar chaves de condição para restringir o acesso a recursos baseadosnas tags desses recursos. Estas são as chaves de condição comuns do Amazon Redshift.

Chave de condição Descrição

aws:RequestTag Requer que os usuários incluam uma chave de tag (nome) e valorsempre que criarem um recurso. Para obter mais informações, consulteaws:RequestTag no Guia do usuário do IAM.

aws:ResourceTag Restringe o acesso de usuário a recursos com base em chaves de tag evalores específicos. Para obter mais informações, consulte aws:ResourceTagno Guia do usuário do IAM.

aws:TagKeys Use essa chave para comparar as chaves de tag em uma solicitação comas chaves especificadas na política. Para obter mais informações, consulteaws:TagKeys no Guia do usuário do IAM.

Para obter informações sobre tags, consulte Visão geral da marcação (p. 400).

Para uma lista de ações de API compatíveis com as chaves de condição redshift:RequestTag eredshift:ResourceTag, consulte Referência de permissões da API do Amazon Redshift (p. 235).

As chaves de condição a seguir podem ser usadas com a ação GetClusterCredentials do AmazonRedshift.

Chave de condição Descrição

redshift:DurationSecondsLimita o número de segundos que pode ser especificado como duração.

redshift:DbName Restringe os nomes de banco de dados que podem ser especificados.

redshift:DbUser Restringe os nomes de usuário de banco de dados que podem serespecificados.

Exemplo 1: Restrição de acesso usando a chave de condição aws:ResourceTag

Use a seguinte política do IAM para permitir que um usuário modifique um cluster do Amazon Redshiftsomente para uma conta da AWS específica na região us-west-2 com uma tag chamada environmentcom um valor de tag de test.

{ "Version": "2012-10-17", "Statement": { "Sid": "AllowModifyTestCluster", "Effect": "Allow", "Action": "redshift:ModifyCluster", "Resource": "arn:aws:redshift:us-west-2:123456789012:cluster:*", "Condition": {

225

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys

Amazon Redshift Guia de gerenciamento de clustersUsar políticas baseadas em identidade (políticas do IAM)

"StringEquals": { "aws:ResourceTag/environment": "test" } } }}

Exemplo 2: Restrição de acesso usando a chave de condição aws:RequestTag

Use a seguinte política do IAM para permitir que um usuário crie um cluster do Amazon Redshift somentese o comando para criar o cluster incluir uma tag chamada usage e um valor de tag de production.A condição com aws:TagKeys e o modificador ForAllValues especifica que somente as chavescostcenter e usage podem ser especificadas na solicitação.

{ "Version": "2012-10-17", "Statement": { "Sid": "AllowCreateProductionCluster", "Effect": "Allow", "Action": [ "redshift:CreateCluster", "redshift:CreateTags" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/usage": "production" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "costcenter", "usage" ] } } }}

Usar políticas baseadas em identidade (políticas doIAM) para o Amazon RedshiftEste tópico fornece exemplos de políticas baseadas em identidade em que um administrador de contapode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).

Important

Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e asopções disponíveis para gerenciar o acesso aos recursos do Amazon Redshift. Para obter maisinformações, consulte Visão geral do gerenciamento de permissões de acesso aos recursos doAmazon Redshift (p. 221).

A seguir, um exemplo de uma política de permissões. A política permite que um usuário crie, exclua,modifique e reinicialize todos os clusters e, então, nega permissão para excluir ou alterar qualquer clustercujo identificador de cluster inicie com production.

{ "Version": "2012-10-17", "Statement": [ { "Sid":"AllowClusterManagement",

226


"Action": [ "redshift:CreateCluster", "redshift:DeleteCluster", "redshift:ModifyCluster", "redshift:RebootCluster" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Sid":"DenyDeleteModifyProtected", "Action": [ "redshift:DeleteCluster", "redshift:ModifyCluster" ], "Resource": [ "arn:aws:redshift:us-west-2:123456789012:cluster:production*" ], "Effect": "Deny" } ]}

A política tem duas instruções:

• A primeira instrução concede permissões para um usuário para criar, excluir, modificar e reinicializarclusters. O instrução especifica um caractere curinga (*) como o valor Resource para que a política seaplique a todos recursos do Amazon Redshift de propriedade da conta-raiz da AWS.

• A segunda instrução nega a permissão para excluir ou modificar um cluster. A instrução especifica umnome de recurso da Amazon (ARN) do cluster para o valor Resource que inclui um caractere curinga(*). Como resultado, essa instrução se aplica a todos os clusters do Amazon Redshift de propriedade daconta-raiz da AWS em que o identificador de cluster começa com production.

Permissões necessárias para usar o Redshift SpectrumO Amazon Redshift Spectrum requer permissões de outros serviços da AWS para acessar os recursos.Para obter detalhes sobre as permissões nas políticas do IAM para o Redshift Spectrum, consulte Políticasdo IAM para o Amazon Redshift Spectrum no Amazon Redshift Database Developer Guide.

Permissões necessárias para usar o console do Amazon RedshiftPara que um usuário trabalhe com o console do Amazon Redshift, ele deve ter um conjunto mínimo depermissões que permita descrever os recursos do Amazon Redshift na conta da AWS. Essas permissõestambém devem possibilitar que o usuário descreva outras informações relacionadas, incluindo informaçõesde segurança e rede do Amazon EC2.

Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias,o console não funcionará como pretendido para os usuários com essa política do IAM. Para garantirque esses usuários ainda consigam usar o console do Amazon Redshift, associe também a políticagerenciada AmazonRedshiftReadOnlyAccess ao usuário, conforme descrito em Políticas gerenciadas(predefinidas) pela AWS para o Amazon Redshift (p. 229).

Para conceder ao usuário acesso ao Query Editor no console do Amazon Redshift, anexe a políticagerenciada AmazonRedshiftQueryEditor.

Não é necessário conceder permissões mínimas do console para os usuários que estão fazendo ligaçõessomente com a AWS CLI ou a API do Amazon Redshift.

227




Permissões necessárias para usar o programador do AmazonRedshiftAo usar o programador do Amazon Redshift, você configura uma função do IAM com um relacionamentode confiança para o programador do Amazon Redshift (scheduler.redshift.amazonaws.com) para permitirque o programador assuma permissões em seu nome Você também anexa uma política (permissões) àfunção para as operações da API do Amazon Redshift que você deseja programar.

O exemplo a seguir mostra o documento de política no formato JSON para configurar um relacionamentode confiança com o programador do Amazon Redshift e o Amazon Redshift.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "scheduler.redshift.amazonaws.com", "redshift.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ]}

Para obter mais informações sobre entidades de confiança, consulte Criar uma função para delegarpermissões a um serviço da AWS, no Guia do usuário do IAM.

Você também deve adicionar permissão para as operações do Amazon Redshift que você desejaprogramar.

Para que o programador use a operação ResizeCluster, adicione uma permissão que seja semelhanteà seguinte à sua política do IAM. Dependendo do seu ambiente, você pode desejar tornar a política maisrestritiva.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "redshift:ResizeCluster", "Resource": "*" } ]}

Para obter as etapas para criar uma função para o programador do Amazon Redshift, consulte Criar umafunção para um serviço da AWS (console) no Guia do usuário do IAM. Opte por estas opções ao criar umafunção no console do IAM.

• Em Choose the service that will use this role (Escolher o serviço que usará esta função): escolhaRedshift.

• Em Select your use case (Selecionar seu caso de uso), escolha Redshift - programador.• Crie ou anexe uma política à função que permita que uma operação do Amazon Redshift seja

programada. Escolha Create policy (Criar política) ou modifique a função para anexar uma política. Insiraa política JSON para a operação que está para ser programada.

228



https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console


• Depois de criar a função, edite o Trust Relationship (Relacionamento de confiança) da função do IAMpara incluir o serviço redshift.amazonaws.com.

A função do IAM que você cria em entidades confiáveis de scheduler.redshift.amazonaws.com eredshift.amazonaws.com. Ela também tem uma política anexada que permite uma ação da API doAmazon Redshift compatível, como "redshift:ResizeCluster".

Políticas de recursos de GetClusterCredentialsPara se conectar a um banco de dados de cluster usando uma conexão JDBC ou ODBC com credenciaisde banco de dados do IAM ou chamar de modo programático a ação GetClusterCredentials, vocêprecisará de um conjunto mínimo de permissões. No mínimo, você precisará de permissão para chamar aação redshift:GetClusterCredentials com acesso a um recurso dbuser.

Se você usar uma conexão JDBC ou ODBC, em vez de especificar server e port, você poderáespecificar cluster_id e region; mas, para fazer isso, sua política deve permitir a açãoredshift:DescribeClusters com acesso ao recurso cluster.

Se chamar GetClusterCredentials com os parâmetros opcionais Autocreate, DbGroups eDbName, você também precisará permitir as ações e permitir acesso aos recursos listados na tabela aseguir.

Parâmetro deGetClusterCredentials

Ação Recurso

Autocreate redshift:CreateClusterUserdbuser

DbGroups redshift:JoinGroupdbgroup

DbName NA dbname

Para obter mais informações sobre recursos, consulte Recursos e operações do AmazonRedshift (p. 221).

Você também pode incluir as seguintes condições na política:

• redshift:DurationSeconds

• redshift:DbName

• redshift:DbUser

Para obter mais informações sobre as condições, consulte Especificar condições em umapolítica (p. 224).

Políticas gerenciadas (predefinidas) pela AWS para o AmazonRedshiftA AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas eadministradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de usocomuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias.Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

As seguintes políticas gerenciadas pela AWS, que você pode associar a usuários na conta, sãoespecíficas ao Amazon Redshift:

229

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies


• AmazonRedshiftReadOnlyAccess – Concede acesso de somente leitura a todos os recursos do AmazonRedshift da conta da AWS.

• AmazonRedshiftFullAccess – Concede acesso total a todos os recursos do Amazon Redshift da conta daAWS.

• AmazonRedshiftQueryEditor – Concede acesso total ao Query Editor no console do Amazon Redshift.

Você também pode criar suas próprias políticas do IAM personalizadas e conceder permissões para açõese recursos de API do Amazon Redshift. Você pode anexar essas políticas personalizadas a usuários ougrupos do IAM que exijam essas permissões.

Exemplos de política gerenciada pelo clienteNesta seção, você encontrará exemplos de políticas de usuário que concedem permissões para diversasações do Amazon Redshift. Essas políticas funcionam quando você está usando a API do AmazonRedshift, AWS SDKs ou a AWS CLI.

Note

Todos os exemplos usam a região Oeste dos EUA (Oregon) (us-west-2) e contêm IDs de contafictícios.

Exemplo 1: permitir ao usuário acesso total a todas as ações e recursos doAmazon RedshiftA política a seguir permite o acesso a todas as ações do Amazon Redshift em todos os recursos.

{ "Version": "2012-10-17", "Statement": [ { "Sid":"AllowRedshift", "Action": [ "redshift:*" ], "Effect": "Allow", "Resource": "*" } ]}

O valor redshift:* no elemento Action indica todas as ações no Amazon Redshift.

Exemplo 2: negar o acesso de usuário a um conjunto de ações do AmazonRedshiftPor padrão, todas as permissões são negadas. Contudo, às vezes você precisa negar explicitamente oacesso a uma ação ou conjunto de ações específico. As seguintes políticas permitem o acesso a todasações do Amazon Redshift e negam explicitamente o acesso a qualquer ação do Amazon Redshift cujonome comece com Delete. Essa política se aplica a todos os recursos do Amazon Redshift em us-west-2.

{ "Version": "2012-10-17", "Statement": [ { "Sid":"AllowUSWest2Region", "Action": [ "redshift:*"

230


], "Effect": "Allow", "Resource": "arn:aws:redshift:us-west-2:*" }, { "Sid":"DenyDeleteUSWest2Region", "Action": [ "redshift:Delete*" ], "Effect": "Deny", "Resource": "arn:aws:redshift:us-west-2:*" } ]}

Exemplo 3: permitir que um usuário gerencie clustersA seguinte política permite que um usuário crie, exclua, modifique e reinicialize todos os clusters e, então,nega permissão para excluir ou alterar qualquer cluster cujo nome de cluster inicie com protected.

{ "Version": "2012-10-17", "Statement": [ { "Sid":"AllowClusterManagement", "Action": [ "redshift:CreateCluster", "redshift:DeleteCluster", "redshift:ModifyCluster", "redshift:RebootCluster" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Sid":"DenyDeleteProtected", "Action": [ "redshift:DeleteCluster" ], "Resource": [ "arn:aws:redshift:us-west-2:123456789012:cluster:protected*" ], "Effect": "Deny" } ]}

Exemplo 4: permitir que um usuário autorize e revogue acesso ao snapshotA seguinte política permite que um usuário, por exemplo o Usuário A, faça o seguinte:

• Autorize o acesso a qualquer snapshot criado a partir de um cluster chamado shared.• Revogue o acesso a snapshot para qualquer snapshot criado a partir do cluster shared cujo nome de

snapshot inicie com revokable.

{ "Version": "2012-10-17", "Statement": [ {

231


"Sid":"AllowSharedSnapshots", "Action": [ "redshift:AuthorizeSnapshotAccess" ], "Resource": [ "arn:aws:redshift:us-west-2:123456789012:shared/*" ], "Effect": "Allow" }, { "Sid":"AllowRevokableSnapshot", "Action": [ "redshift:RevokeSnapshotAccess" ], "Resource": [ "arn:aws:redshift:us-west-2:123456789012:snapshot:*/revokable*" ], "Effect": "Allow" } ]}

Se o Usuário A tiver permitido que o Usuário B acesse um snapshot, o Usuário B deve ter uma políticacomo a seguinte para permitir que o Usuário B restaure um cluster do snapshot. A seguinte política permiteque o Usuário B descreva e restaure snapshots e crie clusters. O nome desses clusters deve iniciar comfrom-other-account.

{ "Version": "2012-10-17", "Statement": [ { "Sid":"AllowDescribeSnapshots", "Action": [ "redshift:DescribeClusterSnapshots" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Sid":"AllowUserRestoreFromSnapshot", "Action": [ "redshift:RestoreFromClusterSnapshot" ], "Resource": [ "arn:aws:redshift:us-west-2:123456789012:snapshot:*/*", "arn:aws:redshift:us-west-2:444455556666:cluster:from-other-account*" ], "Effect": "Allow" } ]}

Exemplo 5: permitir que um usuário copie um snapshot de cluster e restaure umcluster de um snapshotA seguinte política permite que um usuário copie qualquer snapshot criado a partir de um cluster chamadobig-cluster-1 e restaure qualquer snapshot cujo nome inicie com snapshot-for-restore.

{ "Version": "2012-10-17",

232


"Statement": [ { "Sid":"AllowCopyClusterSnapshot", "Action": [ "redshift:CopyClusterSnapshot" ], "Resource": [ "arn:aws:redshift:us-west-2:123456789012:snapshot:big-cluster-1/*" ], "Effect": "Allow" }, { "Sid":"AllowRestoreFromClusterSnapshot", "Action": [ "redshift:RestoreFromClusterSnapshot" ], "Resource": [ "arn:aws:redshift:us-west-2:123456789012:snapshot:*/snapshot-for-restore*", "arn:aws:redshift:us-west-2:123456789012:cluster:*" ], "Effect": "Allow" } ]}

Exemplo 6: permitir o acesso de um usuário ao Amazon Redshift, e ações erecursos comuns para serviços relacionados da AWSA política de exemplo a seguir permite acesso a todas as ações e recursos para Amazon Redshift, AmazonSimple Notification Service (Amazon SNS) e Amazon CloudWatch. Também permite ações especificadasem todos os recursos relacionados do Amazon EC2 na conta.

Note

Permissões em nível de recurso não são compatíveis para as ações do Amazon EC2 que estãoespecificadas nessa política de exemplo.

{ "Version": "2012-10-17", "Statement": [ { "Sid":"AllowRedshift", "Effect": "Allow", "Action": [ "redshift:*" ], "Resource": [ "*" ] }, { "Sid":"AllowSNS", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "*" ] }, { "Sid":"AllowCloudWatch", "Effect": "Allow", "Action": [

233


"cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid":"AllowEC2Actions", "Effect": "Allow", "Action": [ "ec2:AllocateAddress", "ec2:AssociateAddress", "ec2:AttachNetworkInterface", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Resource": [ "*" ] } ]}

Política de exemplo para usar GetClusterCredentialsA política a seguir usa esses valores de parâmetro de exemplo:

• Região: us-west-2• Conta da AWS: 123456789012• Nome do cluster: examplecluster

A política a seguir permite as ações GetCredentials, CreateClusterUser e JoinGroup. A políticausa chaves de condição para permitir as ações GetClusterCredentials e CreateClusterUsersomente quando o ID do usuário da AWS corresponde a "AIDIODR4TAW7CSEXAMPLE:${redshift:DbUser}@yourdomain.com". O acesso ao IAM é solicitado somente para o bancode dados "testdb". A política também permite que os usuários ingressem em um grupo chamado"common_group".

{"Version": "2012-10-17", "Statement": [ { "Sid": "GetClusterCredsStatement", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:us-west-2:123456789012:dbuser:examplecluster/${redshift:DbUser}", "arn:aws:redshift:us-west-2:123456789012:dbname:examplecluster/testdb", "arn:aws:redshift:us-west-2:123456789012:dbgroup:examplecluster/common_group" ], "Condition": { "StringEquals": { "aws:userid":"AIDIODR4TAW7CSEXAMPLE:${redshift:DbUser}@yourdomain.com" }

234

Amazon Redshift Guia de gerenciamento de clustersReferência de permissões da API do Amazon Redshift

} }, { "Sid": "CreateClusterUserStatement", "Effect": "Allow", "Action": [ "redshift:CreateClusterUser" ], "Resource": [ "arn:aws:redshift:us-west-2:123456789012:dbuser:examplecluster/${redshift:DbUser}" ], "Condition": { "StringEquals": { "aws:userid":"AIDIODR4TAW7CSEXAMPLE:${redshift:DbUser}@yourdomain.com" } } }, { "Sid": "RedshiftJoinGroupStatement", "Effect": "Allow", "Action": [ "redshift:JoinGroup" ], "Resource": [ "arn:aws:redshift:us-west-2:123456789012:dbgroup:examplecluster/common_group" ] } ]} }}

Referência de permissões da API do Amazon RedshiftAo configurar o Controle de acesso (p. 220), escreva políticas de permissões que possam ser anexadasa uma identidade do IAM (políticas baseadas em identidade). Para obter informações de referênciadetalhadas, consulte Ações, recursos e chaves de condição do Amazon Redshift no Guia do usuário doIAM. Essa referência contém informações sobre quais operações de API do Amazon Redshift podem serusadas em uma política do IAM. Também inclui o recurso da AWS para o qual você pode conceder aspermissões e as chaves de condição que você pode incluir para um controle de acesso refinado. Paraobter mais informações sobre as condições, consulte Uso de condições de política do IAM para controle deacesso refinado (p. 225).

Você especifica as ações no campo Action da política, o valor de recurso no campo Resource dapolítica e as condições no campo Condition da política. Para especificar uma ação, use o prefixoredshift: seguido do nome da operação da API (por exemplo, redshift:CreateCluster).

Usar funções vinculadas ao serviço para o AmazonRedshiftAmazon Redshift usa AWS Identity and Access Management (IAM) funções vinculadas ao serviço. Afunção vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao AmazonRedshift. As funções vinculadas a serviço são predefinidas pelo Amazon Redshift e incluem todas aspermissões exigidas pelo serviço para chamar os serviços da AWS em nome do Amazon Redshift cluster.

Uma função vinculada ao serviço facilita a configuração do Amazon Redshift, já que não é precisoadicionar as permissões necessárias manualmente. A função é vinculada aos casos de uso do Amazon

235

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonredshift.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

Amazon Redshift Guia de gerenciamento de clustersUso de funções vinculadas a serviço

Redshift e tem permissões predefinidas. Somente o Amazon Redshift pode assumir a função e somentea função vinculada a serviço pode usar a política de permissões predefinidas. O Amazon Redshift criauma função vinculada a serviço em sua conta na primeira vez que você cria um cluster. Você pode excluira função vinculada a serviço somente após excluir todos os clusters do Amazon Redshift na conta. Issoprotege os recursos do Amazon Redshift porque você não pode remover inadvertidamente as permissõesnecessárias para acessar os recursos.

O Amazon Redshift oferece suporte a funções vinculadas a serviços em todas as regiões em que o serviçoestá disponível. Para obter mais informações, consulte AWS Regions and Endpoints.

Para obter informações sobre outros serviços que oferecem suporte às funções vinculadas ao serviço,consulte Serviços da AWS compatíveis que funcionam com o IAM e procure os serviços com Sim nacoluna Função vinculada ao serviço. Escolha um Sim com um link para exibir a documentação da funçãovinculada a serviço desse serviço.

Permissões da função vinculada ao serviço para o AmazonRedshiftO Amazon Redshift usa a função vinculada ao serviço chamada AWSServiceRoleForRedshift – AllowsAmazon Redshift to call AWS services on your behalf.

A função vinculada a serviço AWSServiceRoleForRedshift confia somente em redshift.amazonaws.compara assumir a função.

A política de permissões da função vinculada a serviço AWSServiceRoleForRedshift permite que oAmazon Redshift conclua o seguinte em todos os recursos relacionados:

• ec2:DescribeVpcs

• ec2:DescribeSubnets

• ec2:DescribeNetworkInterfaces

• ec2:DescribeAddress

• ec2:AssociateAddress

• ec2:DisassociateAddress

• ec2:CreateNetworkInterface

• ec2:DeleteNetworkInterface

• ec2:ModifyNetworkInterfaceAttribute

Para permitir que uma entidade do IAM crie AWSServiceRoleForRedshift funções vinculadas a serviço

Adicione a seguinte instrução de política às permissões dessa entidade do IAM:

{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::<AWS-account-ID>:role/aws-service-role/redshift.amazonaws.com/AWSServiceRoleForRedshift", "Condition": {"StringLike": {"iam:AWSServiceName": "redshift.amazonaws.com"}}}

Para permitir que uma entidade do IAM exclua AWSServiceRoleForRedshift funções vinculadas a serviço

Adicione a seguinte instrução de política às permissões dessa entidade do IAM:

236

https://docs.aws.amazon.com/general/latest/gr/rande.html?id=docs_gateway#redshift_region

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

Amazon Redshift Guia de gerenciamento de clustersUsar a autenticação do IAM para gerar

credenciais do usuário do banco de dados

{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::<AWS-account-ID>:role/aws-service-role/redshift.amazonaws.com/AWSServiceRoleForRedshift", "Condition": {"StringLike": {"iam:AWSServiceName": "redshift.amazonaws.com"}}}

Como alternativa, você pode usar uma política gerenciada da AWS para fornecer acesso completo aoAmazon Redshift.

Criar uma função vinculada ao serviço para o Amazon RedshiftVocê não precisa criar manualmente uma função vinculada a serviço AWSServiceRoleForRedshift. OAmazon Redshift cria a função serviço vinculada a serviço para você. Se a função vinculada a serviçoAWSServiceRoleForRedshift foi excluída da conta, o Amazon Redshift criará a função quando você iniciarum novo cluster do Amazon Redshift.

Important

Além disso, se você estava usando o serviço do Amazon Redshift antes da September 18, 2017,quanto foi introduzido o suporte a funções vinculadas a serviço, o Amazon Redshift criou a funçãoAWSServiceRoleForRedshift na sua conta. Para saber mais, consulte Uma nova função apareceuna minha conta do IAM.

Editar uma função vinculada ao serviço para o Amazon RedshiftO Amazon Redshift não permite que você edite a função vinculada ao serviçoAWSServiceRoleForRedshift. Depois que você criar uma função vinculada a serviço, não poderá alteraro nome da função, pois várias entidades podem fazer referência à função. No entanto, é possível editar adescrição da função usando o console do IAM, a interface da linha de comando da AWS (AWS CLI) ou aAPI do IAM. Para obter mais informações, consulte Modificar uma função no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço para o Amazon RedshiftSe você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, érecomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitoradaativamente ou mantida.

Para que você possa excluir uma função vinculada a serviço para uma conta, será necessário desligare excluir todos os clusters da conta. Para obter mais informações, consulte Desativação e exclusão declusters (p. 33).

Também é possível usar o console do IAM, a AWS CLI ou a API do IAM para excluir uma função vinculadaao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia dousuário do IAM.

Usar a autenticação do IAM para gerar credenciais dousuário do banco de dadosÉ possível gerar credenciais de banco de dados temporárias com base nas permissões concedidas pormeio de uma política de permissões do AWS Identity and Access Management (IAM) para gerenciar oacesso dos usuários ao banco de dados do Amazon Redshift.

237

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRedshiftFullAccess

https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared

https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role



Geralmente, os usuários de banco de dados do Amazon Redshift fazem login no banco de dadosfornecendo um nome de usuário e uma senha. No entanto, não é necessário manter nomes de usuário esenhas no banco de dados do Amazon Redshift. Como alternativa, é possível configurar o sistema parapermitir que os usuários criem credenciais de usuário e façam login no banco de dados com base em suascredenciais do IAM.

Para obter mais informações, consulte Provedores de identidade e federação no Guia do usuário do IAM.

Tópicos• Visão geral (p. 238)• Criar credenciais temporárias do usuário do IAM (p. 239)• Opções para fornecer credenciais do IAM (p. 248)

Visão geralO Amazon Redshift fornece a operação de API GetClusterCredentials para gerar credenciais de usuário debanco de dados temporárias. Você pode configurar o cliente SQL com drivers JDBC ou ODBC do AmazonRedshift que gerenciam o processo de chamada da operação GetClusterCredentials. Eles fazemisso recuperando as credenciais de usuário de banco de dados e estabelecendo uma conexão entre ocliente SQL e o banco de dados do Amazon Redshift. Você também pode usar o aplicativo de banco dedados para chamar a ação GetClusterCredentials, recuperar credenciais de usuário de base dedados e conectar-se ao banco de dados de modo programático.

Se você já gerencia identidades de usuário fora da AWS, é possível usar um provedor de identidade (IdP)compatível com o Security Assertion Markup Language (SAML) 2.0 para gerenciar o acesso a recursosdo Amazon Redshift. Configure o IdP para permitir o acesso de usuários federados à função do IAM. Comessa função do IAM, é possível gerar credenciais de banco de dados temporárias e fazer login nos bancosde dados do Amazon Redshift.

O cliente SQL precisa de permissão para chamar a operação GetClusterCredentials para você.Para gerenciar essas permissões, crie uma função do IAM e anexe a política de permissões do IAM queconcede ou restringe o acesso à operação GetClusterCredentials e às ações relacionadas.

A política também concede ou restringe o acesso a recursos específicos, como clusters, bancos de dados,nomes de usuário de banco de dados e nomes de grupo de usuários do Amazon Redshift.

Note

É recomendável usar os drivers JDBC ou ODBC do Amazon Redshift para gerenciar o processode chamada da operação GetClusterCredentials e de logon no banco de dados. Parasimplificar, partimos do pressuposto de que você está usando um cliente SQL com drivers JDBCou ODBC durante todo este tópico.Para obter detalhes específicos e exemplos de uso da operação GetClusterCredentials oudo comando paralelo da CLI get-cluster-credentials, consulte GetClusterCredentials eget-cluster-credentials.

Para gerenciar a autenticação e a autorização centralmente, o Amazon Redshift oferece suporte àautenticação de banco de dados com o IAM, permitindo a autenticação do usuário por meio da federaçãoempresarial. Em vez de criar um usuário do IAM, nessa abordagem, use identidades existentes do AWSDirectory Service, do diretório de usuários corporativos ou de um provedor de identidades da web. Estessão conhecidos como usuários federados. A AWS atribui uma função a um usuário federado quando oacesso é solicitado por meio de um IdP.

Para fornecer acesso federado a um usuário ou um aplicativo cliente na sua organização para chamaroperações da API do Amazon Redshift, também é possível usar o driver JDBC ou ODBC que oferece

238


https://docs.aws.amazon.com/redshift/latest/APIReference/API_GetClusterCredentials.html


https://docs.aws.amazon.com/cli/latest/reference/redshift/get-cluster-credentials.html



suporte ao SAML 2.0 para solicitar autenticação do IdP da organização. Nesse caso, os usuários da suaorganização não têm acesso direto ao Amazon Redshift.

Criar credenciais temporárias do usuário do IAMNesta seção, você pode encontrar como configurar o sistema para gerar credenciais de usuário de bancode dados temporárias baseadas no IAM e fazer login no banco de dados usando as novas credenciais.

Basicamente, o fluxo do processo é o seguinte:

1. Etapa 1: criar uma função do IAM para acesso por logon único (SSO) do IAM (p. 239)

(Opcional) Você pode autenticar os usuários para acessar um banco de dados do Amazon Redshiftintegrando a autenticação do IAM e um provedor de identidade (IdP) de terceiros.

2. Etapa 2: configurar declarações de SAML para o IdP (p. 239)

(Opcional) Para usar a autenticação do IAM usando um IdP, é necessário definir uma regra dereivindicação no aplicativo do IdP que mapeie usuários ou grupos da organização para a funçãodo IAM. Opcionalmente, você pode incluir elementos de atributo para definir parâmetros deGetClusterCredentials.

3. Etapa 3: criar uma função do IAM ou um usuário com permissões para chamarGetClusterCredentials (p. 241)

Seu aplicativo cliente SQL assume a função do IAM quando chama a operaçãoGetClusterCredentials. Se você tiver criado uma função do IAM para acesso do provedor deidentidade, poderá adicionar a permissão necessária a essa função.

4. Etapa 4: criar um usuário de banco de dados e grupos de bancos de dados (p. 242)

(Opcional) Por padrão, GetClusterCredentials retorna credenciais para criar um novo usuáriose o nome de usuário não existir. Você também pode especificar grupos de usuários aos quais osusuários poderão se associar no logon. Por padrão, os usuários de banco de dados se associam aogrupo PUBLIC.

5. Etapa 5: configurar uma conexão JDBC ou ODBC para usar credenciais do IAM (p. 243)

Para conectar-se ao banco de dados do Amazon Redshift, configure o cliente SQL para usar um driverJDBC ou ODBC do Amazon Redshift.

Etapa 1: criar uma função do IAM para acesso por logon único (SSO) do IAM

Se você não usa um provedor de identidade para acesso de logon único, ignore esta etapa.

Se você já gerencia identidades de usuário fora da AWS, pode autenticar usuários para acesso a umbanco de dados do Amazon Redshift integrando a autenticação do IAM e um provedor de identidade (IdP)do SAML 2.0 de terceiros.

Para obter mais informações, consulte Provedores de identidade e federação no Guia do usuário do IAM.

Para que você possa usar a autenticação IdP do Amazon Redshift, crie um provedor de identidade SAMLda AWS. Crie um IdP no console do IAM para informar a AWS sobre o IdP e sua configuração. Issoestabelece a confiança entre a conta da AWS e o IdP. Para conhecer as etapas de criação de uma função,consulte Criar uma função para uma federação do SAML 2.0 (console) no Guia do usuário do IAM.

Etapa 2: configurar declarações de SAML para o IdP

Após criar a função do IAM, defina uma regra de reivindicação no aplicativo do IdP para mapear usuáriosou grupos da organização para a função do IAM. Para obter mais informações, consulte Configurardeclarações de SAML para a resposta de autenticação no Guia do usuário do IAM.

239


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html?icmpid=docs_iam_console

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html



Se você optar por usar os parâmetros opcionais de GetClusterCredentials DbUser, AutoCreatee DbGroups, terá duas opções. Você poderá definir os valores dos parâmetros com a conexão JDBCou ODBC ou definir os valores adicionando elementos de atributo de SAML ao IdP. Para obter maisinformações sobre os parâmetros DbGroups, DbUser e AutoCreate, consulte Etapa 5: configurar umaconexão JDBC ou ODBC para usar credenciais do IAM (p. 243).

Note

Se você usar uma variável de política do IAM ${redshift:DbUser}, conforme descrito emPolíticas de recursos de GetClusterCredentials (p. 229), o valor para DbUser será substituídopelo valor recuperado pelo contexto da solicitação da operação de API. Os drivers do AmazonRedshift usam o valor para a variável DbUser fornecida pelo URL da conexão, em vez do valorfornecido como um atributo de SAML.Para ajudar a proteger essa configuração, recomendamos que você use uma condição em umapolítica do IAM para validar o valor DbUser usando o RoleSessionName. Você pode encontrarexemplos de como definir uma condição usando uma política do IAM em Política de exemplo parausar GetClusterCredentials (p. 234).

Para configurar o IdP para definir os parâmetros DbGroups, DbUser e AutoCreate, inclua os seguinteselementos Attribute:

• Um elemento Attribute com o atributo Name definido para "https://redshift.amazon.com/SAML/Attributes/DbUser"

Defina o elemento AttributeValue como o nome de um usuário que se conectará ao banco de dadosdo Amazon Redshift.

O valor do elemento AttributeValue deve estar em minúsculas, começar com uma letra, contersomente caracteres alfanuméricos, sublinhado ("_"), sinal de adição ("+"), ponto ("."), arroba ("@") ouhífen ("-") e ter menos de 128 caracteres. Normalmente, o nome de usuário é um ID de usuário (porexemplo, bobsmith) ou um endereço de e-mail (por exemplo, [email protected]). O valor nãopode incluir um espaço (por exemplo, o nome de exibição de um usuário, como Bob Smith).

<Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbUser"> <AttributeValue>user-name</AttributeValue></Attribute>

• Um elemento Attribute com o atributo Name definido para "https://redshift.amazon.com/SAML/Attributes/AutoCreate"

Defina o elemento AttributeValue como true para criar um novo usuário de banco de dados caso nãoexista um. Defina o AttributeValue como false para especificar que deve existir um usuário de banco dedados no banco de dados do Amazon Redshift.

<Attribute Name="https://redshift.amazon.com/SAML/Attributes/AutoCreate"> <AttributeValue>true</AttributeValue></Attribute>

• Um elemento Attribute com o atributo Name definido para "https://redshift.amazon.com/SAML/Attributes/DbGroups"

Este elemento contém um ou mais elementos AttributeValue. Defina cada elementoAttributeValue para um nome de grupo de bancos de dados ao qual o DbUser se associará durantea sessão ao conectar-se ao banco de dados do Amazon Redshift.

<Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbGroups"> <AttributeValue>group1</AttributeValue> <AttributeValue>group2</AttributeValue> <AttributeValue>group3</AttributeValue>

240



</Attribute>

Etapa 3: criar uma função do IAM ou um usuário com permissões para chamarGetClusterCredentialsSeu cliente SQL precisa de autorização para chamar a operação GetClusterCredentials em seunome. Para fornecer essa autorização, crie um usuário ou uma função do IAM e anexe uma política queconceda as permissões necessárias.

Para criar uma função do IAM com permissões para chamar GetClusterCredentials

1. Usando o serviço do IAM, crie um usuário ou uma função do IAM. Você também pode utilizar umusuário ou uma função existente. Por exemplo, se você tiver criado uma função do IAM para acessodo provedor de identidade, poderá anexar as políticas do IAM necessária a essa função.

2. Anexe uma política de permissão com permissão para chamar a operaçãoredshift:GetClusterCredentials. Dependendo de quais parâmetros opcionais foremespecificados, você também poderá permitir ou restringir ações e recursos adicionais na política:

• Para permitir que o cliente SQL recupere o ID do cluster, a região da AWS e a porta, incluapermissão para chamar a operação redshift:DescribeClusters com o recurso de cluster doRedshift.

• Se você usar a opção AutoCreate, inclua uma permissão para chamarredshift:CreateClusterUser com o recurso dbuser. O nome de recurso da Amazon (ARN)a seguir especifica o dbuser do Amazon Redshift. Substitua region, account-id e cluster-name pelos valores da sua região, sua conta e seu cluster da AWS. Em dbuser-name, especifiqueo nome de usuário a ser usado para fazer login no banco de dados do cluster.

arn:aws:redshift:region:account-id:dbuser:cluster-name/dbuser-name

• (Opcional) Adicione um ARN que especifique o recurso dbname do Amazon Redshift no formato aseguir. Substitua region, account-id e cluster-name pelos valores da sua região, sua contae seu cluster da AWS. Em database-name, especifique o nome de um banco de dados no qual ousuário fará login.

arn:aws:redshift:region:account-id:dbname:cluster-name/database-name

• Se você usar a opção DbGroups, inclua permissão para chamar a operaçãoredshift:JoinGroup com o recurso dbgroup do Amazon Redshift no formato a seguir.Substitua region, account-id e cluster-name pelos valores da sua região, sua conta e seucluster da AWS. Em dbgroup-name, especifique o nome de um grupo de usuários ao qual ousuário se associará no login.

arn:aws:redshift:region:account-id:dbgroup:cluster-name/dbgroup-name

Para obter mais informações e exemplos, consulte Políticas de recursos deGetClusterCredentials (p. 229).

O exemplo a seguir mostra uma política que permite que a função do IAM chame a operaçãoGetClusterCredentials. A especificação do recurso Amazon Redshift do dbuser concede àfunção acesso ao nome de usuário de banco de dados temp_creds_user no cluster chamadoexamplecluster.

{

241



"Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": "arn:aws:redshift:us-west-2:123456789012:dbuser:examplecluster/temp_creds_user" }}

Você pode usar um curinga (*) para substituir, total ou parcialmente, o nome do cluster, o nome de usuárioe os nomes de grupo de bancos de dados. O exemplo a seguir permite que qualquer nome de usuáriocomece com temp_ em qualquer cluster na conta especificada.

Important

A instrução no exemplo a seguir especifica um caractere coringa (*) como parte do valor para orecurso, para que a política permita qualquer nome de recurso que comece com os caracteresespecificados. Usar um caractere coringa em suas políticas de IAM pode ser excessivamentepermissivo. Como uma prática recomendada, recomendamos o uso de políticas mais restritivaspossíveis para seu aplicativo de negócios.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": "arn:aws:redshift:us-west-2:123456789012:dbuser:*/temp_*" }}

O exemplo a seguir mostra uma política que permite que a função do IAM chame a operaçãoGetClusterCredentials com a opção de criar automaticamente um novo usuário e especificar gruposaos quais o usuário se associará no login. A cláusula "Resource": "*" concede à função acesso aqualquer recurso, incluindo clusters, usuários de banco de dados ou grupos de usuários.

"Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials", "redshift:CreateClusterUser", "redshift:JoinGroup" ], "Resource": "*" }}

Para obter mais informações, consulte Amazon Redshift ARN syntax.

Etapa 4: criar um usuário de banco de dados e grupos de bancos de dadosSe desejar, é possível criar um usuário de banco de dados que você usará para fazer login no bancode dados do cluster. Se você criar credenciais de usuário temporárias para um usuário existente,poderá desabilitar a senha do usuário para forçar o usuário a fazer logon com a senha temporária.Como alternativa, você pode usar a opção Autocreate de GetClusterCredentials para criarautomaticamente um novo usuário de banco de dados.

É possível criar grupos de usuários de banco de dados com as permissões às quais o usuário do banco dedados do IAM deve se associar no login. Quando você chamar a operação GetClusterCredentials,poderá especificar uma lista de nomes de grupo de usuários aos quais o novo usuário se associará no

242

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-redshift



login. Essas associações de grupos são válidas somente para sessões criadas através das credenciaisgeradas com a solicitação específica.

Para criar um usuário de banco de dados e grupos de bancos de dados

1. Faça login no banco de dados do Amazon Redshift e crie um usuário de banco de dados usandoCREATE USER ou altere um usuário existente usando ALTER USER.

2. Se desejar, especifique a opção PASSWORD DISABLE para impedir que o usuário utilize uma senha.Quando a senha de um usuário for desabilitada, ele só poderá fazer logon usando as credenciaistemporárias do usuário do IAM. Se a senha não for desabilitada, o usuário poderá fazer logon com asenha ou usando as credenciais temporárias do usuário do IAM. Não é possível desabilitar a senha deum superusuário.

O exemplo a seguir cria um usuário com a senha desabilitada.

create user temp_creds_user password disable;

O exemplo a seguir desabilita a senha de um usuário existente.

alter user temp_creds_user password disable;

3. Crie grupos de usuários de banco de dados usando CREATE GROUP.4. Use o comando GRANT para definir os privilégios de acesso dos grupos.

Etapa 5: configurar uma conexão JDBC ou ODBC para usar credenciais do IAMVocê pode configurar seu cliente SQL com um driver JDBC ou ODBC do Amazon Redshift. Este drivergerencia o processo de criação de credenciais de usuário do banco de dados e estabelecer uma conexãoentre seu cliente SQL e seu banco de dados Amazon Redshift.

Se você usa um provedor de identidade para autenticação, especifique o nome de um plug-in de provedorde credenciais. Os drivers JDBC e ODBC do Amazon Redshift incluem plug-ins para os seguintesprovedores de identidade baseados em SAML:

• Active Directory Federation Services (AD FS)• PingOne• Okta• Microsoft Azure AD

Para obter as etapas para configurar o Microsoft Azure AD como um provedor de identidade, consulteConfigurar a autenticação de logon único de JDBC ou ODBC com o Microsoft Azure AD (p. 253).

Para configurar uma conexão JDBC para usar credenciais do IAM

1. Faça download do driver JDBC mais recente do Amazon Redshift na página Configurar uma conexãoJDBC (p. 82).

Important

O driver JDBC do Amazon Redshift deve ser a versão 1.2.7.1003 ou posterior.2. Crie um URL de JDBC com as opções de credenciais do IAM em um dos formatos a seguir. Para

usar a autenticação do IAM, adicione iam: ao URL do JDBC do Amazon Redshift seguido porjdbc:redshift: conforme especificado no exemplo a seguir.

jdbc:redshift:iam://

243

https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_USER.html

https://docs.aws.amazon.com/redshift/latest/dg/r_ALTER_USER.html

https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_GROUP.html

https://docs.aws.amazon.com/redshift/latest/dg/r_GRANT.html



Substitua region, account-id e cluster-name pelos valores da sua região, sua conta e seucluster da AWS. O driver JDBC usa as informações da conta do IAM e o nome do cluster pararecuperar o ID do cluster, a região da AWS e o número da porta. Para fazer isso, seu usuário oufunção do IAM deve ter permissão para chamar a operação redshift:DescribeClusters com ocluster especificado.

jdbc:redshift:iam://cluster-name:region/dbname

Se o usuário ou a função do IAM não tiver permissão para chamar a operaçãoredshift:DescribeClusters, inclua o ID do cluster, a região da AWS e a porta conformeespecificado no exemplo a seguir. O número da porta é opcional. A porta padrão é 5439.

jdbc:redshift:iam://examplecluster.abc123xyz789.us-west-2.redshift.amazonaws.com:5439/dev

3. Adicione opções JDBC para fornecer credenciais do IAM. Use combinações diferentes de opçõesJDBC para fornecer credenciais do IAM. Para obter mais detalhes, consulte Opções JDBC e ODBCpara criar credenciais de usuário de banco de dados (p. 272).

O URL a seguir especifica o AccessKeyID e a SecretAccessKey para um usuário do IAM.

jdbc:redshift:iam://examplecluster:us-west-2/dev?AccessKeyID=AKIAIOSFODNN7EXAMPLE&SecretAccessKey=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

O exemplo a seguir especifica um perfil nomeado que contém as credenciais do IAM.

jdbc:redshift:iam://examplecluster:us-west-2/dev?Profile=user2

4. Adicione opções JDBC que o driver JDBC usa para chamar a operação GetClusterCredentialsda API. Não inclua essas opções se você chamar a operação GetClusterCredentials da API deforma programática.

O exemplo a seguir inclui as opções JDBC do GetClusterCredentials.

jdbc:redshift:iam://examplecluster:us-west-2/dev?plugin_name=com.amazon.redshift.plugin.AzureCredentialsProvider&UID=user&PWD=password&idp_tenant=my_tenant&client_secret=my_secret&client_id=my_id

Para configurar uma conexão ODBC para usar credenciais do IAM

No procedimento a seguir, você pode encontrar etapas somente para configurar a autenticação do IAM.Para que as etapas usem autenticação padrão, usando um nome de usuário de banco de dados e umasenha, consulte Configurar uma conexão ODBC (p. 90).

1. Instale e configure o driver ODBC mais recente do Amazon Redshift para o sistema operacional. Paraobter mais informações, consulte a página Configurar uma conexão ODBC (p. 90).

Important

O driver ODBC do Amazon Redshift deve ser a versão 1.3.6.1000 ou posterior.2. Siga as etapas referentes ao seu sistema operacional para definir as configurações de conexão.

Para obter mais informações, consulte um dos seguintes:

• Instalar e configurar o driver ODBC do Amazon Redshift no Microsoft Windows (p. 91)

244



• Configurar o driver ODBC em sistemas operacionais Linux e macOS X (p. 96)3. Nos sistemas operacionais Microsoft Windows, acesse a janela de configuração de DSN do driver

ODBC do Amazon Redshift.

a. Em Connection Settings, insira as seguintes informações:

• Nome da fonte de dados• Server (opcional)• Port (opcional)• Database

Se o usuário ou a função do IAM tiver permissão para chamar a operaçãoredshift:DescribeClusters, somente as opções Data Source Name (Nome da fonte dedados) e Database (Banco de dados) serão obrigatórias. O Amazon Redshift usa ClusterId eRegion (Região) para obter o servidor e a porta chamando a operação DescribeCluster.

Se o usuário ou a função do IAM não tiver permissão para chamar a operaçãoredshift:DescribeClusters, especifique Server (Servidor) e Port (Porta). A porta padrão é5439.

b. Em Autenticação, escolha um valor para Auth Type (Tipo de autenticação).

Para cada tipo de autenticação, insira valores conforme listado a seguir:

Perfil da AWS

Insira as seguintes informações:• ClusterID• Região• Profile name

Insira o nome de um perfil em um arquivo de configuração da AWS que contenha valorespara as opções de conexão ODBC. Para obter mais informações, consulte Uso de um perfilde configuração (p. 249).

(Opcional) Forneça detalhes para opções que o driver ODBC usa para chamar a operaçãoGetClusterCredentials da API:• DbUser• User AutoCreate• DbGroups

Para obter mais informações, consulte Opções JDBC e ODBC para criar credenciais deusuário de banco de dados (p. 272).

Credenciais do IAM

Insira as seguintes informações:• ClusterID• Região• AccessKeyID e SecretAccessKey

O ID de chave de acesso e a chave de acesso secreta da função ou do usuário do IAMconfigurado para autenticação do banco de dados do IAM.

• SessionToken245



SessionToken é obrigatório para uma função do IAM com credenciais temporárias. Paraobter mais informações, consulte Credenciais de segurança temporárias.

Forneça detalhes para opções que o driver ODBC usa para chamar a operaçãoGetClusterCredentials da API:• DbUser (obrigatório)• User AutoCreate (opcional)• DbGroups (opcional)


Provedor de identidade: AD FS

Para Autenticação Integrada do Windows com AD FS, deixe User and Password vazios.

Forneça os detalhes do IdP:• IdP Host

O nome do host corporativo do provedor de identidade. Este nome não deve conter barras(/).

• IdP Port (opcional)

A porta usada pelo provedor de identidade. O padrão é 443.• Preferred Role

O nome de recurso da Amazon (ARN) de uma função do IAM nos elementosAttributeValue de vários valores do atributo Role na declaração de SAML. Trabalhecom o administrador do IdP para localizar o valor apropriado da função preferencial. Paraobter mais informações, consulte Configurar declarações de SAML para o IdP (p. 239).



Provedor de identidade: PingFederate

Em User (Usuário) e Password (Senha), insira o nome de usuário e a senha do IdP.



• IdP Port (opcional)

A porta usada pelo provedor de identidade. O padrão é 443.• Preferred Role

246

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html



O nome de recurso da Amazon (ARN) de uma função do IAM nos elementosAttributeValue de vários valores do atributo Role na declaração de SAML. Trabalhecom o administrador do IdP para localizar o valor apropriado da função preferencial. Paraobter mais informações, consulte Configurar declarações de SAML para o IdP (p. 239).



Provedor de identidade: Okta




• IdP Port

Esse valor não é usado pelo Okta.• Preferred Role

O nome de recurso da Amazon (ARN) da função do IAM nos elementos AttributeValuedo atributo Role na declaração de SAML. Trabalhe com o administrador do IdP paralocalizar o valor apropriado da função preferencial. Para obter mais informações, consulteConfigurar declarações de SAML para o IdP (p. 239).

• Okta App ID

O ID de um aplicativo do Okta. O valor de App ID vem depois de "amazon_aws" no link deincorporação de aplicativo do Okta. Consulte o administrador do IdP para obter esse valor.



Provedor de identidade: Azure AD


No Cluster ID (ID do cluster) e na Region (Região), insira o ID do cluster e a região da AWSdo cluster do Amazon Redshift.

247



Para Database (Banco de dados), insira o banco de dados que você criou para o cluster doAmazon Redshift.

Forneça os detalhes do IdP:• IdP Tenant (Locatário IdP)

O locatário usado para o Azure AD.• Azure Client Secret (Segredo do cliente do Azure)

O segredo do cliente do aplicativo empresarial do Amazon Redshift no Azure.• Azure Client ID (ID do cliente do Azure)

O ID do cliente (ID do aplicativo) do aplicativo empresarial do Amazon Redshift no Azure.



Opções para fornecer credenciais do IAMPara fornecer credenciais do IAM para uma conexão JDBC ou ODBC, escolha uma das opções a seguir.

• Perfil da AWS

Como alternativa ao fornecimento de valores de credenciais sob a forma de configurações JDBC ouODBC, você pode colocar os valores em um perfil nomeado. Para obter mais informações, consulte Usode um perfil de configuração (p. 249).

• Credenciais do IAM

Forneça valores para AccessKeyID, SecretAccessKey e, opcionalmente, SessionToken sob a formade configurações JDBC ou ODBC. SessionToken é obrigatório somente em uma função do IAM comcredenciais temporárias. Para obter mais informações, consulte Opções JDBC e ODBC para fornecercredenciais do IAM (p. 249).

• Federação do provedor de identidade

Ao usar a federação do provedor de identidade para permitir que usuários de um provedor de identidadese autentiquem no Amazon Redshift, especifique o nome de um plug-in do provedor de credenciais.Para obter mais informações, consulte Usar um plug-in de provedor de credenciais (p. 250).

Os drivers JDBC e ODBC do Amazon Redshift incluem plug-ins para os seguintes provedores decredenciais de federação de identidades baseados em SAML:• Microsoft Active Identity Federation Services (AD FS)• PingOne• Okta• Microsoft Azure Active Directory (Azure AD)

Você pode fornecer o nome de plug-in e valores relacionados sob a forma de configurações JDBCou ODBC ou usando um perfil. Para obter mais informações, consulte Configurar as opções do driverJDBC (p. 87) e Configurar as opções do driver ODBC (p. 99).

248



Para obter mais informações, consulte Configurar uma conexão JDBC ou ODBC para usar credenciais doIAM (p. 243).

Uso de um perfil de configuraçãoVocê pode fornecer as opções de credenciais do IAM e as opções de GetClusterCredentials comoconfigurações em perfis nomeados no arquivo de configuração da AWS. Para fornecer o nome do perfil,use a opção de perfil JDBC. A configuração é armazenada em um arquivo chamado config em umapasta chamada .aws no diretório base.

Para obter um plug-in de provedor de credenciais baseado em SAML incluído com um driver JDBC ouODBC do Amazon Redshift, é possível usar as configurações descritas anteriormente em Usar um plug-inde provedor de credenciais (p. 250). Se plugin_name não for usado, as outras opções serão ignoradas.

O exemplo a seguir mostra um arquivo de configuração com dois perfis.

[default]aws_access_key_id=AKIAIOSFODNN7EXAMPLEaws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[user2]aws_access_key_id=AKIAI44QH8DHBEXAMPLEaws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEYsession_token=AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQWLWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGdQrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz+scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA==

Para usar as credenciais do exemplo user2, especifique Profile=user2 no URL de JDBC.

Para obter mais informações sobre como usar perfis, consulte Perfis nomeados no Guia do usuário doAWS Command Line Interface.

Para obter mais informações sobre como usar perfis para o driver JDBC, consulte o Guia de instalação econfiguração do driver JDBC do Amazon Redshift.

Para obter mais informações sobre como usar perfis para o driver ODBC, consulte o Guia de instalação econfiguração do driver ODBC do Amazon Redshift.

Opções JDBC e ODBC para fornecer credenciais do IAMA tabela a seguir lista as opções JDBC e ODBC para fornecimento de credenciais do IAM.

Opção Descrição

Iam Para uso somente em uma string de conexão ODBC. Defina como 1 para usar aautenticação do IAM.

AccessKeyID

SecretAccessKey

SessionToken

O ID de chave de acesso e a chave de acesso secreta para a função do IAM ou o usuáriodo IAM configurado para autenticação de banco de dados do IAM. O SessionToken énecessário somente para uma função do IAM com credenciais temporárias. SessionTokennão é usado para um usuário do IAM. Para obter mais informações, consulte Credenciaisde segurança temporárias.

plugin_nameO nome totalmente qualificado de uma classe que implementa um provedor decredenciais. O driver JDBC do Amazon Redshift inclui plug-ins de provedor de credenciaisbaseados em SAML. Se você fornecer o plugin_name, também poderá fornecer outras

249

https://docs.aws.amazon.com/cli/latest/userguide/cli-multiple-profiles.html









Opção Descriçãoopções relacionadas. Para obter mais informações, consulte Usar um plug-in de provedorde credenciais (p. 250).

Profile O nome de um perfil em um arquivo de configuração ou credenciais da AWS quecontenha valores para as opções de conexão JDBC. Para obter mais informações,consulte Uso de um perfil de configuração (p. 249).

Usar um plug-in de provedor de credenciaisO Amazon Redshift usa plug-ins de provedor de credenciais para autenticação SSO.

Para oferecer suporte à autenticação SSO, o Amazon Redshift fornece o plug-in do Azure AD para oMicrosoft Azure Active Directory. Para obter informações sobre como configurar esse plugin, consulteConfigurar a autenticação de logon único de JDBC ou ODBC com o Microsoft Azure AD (p. 253).

Configurar a autenticação multifatorConfigurar a autenticação multifator

Para oferecer suporte à multi-factor authentication (MFA), o Amazon Redshift fornece plug-ins baseadosem navegador. Use o plug-in de navegador SAML para o Okta, o PingOne e o Active Directory FederationServices e o plug-in de navegador do Azure AD para o Microsoft Azure Active Directory.

Com o plug-in de navegador de SAML, a autenticação de SAML flui assim:

1. Um usuário tenta fazer login.2. O plug-in executa um servidor local para ouvir conexões de entrada no host local.3. O plug-in inicia um navegador da web para solicitar uma resposta de SAML por HTTPS a partir do

endpoint do provedor de identidade federado do URL de log-in SSO especificado.4. O navegador da web segue o link e solicita que o usuário insira as credenciais.5. Depois que o usuário autentica e concede consentimento, o endpoint do provedor de identidade

federado retorna uma resposta de SAML por HTTPS para o URI indicado por redirect_uri.

250



6. O navegador da web move a mensagem de resposta com a resposta de SAML para o redirect_uriindicado.

7. O servidor local aceita a conexão de entrada e o plug-in recupera a resposta de SAML e a transmite aoAmazon Redshift.

Com o plug-in de navegador do Azure AD, a autenticação de SAML flui assim:

1. Um usuário tenta fazer login.2. O plug-in executa um servidor local para ouvir conexões de entrada no host local.3. O plug-in inicia um navegador da web para solicitar um código de autorização do endpoint oauth2/

authorize do Azure AD.4. O navegador da web segue o link gerado por HTTPS e solicita que o usuário insira as credenciais. O

link é gerado com o uso de propriedades de configuração, como locatário e client_id.5. Depois que o usuário autentica e concede consentimento, o endpoint oauth2/authorize do Azure

AD retorna e envia uma resposta por HTTPS com o código de autorização para o redirect_uriindicado.

6. O navegador da web move a mensagem de resposta com a resposta de SAML para o redirect_uriindicado.

7. O servidor local aceita a conexão de entrada e as solicitações de plug-in e recupera o código deautorização e envia uma solicitação POST para o endpoint oauth2/token do Azure AD.

8. O endpoint oauth2/token do Azure AD retorna uma resposta com um token de acesso para oredirect_uri indicado.

9. O plug-in recupera a resposta de SAML e a transfere ao Amazon Redshift.

O Amazon Redshift fornece os seguintes plug-ins de provedor de credenciais:

251



• Active Directory Federation Services (AD FS)

Para obter mais informações, consulte Configurar a autenticação de logon único de JDBC ou ODBC como AD FS (p. 261).

• PingOne (Ping)

O ping é compatível somente com o adaptador IdP predeterminado do PingOne usando a autenticaçãode formulários.

Para obter mais informações, consulte Configurar a autenticação de logon único de JDBC ou ODBC como Ping Identity (p. 265).

• Okta

O Okta é compatível apenas com o aplicativo fornecido pelo Okta usado com o Console degerenciamento da AWS.

Para obter mais informações, consulte Configurar a autenticação de logon único de JDBC ou ODBC como Okta (p. 269).

• Microsoft Azure Active Directory

Para obter mais informações, consulte Configurar a autenticação de logon único de JDBC ou ODBC como Microsoft Azure AD (p. 253).

Configurar opções de plug-insConfigurar opções de plug-ins

Para usar um plug-in de provedor de credenciais baseado em SAML, especifique as seguintes opções emum perfil nomeado ou usando opções JBDC ou ODBC. Se plugin_name não for especificado, as outrasopções serão ignoradas.

Opção Descrição

plugin_namePara JDBC, o nome de classe que implementa um provedor de credenciais. Especifiqueum dos seguintes:

• Para o Active Directory Federation Services

com.amazon.redshift.plugin.AdfsCredentialsProvider

• Para o Okta

com.amazon.redshift.plugin.OktaCredentialsProvider

• Para o PingFederate

com.amazon.redshift.plugin.PingCredentialsProvider

• Para o Microsoft Azure Active Directory

com.amazon.redshift.plugin.AzureCredentialsProvider

• Para SAML MFA

com.amazon.redshift.plugin.BrowserSamlCredentialsProvider

• Para o SSO do Microsoft Azure Active Directory com MFA

252



Opção Descrição

com.amazon.redshift.plugin.BrowserAzureCredentialsProvider

Para o ODBC, especifique um dos seguintes:

• Para o Active Directory Federation Services: adfs• Para o Okta: okta• Para o PingFederate: ping• Para o Microsoft Azure Active Directory: azure• Para SAML MFA: browser saml• Para o SSO do Microsoft Azure Active Directory com MFA: browser azure ad

idp_host O nome do host corporativo do provedor de identidade. Este nome não deve conter barras(‘/’). Para um provedor de identidade Okta, o valor de idp_host deve terminar com.okta.com.

idp_port A porta usada pelo provedor de identidade. O padrão é 443. Essa porta é ignorada para oOkta.

preferred_roleO nome de recurso da Amazon (ARN) da função nos elementos AttributeValuedo atributo Role na declaração de SAML. Trabalhe com o administrador do IdP paralocalizar o valor apropriado da função preferencial. Para obter mais informações, consulteConfigurar declarações de SAML para o IdP (p. 239).

user Um nome de usuário corporativo, incluindo domínio quando aplicável. Por exemplo, para oActive Directory, o nome de domínio precisa estar no formato domínio\nome de usuário.

password A senha do usuário corporativo. É recomendável não usar esta opção. Em vez disso, useo cliente SQL para fornecer a senha.

app_id O ID de um aplicativo do Okta. Usado somente com o Okta. O valor de app_idvem depois de amazon_aws no link de incorporação do aplicativo do Okta.Para obter esse valor, consulte o administrador do IdP. Este é um exemplo deum link de incorporação de aplicativo: https://example.okta.com/home/amazon_aws/0oa2hylwrpM8UGehd1t7/272

idp_tenant Um locatário usado para o Azure AD. Usado apenas com o Azure.

client_id Um ID de cliente para o aplicativo empresarial do Amazon Redshift no Azure AD. Usadoapenas com o Azure.

Configurar a autenticação de logon único de JDBC ou ODBC com o MicrosoftAzure AD

O Microsoft Azure AD pode ser usado como um provedor de identidade (IdP) para acessar o cluster doAmazon Redshift. A seguir, encontra-se um procedimento que descreve como configurar uma relaçãode confiança para essa finalidade. Para obter mais informações sobre como configurar a AWS comoum provedor de serviços para o IdP, consulte Configuração do IdP SAML 2.0 com confiança da partedependente e inclusão de reivindicações no Guia do usuário do IAM.

253

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html#saml_relying-party




Note

Para usar o Azure AD com JDBC, o driver JDBC do Amazon Redshift deve estar na versão1.2.37.1061 ou posterior. Para utilizar o Azure AD com ODBC, o driver ODBC do AmazonRedshift tem de estar na versão 1.4.10.1000 ou posterior.

Assista ao vídeo a seguir para saber como federar o acesso do Amazon Redshift com o logon único doMicrosoft Azure AD: Federar o acesso do Amazon Redshift com o logon único do Microsoft Azure AD.

Para configurar o Azure AD e sua conta da AWS para confiar uns nos outros

1. Crie ou use um cluster do Amazon Redshift existente para que seus usuários do Azure AD seconectem. Para configurar a conexão, certas propriedades deste cluster são necessárias, como oidentificador de cluster. Para obter mais informações, consulte Criar um cluster.

2. Configure o Azure Active Directory, grupos e usuários usados para a AWS no portal do MicrosoftAzure.

3. Adicione o Amazon Redshift como um aplicativo empresarial no portal do Microsoft Azure para usodo logon único no Console AWS e login federado no Amazon Redshift. Escolha Enterprise application(Aplicativo empresarial).

4. Escolha +New application (+Novo aplicativo). A página Adicionar um aplicativo é exibida.5. Pesquise AWS no campo de pesquisa.6. Escolha Amazon Web Services (AWS) e escolha Add (Adicionar). Isso cria o aplicativo da AWS.7. Em Manage (Gerenciar), escolha Single sign-on (Logon único).8. Escolha SAML. A página Amazon Web Services (AWS) | Logon baseado em SAML é exibida.9. Escolha Yes (Sim) para prosseguir para a página Configurar logon único com SAML. Esta página

mostra a lista de atributos pré-configurados relacionados ao AWS SSO.10. Em Basic SAML Configuration (Configuração básica de SAML), escolha o ícone de edição e Save

(Salvar).11. Quando você estiver configurando mais de um aplicativo, forneça um valor de identificador. Por

exemplo, digite https://signin.aws.amazon.com/saml#2. Observe que a partir do segundoaplicativo em diante, use esse formato com um sinal # para especificar um valor SPN exclusivo.

12. Na seção User Attributes and Claims (Atributos de usuário e reivindicações), escolha o ícone deedição.

Por padrão, as reivindicações UID (Unique User Identifier), Role, RoleSessionName eSessionDuration são pré-configuradas.

13. Escolha + Add new claim (+ Adicionar nova reivindicação) para adicionar uma reivindicação aosusuários do banco de dados.

Em Name (Nome), insira DbUser.

Em Namespace, insira https://redshift.amazon.com/SAML/Attributes.

Em Source (Origem), escolha Attribute (Atributo).

Em Source attribute (Atributo de origem), escolha user.userprincipalname. Escolha Save (Salvar).14. Escolha + Add new claim (+ Adicionar nova reivindicação) para adicionar uma reivindicação ao

AutoCreate.

Em Name (Nome), insira AutoCreate.

Em Namespace, insira https://redshift.amazon.com/SAML/Attributes.

Em Source (Origem), escolha Attribute (Atributo).

Em Source attribute (Atributo de origem), escolha "true". Escolha Save (Salvar).

254

https://www.youtube.com/embed/aXs9hEgJCss

https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#create-cluster



Aqui, 123456789012 é a sua conta da AWS, AzureSSO é uma função do IAM que você criou eAzureADProvider é o provedor do IAM.

Nome da reivindicação Valor

Identificador de usuário exclusivo (ID de nome) user.userprincipalname

https://aws.amazon.com/SAML/Attributes/SessionDuration

"900"

https://aws.amazon.com/SAML/Attributes/Role arn:aws:iam::123456789012:role/AzureSSO,arn:aws:iam::123456789012:saml-provider/AzureADProvider

https://aws.amazon.com/SAML/Attributes/RoleSessionName

user.userprincipalname

https://redshift.amazon.com/SAML/Attributes/AutoCreate

"true"

https://redshift.amazon.com/SAML/Attributes/DbGroups

user.assignedroles

https://redshift.amazon.com/SAML/Attributes/DbUser

user.userprincipalname

15. Em Registro de aplicativo > your-application-name > Autenticação, adicione Aplicativo móvel edesktop. Especifique o URL como http://localhost/redshift/.

16. Na seção SAML Signing Certificate (Certificado de assinatura SAML), escolha Download (Fazerdownload) para fazer download e salvar o arquivo XML de metadados de federação para usar ao criarum provedor de identidade SAML do IAM. Esse arquivo é usado para criar a identidade federada doAWS SSO.

17. Crie um provedor de identidade SAML do IAM no console do IAM. O documento de metadadosfornecido é o arquivo XML de metadados da federação que você salvou quando configurou o AzureEnterprise Application. Para obter etapas detalhadas, consulte Criar e gerenciar um provedor deidentidade do IAM (Console) no Guia do usuário do IAM.

18. Crie uma função do IAM para a federação do SAML 2.0 no console do IAM. Para obter etapasdetalhadas, consulte Criação de uma função para SAML no Guia do usuário do IAM.

19. Crie uma política do IAM que você possa anexar à função do IAM criada para a federação do SAML2.0 no console do IAM. Para obter etapas detalhadas, consulte Como criar políticas do IAM (Console)no Guia do usuário do IAM.

Modifique a seguinte política (no formato JSON) para o seu ambiente:

• Substitua a região da AWS do seu cluster por us-west-1.• Substitua a conta da AWS por 123456789012.• Substitua seu identificador de cluster (ou * para todos os clusters) por cluster-identifier.• Substitua seu banco de dados (ou * para todos os bancos de dados) por dev.• Substitua o identificador exclusivo de sua função do IAM por AROAJ2UCCR6DPCEXAMPLE.• Substitua o domínio de e-mail do locatário ou da empresa por example.com.• Substitua o grupo de banco de dados ao qual você planeja atribuir o usuário por my_dbgroup.

{ "Version": "2012-10-17",

255

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start



"Statement": [ { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:us-west-1:123456789012:dbname:cluster-identifier/dev", "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}", "arn:aws:redshift:us-west-1:123456789012:cluster:cluster-identifier" ], "Condition": { "StringEquals": { "aws:userid": "AROAJ2UCCR6DPCEXAMPLE:${redshift:DbUser}@example.com" } } }, { "Effect": "Allow", "Action": "redshift:CreateClusterUser", "Resource": "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}" }, { "Effect": "Allow", "Action": "redshift:JoinGroup", "Resource": "arn:aws:redshift:us-west-1:123456789012:dbgroup:cluster-identifier/my_dbgroup" }, { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "iam:ListRoles" ], "Resource": "*" } ]}

Esta política concede permissões da seguinte forma:

• A primeira seção concede permissão à operação de API do GetClusterCredentials paraobter credenciais temporárias para o cluster especificado. Neste exemplo, o recurso é cluster-identifier com banco de dados dev, na conta 123456789012 e na região da AWS .us-west-1. A cláusula ${redshift:DbUser} permite que apenas os usuários que correspondam aovalor de DbUser especificado no Azure AD se conectem.

• A cláusula de condição impõe que apenas determinados usuários obtêm credenciaistemporárias. Esses são os usuários da função especificada pelo ID exclusivo de funçãoAROAJ2UCCR6DPCEXAMPLE na conta do IAM identificada por um endereço de e-mail no domínio dee-mail da empresa. Para obter mais informações sobre IDs exclusivos, consulte IDs exclusivos noGuia do usuário do IAM.

Sua configuração com seu IdP (neste caso, Azure AD) determina como a cláusula de condiçãoé gravada. Se o e-mail do seu funcionário for [email protected], primeiro defina${redshift:DbUser} para o campo super que corresponde ao nome de usuário do funcionáriojohndoe. Depois, para que essa condição funcione, defina o campo RoleSessionName do AWSSAML como o supercampo que corresponde ao e-mail do funcionário [email protected]. Aoadotar essa abordagem, considere o seguinte:• Se você definir ${redshift:DbUser} para ser o e-mail do funcionário, em seguida, remova [email protected] no JSON do exemplo para corresponder com o RoleSessionName.

256

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids



• Se você definir o RoleSessionId para ser apenas o nome de usuário do funcionário, remova [email protected] no exemplo para corresponder ao RoleSessionName.

• No JSON de exemplo, tanto ${redshift:DbUser} como RoleSessionName são definidoscomo o e-mail do funcionário. Este JSON de exemplo usa o nome de usuário do banco de dadosdo Amazon Redshift com @example.com para fazer login do usuário para acessar o cluster.

• A segunda seção concede permissão para criar um nome dbuser no cluster especificado. NesteJSON de exemplo, ele restringe a criação de ${redshift:DbUser}.

• A terceira seção concede permissão para especificar a qual dbgroup um usuário pode ingressar.Neste JSON de exemplo, um usuário pode ingressar no grupo my_dbgroup no cluster especificado.

• A quarta seção concede permissão para ações que o usuário pode fazer em todos os recursos.Neste JSON de exemplo, ele permite que os usuários chamem redshift:DescribeClusterspara obter informações de cluster, como o endpoint do cluster, a Região da AWS e a porta.Também permite que os usuários chamem iam:ListRoles para verificar quais funções umusuário pode assumir.

Como configurar o JDBC para autenticação no Microsoft Azure AD

• Configure seu cliente de banco de dados para se conectar ao cluster por meio do JDBC usando ologon único do Azure AD.

Você pode usar qualquer cliente que use um driver JDBC para se conectar usando o logon únicodo Azure AD ou usar uma linguagem, como Java, para se conectar usando um script. Para obterinformações sobre instalação e configuração, consulte Configurar uma conexão JDBC (p. 82).

Por exemplo, você pode usar SQLWorkbench/J como o cliente. Ao configurar o SQLWorkbench/j, aURL do seu banco de dados usa o seguinte formato.

jdbc:redshift:iam://cluster-identifier:us-west-1/dev

Se você usar o SQLWorkbench/j como o cliente, execute as seguintes etapas:

a. Abra o SQL Workbench/J. Na página Select Connection Profile (Selecionar perfil de conexão)adicione um Profile Group (Grupo de perfis) chamado AzureAuth.

b. Em Connection Profile (Perfil de conexão), insira Azure.c. Escolha Manage Drivers (Gerenciar drivers) e escolha Amazon Redshift. Escolha o ícone Open

Folder (Abrir pasta) ao lado de Library (Biblioteca), e escolha o arquivo.jar JDBC apropriado.d. Na página Select Connection Profile (Selecionar perfil de conexão), adicione informações ao perfil

de conexão da seguinte maneira:

• Em User (Usuário), insira seu nome de usuário do Microsoft Azure. Este é o nome de usuárioda conta do Microsoft Azure que você está usando para o logon único que tem permissão parao cluster que você está tentando autenticar.

• Em Password (Senha), digite sua senha do Microsoft Azure.• Em Drivers, escolha Amazon Redshift (com.amazon.redshift.jdbc.Driver).• Para URL, insira jdbc:redshift:iam//your-cluster-identifier:your-cluster-region/your-database-name.

e. Escolha Extended Properties (Propriedades estendidas) para adicionar informações adicionais àspropriedades de conexão, conforme descrito a seguir.

Para a configuração do SSO do Azure AD, adicione informações adicionais da seguinte forma:

• Para plugin_name, insira com.amazon.redshift.plugin.AzureCredentialsProvider.Esse valor especifica para o driver usar o logon único do Azure AD como o método deautenticação.

257



• Para idp_tenant, insira your-idp-tenant. Usado apenas para o Microsoft Azure AD. Este éo nome do locatário da sua empresa configurado no Azure AD. Esse valor pode ser o nome dolocatário ou o ID exclusivo do locatário com hífens.

• Para client_secret, insira your-azure-redshift-application-client-secret. Usadoapenas para o Microsoft Azure AD. Este é o segredo do cliente do aplicativo do AmazonRedshift criado por você ao preparar a configuração do logon único do Azure. Isso só éaplicável ao plug-in com.amazon.redshift.plugin.AzureCredentialsProvider.

• Para client_id, insira your-azure-redshift-application-client-id. Usado apenaspara o Microsoft Azure AD. Este é o ID do cliente (com hífens) do aplicativo do AmazonRedshift que foi criado por você ao preparar sua configuração de logon único do Azure.

Para a configuração do SSO do Azure AD com MFA, adicione informações adicionais àspropriedades de conexão da seguinte forma:

• Para plugin_name, insiracom.amazon.redshift.plugin.BrowserAzureCredentialsProvider. Esse valorespecifica para o driver usar o SSO do Azure AD com MFA como o método de autenticação.

• Para idp_tenant, insira your-idp-tenant. Usado apenas para o Microsoft Azure AD. Este éo nome do locatário da sua empresa configurado no Azure AD. Esse valor pode ser o nome dolocatário ou o ID exclusivo do locatário com hífens.

• Para client_id, insira your-azure-redshift-application-client-id. Usado apenaspara o Microsoft Azure AD. Este é o ID do cliente (com hifens) do aplicativo do AmazonRedshift que foi criado por você ao preparar seu SSO do Azure AD com configuração de MFA.

• Em listen_port, insira your-listen-port. Esta é a porta que o servidor local está escutando.O padrão é 7890.

• Em idp_response_timeout, insira the-number-of-seconds. Este é o número de segundos aaguardar antes do tempo limite quando o servidor IdP envia de volta uma resposta. O númeromínimo de segundos deve ser 10. Se o tempo para estabelecer a conexão for maior do queesse limite, a conexão é cancelada.

Como configurar o ODBC para autenticação no Microsoft Azure AD

• Configure seu cliente de banco de dados para se conectar ao cluster por meio de ODBC usando seulogon único do Azure AD.

O Amazon Redshift fornece drivers ODBC para os sistemas operacionais Linux, Windows e macOS.Antes de instalar um driver de ODBC, será necessário determinar se a ferramenta do cliente SQL é de32 ou 64 bits. Instale o driver de ODBC que corresponde aos requisitos da ferramenta de cliente SQL.

Instale e configure o driver de ODBC mais recente do Amazon Redshift para o sistema operacional.

• No Windows, consulte Instalar e configurar o driver ODBC do Amazon Redshift no MicrosoftWindows (p. 91).

• Para macOS, consulte Instalar o driver ODBC do Amazon Redshift no macOS X (p. 95).• Para Linux, consulte Instalar o driver ODBC do Amazon Redshift no Linux (p. 94).

No Windows, na página Amazon Redshift ODBC Driver DSN Setup (Configuração do DSN do driverODBC do Amazon Redshift), em Connection Settings (Configurações de conexão), insira as seguintesinformações:

• Para Data Source Name (Nome da fonte de dados), insira your-DSN. Isto especifica o nome dafonte de dados usado como o nome do perfil de ODBC.

258



• Para a configuração do SSO do Azure AD, em Auth type (Tipo de Autenticação), escolha IdentityProvider: Azure AD. Este é o método de autenticação que o driver de ODBC usa paraautenticar usando o logon único do Azure.

• Para a configuração do SSO do Azure AD com MFA, em Auth type (Tipo de autenticação), escolhaIdentity Provider: Browser Azure AD. Este é o método de autenticação que o driver deODBC usa para autenticar usando o logon único do Azure com MFA.

• Para Cluster ID (ID do cluster), insira your-cluster-identifier.• Para Region (Região), insira your-cluster-region.• Para Database (Banco de dados), insira your-database-name.• Em User (Usuário), insira your-azure-username. Este é o nome de usuário da conta do

Microsoft Azure que está sendo usada para logon único que tem permissão para o cluster que vocêestá tentando autenticar. Use isso somente quando Auth Type (Tipo de autenticação) for IdentityProvider: Azure AD (Provedor de identidade: Azure AD).

• Em Password (Senha), insira your-azure-password. Use isso somente quando Auth Type (Tipode autenticação) for Identity Provider: Azure AD (Provedor de identidade: Azure AD).

• Para IdP Tenant (Locatário IdP), insira your-idp-tenant. Este é o nome do locatário da suaempresa configurado no seu IdP (Azure). Esse valor pode ser o nome do locatário ou o ID exclusivodo locatário com hífens.

• Para Azure Client Secret (Segredo do cliente do Azure), insira your-azure-redshift-application-client-secret. Este é o segredo do cliente do aplicativo Amazon Redshift quevocê criou ao configurar sua configuração de logon único do Azure.

• Para Azure Client ID (ID do cliente do Azure), insira your-azure-redshift-application-client-id. Este é o ID do cliente (com hífens) do aplicativo do Amazon Redshift que foi criado porvocê ao preparar sua configuração de logon único do Azure.

• Em Porta de escuta, insira your-listen-port. Esta é a porta de escuta padrão que o servidorlocal está escutando. O padrão é 7890. Isso se aplica somente ao plug-in do Browser Azure AD.

• Em Response Timeout (Tempo limite de resposta), insira the-number-of-seconds. Este é onúmero de segundos a aguardar antes do tempo limite quando o servidor IdP envia de volta umaresposta. O número mínimo de segundos deve ser 10. Se o tempo para estabelecer a conexão formaior do que esse limite, a conexão é cancelada. Isso se aplica somente ao plug-in do BrowserAzure AD.

No macOS e no Linux, edite o arquivo odbc.ini da seguinte forma:

Note

Nenhuma entrada diferencia letras maiúsculas de minúsculas.

• Para clusterid, insira your-cluster-identifier. Este é o nome do cluster do Amazon Redshiftcriado.

• Para region (região), insira your-cluster-region. Esta é a Região da AWS do cluster doAmazon Redshift criado.

• Para database (banco de dados), insira your-database-name. Este é o nome do banco de dadosque você está tentando acessar no cluster do Amazon Redshift.

• Para locale (localidade), insira en-us. Este é o idioma em que as mensagens de erro são exibidas.• Para IAM, insira 1. Esse valor especifica ao driver para autenticar usando credenciais do IAM.• Para a configuração do SSO do Azure AD, em plugin_name, insira AzureAD. Isso especifica ao

driver para usar o Azure Single Sign-On como o método de autenticação.• Para a configuração do SSO do Azure AD com MFA, em plugin_name, insira BrowserAzureAD.

Isso especifica para o driver usar o logon único do Azure com MFA como o método de autenticação.

259



• Em uid, insira your-azure-username. Este é o nome de usuário da conta do Microsoft Azureque você está usando para logon único, que tem permissão para o cluster que você está tentandoautenticar. Use isso somente quando plugin_name for AzureAD.

• Em pwd, insira your-azure-password. Use isso somente quando plugin_name for AzureAD.• Para idp_tenant, insira your-idp-tenant. Este é o nome do locatário da sua empresa configurado

no seu IdP (Azure). Esse valor pode ser o nome do locatário ou o ID exclusivo do locatário comhífens.

• Para client_secret, insira your-azure-redshift-application-client-secret. Este é osegredo do cliente do aplicativo Amazon Redshift que você criou ao configurar sua configuração delogon único do Azure.

• Para client_id, insira your-azure-redshift-application-client-id. Este é o ID do cliente(com hífens) do aplicativo do Amazon Redshift que foi criado por você ao preparar sua configuraçãode logon único do Azure.

• Em listen_port, insira your-listen-port. Esta é a porta que o servidor local está escutando. Opadrão é 7890. Isso se aplica ao plug-in do Browser Azure AD.

• Em idp_response_timeout, insira the-number-of-seconds. Este é o período especificado emsegundos para aguardar a resposta do Azure. Isso se aplica ao plug-in do Browser Azure AD.

No macOS e no Linux, edite também as configurações de perfil para adicionar as exportações aseguir.

export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini

export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini

Como solucionar problemas com o plug-in Browser Azure AD

1. Para usar o plug-in Browser Azure AD, você deve definir o URL de resposta especificado nasolicitação para corresponder ao URL de resposta configurado para seu aplicativo.

Navegue até a página Configurar o logon único com SAML no portal do Microsoft Azure. Verifique se oURL de resposta está definido como http://localhost/redshift/.

2. Se você receber um erro de locatário IdP, verifique se o nome do Locatário IdP corresponde ao nomede domínio usado inicialmente para configurar o Active Directory no Microsoft Azure.

No Windows, navegue até a seção Configurações de conexão da página Configuração do DSN dodriver ODBC do Amazon Redshift. Verifique se o nome do locatário da empresa configurada no seuIdP (Azure) corresponde ao nome de domínio usado inicialmente para configurar o Active Directory noMicrosoft Azure.

No macOS e no Linux, localize o arquivo odbc.ini. Verifique se o nome do locatário da empresaconfigurada no seu IdP (Azure) corresponde ao nome de domínio usado inicialmente para configurar oActive Directory no Microsoft Azure.

3. Se você receber um erro informando que o URL de resposta especificado na solicitação nãocorresponde aos URLs de resposta configurados para seu aplicativo, verifique se os URIs deredirecionamento são os mesmos que o URL de resposta.

Navegue até a página de Registro de aplicativo do seu aplicativo no portal do Microsoft Azure.Verifique se os URIs de redirecionamento correspondem ao URL de resposta.

4. Se receber a resposta inesperada: erro não autorizado, verifique se você concluiu a configuração deAplicativos móveis e de desktop.

260



Navegue até a página de Registro de aplicativo do seu aplicativo no portal do Microsoft Azure.Navegue até Autenticação e verifique se você configurou Aplicativos móveis e de desktop para usarhttp://localhost/redshift/ como URIs de redirecionamento.

Configurar a autenticação de logon único de JDBC ou ODBC com o AD FS

É possível usar o AD FS como um provedor de identidade (IdP) para acessar o cluster do AmazonRedshift. A seguir, encontra-se um procedimento que descreve como configurar uma relação de confiançapara essa finalidade. Para obter mais informações sobre como configurar a AWS como um provedor deserviços para o AD FS, consulte Configurar o IdP SAML 2.0 com confiança da parte dependente e inclusãode reivindicações no Guia do usuário do IAM.

Como configurar o AD FS e sua conta da AWS para confiarem entre si

1. Crie ou use um cluster do Amazon Redshift existente para que seus usuários do AD FS se conectem.Para configurar a conexão, certas propriedades deste cluster são necessárias, como o identificador decluster. Para obter mais informações, consulte Criar um cluster.

2. Configure o AD FS para controlar o acesso ao Amazon Redshift no console de gerenciamento daMicrosoft:

1. Escolha ADFS 2.0 e Add Relying Party Trust (Adicionar confiança da parte dependente). Na páginaAdd Relying Party Trust Wizard (Assistente para adicionar confiança da parte dependente) escolhaStart (Iniciar).

2. Na página Select Data Source (Selecionar fonte de dados), escolha Import data about the relyingparty published online or on a local network (Importar dados sobre a parte dependente publicadosonline ou em uma rede local).

3. Em Federation metadata address (host name or URL) (Endereço de metadados de federação[nome do host ou URL]), insira https://signin.aws.amazon.com/saml-metadata.xml. Oarquivo XML de metadados é um documento de metadados SAML padrão que descreve a AWScomo uma parte dependente.

4. Na página Specify Display Name (Especificar nome de exibição), insira um valor para Display name(Nome de exibição).

5. Na página Choose Issuance Authorization Rules (Escolher regras de autorização de emissão),escolha uma regra de autorização de emissão para permitir ou negar que todos os usuáriosacessem essa parte dependente.

6. Na página Ready to Add Trust (Pronto para adicionar confiança) revise as configurações.7. Na página Finish (Concluir), escolha Open the Edit Claim Rules dialog for this relying party trust

when the wizard closes (Abrir a caixa de diálogo Editar regras de reivindicação para esta partedependente quando o assistente for encerrado).

8. No menu de contexto (clique com o botão direito do mouse), escolha Relying Party Trusts(Confianças de parte dependente).

9. Para sua parte dependente, abra o menu de contexto (clique com o botão direito do mouse) eescolha Edit Claim Rules (Editar regras de reivindicação). Na página Edit Claim Rules (Editar regrasde reivindicação), escolha Add Rule (Adicionar regra).

10.Em Claim rule template (Modelo de regra de reivindicação), escolha Transform an IncomingClaim (Transformar uma reivindicação de entrada) e na página Edit Rule – NameId (Editar regra –NameId), faça o seguinte:• Em Claim rule name (Nome da regra de reivindicação), insira NameId.• Em Incoming claim name (Nome da reivindicação de entrada), escolha Windows Account Name

(Nome da conta do Windows).• Em Outgoing claim name (Nome da reivindicação de saída), escolha Name ID (ID do nome).

261






• Em Outgoing name ID format (Formato de ID de nome de saída), escolha Persistent Identifier(Identificador persistente).

• Escolha Pass through all claim values (Transmitir todos os valores de reivindicação).11.Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra).

Na página Select Rule Template (Selecionar modelo de regra), em Claim rule template (Modelode regra de reivindicação), escolha Send LDAP Attributes as Claims (Enviar atributos LDAP comoreivindicações).

12.Na página Configure Rule (Configurar regra), faça o seguinte:• Em Claim rule name (Nome da regra de reivindicação), insira RoleSessionName.• Em Attribute store (Armazenamento de atributos), escolha Active Directory.• Em LDAP Attribute (Atributo LDAP), escolha Email Addresses (Endereços de e-mail).• Em Outgoing Claim Type (Tipo de reivindicação de saída), escolha https://aws.amazon.com/

SAML/Attributes/RoleSessionName.13.Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra).

Na página Select Rule Template (Selecionar modelo de regra), em Claim rule template (Modelo deregra de reivindicação), escolha Send Claims Using a Custom Rule (Enviar reivindicações usandouma regra personalizada).

14.Na página Edit Rule – Get AD Groups (Editar regra – Obter grupos do AD), em Claim rule name(Nome da regra de reivindicação), insira Get AD Groups (Obter grupos do AD).

15.Em Custom rule (Regra personalizada), insira o seguinte.

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);

16.Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra).Na página Select Rule Template (Selecionar modelo de regra), em Claim rule template (Modelo deregra de reivindicação), escolha Send Claims Using a Custom Rule (Enviar reivindicações usandouma regra personalizada).

17.Na página Edit Rule – Roles (Editar regra – Funções), em Claim rule name (Nome da regra dereivindicação), digite Roles (Funções).

18.Em Custom rule (Regra personalizada), insira o seguinte.

c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));

Observe os ARNs do provedor SAML e a função a ser assumida. Neste exemplo,arn:aws:iam:123456789012:saml-provider/ADFS é o ARN do provedor SAML earn:aws:iam:123456789012:role/ADFS- é o ARN da função.

3. Certifique-se de que você fez download do arquivo federationmetadata.xml. Verifique se oconteúdo do documento não tem caracteres inválidos. Este é o arquivo de metadados que você usaao configurar o relacionamento de confiança com a AWS.

4. Crie um provedor de identidade SAML do IAM no console do IAM. O documento de metadadosfornecido é o arquivo XML de metadados da federação que você salvou quando configurou o AzureEnterprise Application. Para obter etapas detalhadas, consulte Criação e gerenciamento de umprovedor de identidade do IAM (Console) no Guia do usuário do IAM.

262





5. Crie uma função do IAM para a federação do SAML 2.0 no console do IAM. Para obter etapasdetalhadas, consulte Criar uma função para SAML no Guia do usuário do IAM.

6. Crie uma política do IAM que você possa anexar à função do IAM criada para a federação do SAML2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar políticas do IAM (console) noGuia do usuário do IAM. Para obter um exemplo do Azure AD, consulte Configurar a autenticação delogon único de JDBC ou ODBC com o Microsoft Azure AD (p. 253).

Como configurar o JDBC para autenticação no AD FS

• Configure seu cliente de banco de dados para se conectar ao cluster por meio do JDBC usando o ADFS SSO.

É possível usar qualquer cliente que use um driver JDBC para se conectar usando o AD FS SSO ouusar uma linguagem, como Java, para se conectar usando um script. Para obter informações sobreinstalação e configuração, consulte Configurar uma conexão JDBC (p. 82).




a. Abra o SQL Workbench/J. Na página Select Connection Profile (Selecionar perfil de conexão),adicione um Profile Group (Grupo de perfis), por exemplo, ADFS.

b. Em Connection Profile (Perfil de conexão), insira o nome do perfil de conexão, por exemplo,ADFS.

c. Escolha Manage Drivers (Gerenciar drivers) e escolha Amazon Redshift. Escolha o ícone OpenFolder (Abrir pasta) ao lado de Library (Biblioteca), e escolha o arquivo.jar JDBC apropriado.

d. Na página Select Connection Profile (Selecionar perfil de conexão), adicione informações ao perfilde conexão da seguinte maneira:

• Em User (Usuário), insira o nome de usuário do AD FS. Este é o nome de usuário da conta dousado para o logon único que tem permissão para o cluster que você está tentando autenticar.

• Em Password (Senha), insira a senha do AD FS.• Em Drivers, escolha Amazon Redshift (com.amazon.redshift.jdbc.Driver).• Para URL, insira jdbc:redshift:iam//your-cluster-identifier:your-cluster-region/your-database-name.

e. Escolha Extended Properties (Propriedades estendidas) e siga um destes procedimentos:

• Em login_url, insira your-adfs-sso-login-url. Esse valor especifica o URL para usar oSSO como autenticação para fazer login no AD FS.

• Para o AD FS SSO, em plugin_name, insiracom.amazon.redshift.plugin.AdfsCredentialsProvider. Esse valor especifica parao driver usar o SSO do AD FS como o método de autenticação.

• Para o SSO do AD FS com MFA, em plugin_name, insiracom.amazon.redshift.plugin.BrowserSamlCredentialsProvider. Esse valorespecifica para o driver usar o SSO do AD FS com MFA como o método de autenticação.

Como configurar o ODBC para autenticação no AD FS

• Configure seu cliente de banco de dados para se conectar ao cluster por meio do ODBC usando o ADFS SSO.

263











• Em Auth type (Tipo de autenticação), siga um destes procedimentos:• Para a configuração do AD FS SSO, escolha Identity Provider: SAML (Provedor de identidade:

SAML). Este é o método de autenticação que o driver de ODBC usa para autenticar usando o ADFS SSO.

• Para a configuração do SSO do AD FS com MFA, escolha Identity Provider: Browser SAML(Provedor de identidade: Browser SAML). Este é o método de autenticação que o driver de ODBCusa para autenticar usando o SSO do AD FS com MFA.

• Para Cluster ID (ID do cluster), insira your-cluster-identifier.• Para Region (Região), insira your-cluster-region.• Para Database (Banco de dados), insira your-database-name.• Em User (Usuário), insira your-adfs-username. Este é o nome de usuário da conta do AD

FS que está sendo usado para o SSO que tem permissão para o cluster que você está tentandoautenticar. Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: SAML(Provedor de identidade: SAML).

• Em Password (Senha), insira your-adfs-password. Use isso somente quando Auth type (Tipo deautenticação) for Identity Provider: SAML (Provedor de identidade: SAML).

• Em Porta de escuta, insira your-listen-port. Esta é a porta que o servidor local estáescutando. O padrão é 7890. Isso se aplica somente ao plug-in de Browser SAML.

• Em Response Timeout (Tempo limite de resposta), insira the-number-of-seconds. Este é onúmero de segundos a aguardar antes do tempo limite quando o servidor IdP envia de volta umaresposta. O número mínimo de segundos deve ser 10. Se o tempo para estabelecer a conexão formaior do que esse limite, a conexão é cancelada. Isso se aplica somente ao plug-in de BrowserSAML.

• Em Login URL (URL de login), insira your-login-url.. Isso se aplica somente ao plug-in deBrowser SAML.


Note



264





• Para locale (localidade), insira en-us. Este é o idioma em que as mensagens de erro são exibidas.• Para IAM, insira 1. Esse valor especifica ao driver para autenticar usando credenciais do IAM.• Em plugin_name, siga um destes procedimentos:

• Para a configuração do SSO do AD FS com MFA, insira BrowserSAML. Este é o método deautenticação que o driver ODBC usa para autenticar no AD FS.

• Para a configuração do AD FS SSO, insira ADFS. Este é o método de autenticação que o driverde ODBC usa para autenticar usando o SSO do Azure AD.

• Em uid, insira your-adfs-username. Este é o nome de usuário da conta do Microsoft Azure queestá sendo usado para o SSO, que tem permissão para o cluster que você está tentando autenticar.Use isso somente quando plugin_name for ADFS.

• Em pwd, insira your-adfs-password. Use isso somente quando plugin_name for ADFS.• Em login_url, insira your-login-url. Este é o URL de SSO inicial que retorna a resposta de

SAML. Isso se aplica somente ao plug-in de Browser SAML.• Em idp_response_timeout, insira the-number-of-seconds. Este é o período especificado em

segundos para aguardar a resposta do AD FS. Isso se aplica somente ao plug-in de Browser SAML.• Em listen_port, insira your-listen-port. Esta é a porta que o servidor local está escutando. O

padrão é 7890. Isso se aplica somente ao plug-in de Browser SAML.




Configurar a autenticação de logon único de JDBC ou ODBC com o Ping Identity

É possível usar o Ping Identity como um provedor de identidade (IdP) para acessar o cluster do AmazonRedshift. A seguir, encontra-se um procedimento que descreve como configurar uma relação de confiançapara essa finalidade. Para obter mais informações sobre como configurar a AWS como um provedor deserviços para o Ping Identity, consulte Configurar o IdP SAML 2.0 com confiança da parte dependente einclusão de reivindicações no Guia do usuário do IAM.

Como configurar o Ping Identity e sua conta da AWS para confiarem entre si

1. Crie ou use um cluster do Amazon Redshift existente para que seus usuários do Ping Identity seconectem. Para configurar a conexão, certas propriedades deste cluster são necessárias, como oidentificador de cluster. Para obter mais informações, consulte Criar um cluster.

2. Adicione o Amazon Redshift como um novo aplicativo SAML no portal do PingOne. Para obter etapasdetalhadas, consulte a documentação do Ping Identity.

1. Acesse My Applications (Meus aplicativos).2. Em Add Application (Adicionar aplicativo), escolha New SAML Application (Novo aplicativo SAML).3. Em Application Name (Nome do aplicativo), insira Amazon Redshift.4. Em Protocol Version (Versão do protocolo), escolha SAML v2.0.5. Em Category (Categoria), escolha your-application-category.

265




https://docs.pingidentity.com/



6. Em Assertion Consumer Service (ACS), digite your-redshift-local-host-url. Este é o hostlocal e a porta para a qual a declaração de SAML redireciona.

7. Em Entity ID (ID da entidade), insira urn:amazon:webservices.8. Em Signing (Assinar), escolha Sign Assertion (Assinar declaração).9. Na seção SSO Attribute Mapping (Mapeamento de atributo de SSO), crie as reivindicações

conforme mostrado na tabela a seguir.

Atributo do aplicativo Atributo de ligação de identidade de valor literal

https://aws.amazon.com/SAML/Attributes/Role arn:aws:iam::123456789012:role/Ping,arn:aws:iam::123456789012:saml-provider/PingProvider


e-mail


"true"


e-mail

3. Em Group Access (Acesso de grupo), configure o seguinte acesso de grupo, se necessário:

• https://aws.amazon.com/SAML/Attributes/Role

• https://aws.amazon.com/SAML/Attributes/RoleSessionName

• https://redshift.amazon.com/SAML/Attributes/AutoCreate

• https://redshift.amazon.com/SAML/Attributes/DbUser

4. Revise sua configuração e faça alterações, se necessário.5. Use o Initiate Single Sign-On (SSO) URL (URL de logon único inicial [SSO]) como o URL de login para

o plug-in de Browser SAML.6. Crie um provedor de identidade SAML do IAM no console do IAM. O documento de metadados

fornecido é o arquivo XML de metadados da federação que você salvou quando configurou o PingIdentity. Para obter etapas detalhadas, consulte Criar e gerenciar um provedor de identidade do IAM(console) no Guia do usuário do IAM.



Como configurar o JDBC para autenticação para o Ping Identity

• Configure seu cliente de banco de dados para se conectar ao cluster por meio do JDBC usando oSSO do Ping Identity.

É possível usar qualquer cliente que use um driver JDBC para se conectar usando o SSO doPing Identity ou usar uma linguagem, como Java, para se conectar usando um script. Para obterinformações sobre instalação e configuração, consulte Configurar uma conexão JDBC (p. 82).


266









a. Abra o SQL Workbench/J. Na página Select Connection Profile (Selecionar perfil de conexão),adicione um Profile Group (Grupo de perfis), por exemplo, Ping.

b. Em Connection Profile (Perfil de conexão), insira your-connection-profile-name, porexemplo, Ping.



• Em User (Usuário), insira seu nome do usuário do PingOne. Esse é o nome de usuário daconta do PingOne usado para o logon único que tem permissão para o cluster que você estátentando autenticar.

• Em Password (Senha), insira sua senha do PingOne.• Em Drivers, escolha Amazon Redshift (com.amazon.redshift.jdbc.Driver).• Para URL, insira jdbc:redshift:iam//your-cluster-identifier:your-cluster-region/your-database-name.


• Em login_url, insira your-ping-sso-login-url. Esse valor especifica ao URL para usar oSSO como a autenticação para fazer login.

• Para o Ping Identity, em plugin_name, insiracom.amazon.redshift.plugin.PingCredentialsProvider. Esse valor especifica parao driver usar o SSO do Ping Identity como o método de autenticação.

• Para o Ping Identity com SSO, em plugin_name, insiracom.amazon.redshift.plugin.BrowserSamlCredentialsProvider. Esse valorespecifica ao driver para usar o PingOne do Ping Identity com SSO como o método deautenticação.

Como configurar o ODBC para autenticação para o Ping Identity

• Configure o cliente de banco de dados para conectar-se ao cluster por meio do ODBC usando oPingOne SSO do Ping Identity.






267




• Em Auth type (Tipo de autenticação), siga um destes procedimentos:• Para a configuração do Ping Identity, escolha Provedor de identidade: Ping Federate. Este é

o método de autenticação que o driver de ODBC usa para autenticar usando o SSO do PingIdentity.

• Para a configuração do Ping Identity com SSO, escolha Provedor de identidade: Browser SAML.Este é o método de autenticação que o driver de ODBC usa para se autenticar usando o PingIdentity com SSO.

• Para Cluster ID (ID do cluster), insira your-cluster-identifier.• Para Region (Região), insira your-cluster-region.• Para Database (Banco de dados), insira your-database-name.• Em User (Usuário), insira your-ping-username. Este é o nome de usuário da conta do PingOne

usado para o SSO que tem permissão para o cluster que você está tentando autenticar. Use issosomente quando Auth type (Tipo de autenticação) for Identity Provider: PingFederate (Provedor deidentidade: PingFederate).

• Em Password (Senha), insira your-ping-password. Use isso somente quando Auth type (Tipo deautenticação) for Identity Provider: PingFederate (Provedor de identidade: PingFederate).

• Em Porta de escuta, insira your-listen-port. Esta é a porta que o servidor local estáescutando. O padrão é 7890. Isso se aplica somente ao plug-in de Browser SAML.

• Em Response Timeout (Tempo limite de resposta), insira the-number-of-seconds. Este é onúmero de segundos a aguardar antes do tempo limite quando o servidor IdP envia de volta umaresposta. O número mínimo de segundos deve ser 10. Se o tempo para estabelecer a conexão formaior do que esse limite, a conexão é cancelada. Isso se aplica somente ao plug-in de BrowserSAML.

• Em Login URL (URL de login), insira your-login-url. Isso se aplica somente ao plug-in deBrowser SAML.


Note






• Para a configuração do Ping Identity, insira BrowserSAML. Este é o método de autenticação queo driver de ODBC usa para se autenticar no Ping Identity.

• Para a configuração do Ping Identity com SSO, insira Ping. Este é o método de autenticação queo driver de ODBC usa para se autenticar usando o Ping Identity com SSO.

• Em uid, insira your-ping-username. Este é o nome de usuário da conta do Microsoft Azure queestá sendo usado para o SSO, que tem permissão para o cluster que você está tentando autenticar.Use isso somente quando plugin_name for Ping.

• Em pwd, insira your-ping-password. Use isso somente quando plugin_name for Ping.268



• Em login_url, insira your-login-url. Este é o URL de SSO inicial que retorna a resposta deSAML. Isso se aplica somente ao plug-in de Browser SAML.

• Em idp_response_timeout, insira the-number-of-seconds. Esse é o período especificado emsegundos para aguardar a resposta do PingOne Identity. Isso se aplica somente ao plug-in deBrowser SAML.

• Em listen_port, insira your-listen-port. Esta é a porta que o servidor local está escutando. Opadrão é 7890. Isso se aplica somente ao plug-in de Browser SAML.




Configurar a autenticação de logon único de JDBC ou ODBC com o Okta

É possível usar o Okta como um provedor de identidade (IdP) para acessar o cluster do Amazon Redshift.A seguir, encontra-se um procedimento que descreve como configurar uma relação de confiança paraessa finalidade. Para obter mais informações sobre como configurar a AWS como um provedor de serviçospara o Okta, consulte Configurar o IdP SAML 2.0 com confiança da parte dependente e inclusão dereivindicações no Guia do usuário do IAM.

Como configurar o Okta e sua conta da AWS para confiarem entre si

1. Crie ou use um cluster do Amazon Redshift existente para que seus usuários do Okta se conectem.Para configurar a conexão, certas propriedades deste cluster são necessárias, como o identificador decluster. Para obter mais informações, consulte Criar um cluster.

2. Adicione o Amazon Redshift como um novo aplicativo no portal do Okta. Para obter etapasdetalhadas, consulte a Documentação do Okta.

• Escolha Add Application (Adicionar aplicativo).• Em Add Application (Adicionar aplicativo), escolha Create New App (Criar novo aplicativo).• Na página Create a New Add Application Integration (Criar uma nova integração de aplicativos de

adição), em Platform (Plataforma), escolha Web.• Em Sign on method (Método de logon), escolha SAML v2.0.• Na página General Settings (Configurações gerais), em App name (Nome do aplicativo), insirayour-redshift-saml-sso-name. Esse é o nome do seu aplicativo.

• Na página Configurações de SAML, em URL de logon único, insira your-redshift-local-host-url. Este é o host local e a porta para a qual a declaração de SAML redireciona. Porexemplo, http://localhost:7890/redshift.

• Use o Single sign on URL (URL de logon único) como o Recipient URL (URL do destinatário) e oDestination URL (URL de destino).

• Em Signing (Assinar), escolha Sign Assertion (Assinar declaração).• Em Audience URI (SP Entity ID) (URI de Audiência [ID da entidade SP]), insiraurn:amazon:webservices para as reivindicações, conforme mostrado na tabela a seguir.

• Na seção Advanced Settings (Configurações avançadas), em SAML Issuer ID (ID do emissorSAML), insira your-Identity-Provider-Issuer-ID que você pode encontrar na seção ViewSetup Instructions (Visualizar instruções de configuração).

• Na seção Attribute Statements (Declarações de atributo), crie as reivindicações conforme mostradona tabela a seguir.

269




https://developer.okta.com/docs/



Nome da reivindicação Valor

https://aws.amazon.com/SAML/Attributes/Role arn:aws:iam::123456789012:role/Okta,arn:aws:iam::123456789012:saml-provider/Okta


user.email


"true"


e-mail

3. Na seção App Embed Link (Link de incorporação de aplicativo) localize o URL que você pode usarcomo o URL de login do plug-in SAML do navegador.

4. Crie um provedor de identidade SAML do IAM no console do IAM. O documento de metadadosfornecido é o arquivo XML de metadados da federação que você salvou quando configurou o Okta.Para obter etapas detalhadas, consulte Criar e gerenciar um provedor de identidade do IAM (console)no Guia do usuário do IAM.



Como configurar o JDBC para autenticação no Okta

• Configure seu cliente de banco de dados para se conectar ao cluster por meio do JDBC usando oSSO do Okta.

É possível usar qualquer cliente que use um driver JDBC para se conectar usando o SSO do Okta ouusar uma linguagem, como Java, para se conectar usando um script. Para obter informações sobreinstalação e configuração, consulte Configurar uma conexão JDBC (p. 82).




a. Abra o SQL Workbench/J. Na página Select Connection Profile (Selecionar perfil de conexão),adicione um Profile Group (Grupo de perfis), por exemplo, Okta.

b. Em Connection Profile (Perfil de conexão), insira your-connection-profile-name, porexemplo, Okta.



270






• Em User (Usuário), insira o nome de usuário do Okta. Este é o nome de usuário da conta doOkta que está sendo usado para o logon único que tem permissão para o cluster que você estátentando autenticar.

• Em Password (Senha), insira sua senha do Okta.• Em Drivers, escolha Amazon Redshift (com.amazon.redshift.jdbc.Driver).• Para URL, insira jdbc:redshift:iam//your-cluster-identifier:your-cluster-region/your-database-name.


• Em login_url, insira your-okta-sso-login-url. Esse valor especifica o URL para usar oSSO como autenticação para fazer login no Okta.

• No SSO do Okta, em plugin_name, insiracom.amazon.redshift.plugin.OktaCredentialsProvider. Esse valor especifica parao driver usar o SSO do Okta como o método de autenticação.

• Para o SSO do Okta com MFA, em plugin_name, insiracom.amazon.redshift.plugin.BrowserSamlCredentialsProvider. Esse valorespecifica para o driver usar o SSO do Okta com MFA como o método de autenticação.

Como configurar o ODBC para autenticação no Okta

• Configure seu cliente de banco de dados para se conectar ao cluster por meio do ODBC usando oSSO do Okta.







• Em Auth type (Tipo de autenticação), siga um destes procedimentos:• Para a configuração do SSO do Okta, escolha Identity Provider: Okta. Este é o método

de autenticação que o driver de ODBC usa para autenticar usando o SSO do Okta.• Para a configuração do SSO do Okta com MFA, escolha Identity Provider: BrowserSAML. Este é o método de autenticação que o driver de ODBC usa para autenticar usando o SSOdo Okta com MFA.

• Para Cluster ID (ID do cluster), insira your-cluster-identifier.• Para Region (Região), insira your-cluster-region.• Para Database (Banco de dados), insira your-database-name.• Em User (Usuário), insira your-okta-username. Este é o nome de usuário da conta do Okta que

está sendo usado para o SSO que tem permissão para o cluster que você está tentando autenticar.

271



Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: Okta (Provedor deidentidade: Okta).

• Em Password (Senha), insira your-okta-password. Use isso somente quando Auth type (Tipo deautenticação) for Identity Provider: Okta (Provedor de identidade: Okta).


Note






• Para a configuração do SSO do Okta com MFA, insira BrowserSAML. Este é o método deautenticação que o driver de ODBC usa para autenticar no SSO do Okta com MFA.

• Para a configuração do SSO do Okta, insira Okta. Este é o método de autenticação que o driverde ODBC usa para autenticar usando o SSO do Okta.

• Em uid, insira your-okta-username. Este é o nome de usuário da conta do Okta usado para oSSO que tem permissão para o cluster no qual você está tentando autenticar. Use isso somentequando plugin_name for Okta.

• Em pwd, insira your-okta-password. Use isso somente quando plugin_name for Okta.• Em login_url, insira your-login-url. Este é o URL de SSO inicial que retorna a resposta de

SAML. Isso se aplica somente ao plug-in de Browser SAML.• Em idp_response_timeout, insira the-number-of-seconds. Esse é o período especificado em

segundos para aguardar a resposta do PingOne. Isso se aplica somente ao plug-in de BrowserSAML.

• Em listen_port, insira your-listen-port. Esta é a porta que o servidor local está escutando. Opadrão é 7890. Isso se aplica somente ao plug-in de Browser SAML.




Opções JDBC e ODBC para criar credenciais de usuário de banco de dados

Para usar o driver JDBC ou ODBC do Amazon Redshift para criar credenciais de usuário de banco dedados, forneça o nome de usuário de banco de dados como uma opção JDBC ou ODBC. Opcional, odriver poderá criar um novo usuário de banco de dados, caso não exista um, e você poderá especificaruma lista de grupos de usuários de banco de dados aos quais o usuário se associará no login.

272



Se você usa um provedor de identidade (IdP), trabalhe com o administrador do IdP para determinar osvalores corretos dessas opções. O administrador do IdP também pode configurar o IdP para forneceressas opções; nesse caso, você não precisa fornecer as opções como JDBC ou ODBC. Para obter maisinformações, consulte Configurar declarações de SAML para o IdP (p. 239).

Note

Se você usar uma variável de política do IAM ${redshift:DbUser}, conforme descrito emPolíticas de recursos de GetClusterCredentials (p. 229), o valor para DbUser será substituídopelo valor recuperado pelo contexto da solicitação da operação de API. Os drivers do AmazonRedshift usam o valor para a variável DbUser fornecida pelo URL da conexão, em vez do valorfornecido como um atributo de SAML.Para ajudar a proteger essa configuração, recomendamos que você use uma condição em umapolítica do IAM para validar o valor DbUser com o RoleSessionName. Você pode encontrarexemplos de como definir uma condição usando uma política do IAM em Política de exemplo parausar GetClusterCredentials (p. 234).

A tabela a seguir lista as opções de criação de credenciais de usuário de banco de dados.

Opção Descrição

DbUser O nome de um usuário do banco de dados. Se houver um usuário chamado DbUser nobanco de dados, as credenciais temporárias do usuário terão as mesmas permissões queo usuário existente. Se DbUser não existir no banco de dados e AutoCreate for definidocomo true, um novo usuário DbUser será criado. Se desejar, desabilite a senha de umusuário existente. Para obter mais informações, consulte ALTER_USER

AutoCreate Especifique true para criar um usuário de banco de dados com o nome especificadocomo DbUser, caso ainda não exista um. O padrão é false.

DbGroups Uma lista delimitada por vírgulas dos nomes de um ou mais grupos de bancos de dadosexistentes que o usuário do banco de dados une para a sessão atual. Por padrão, o novousuário é adicionado somente a PUBLIC.

Gerar as credenciais de banco de dados do IAM usando a CLI ou a API doAmazon RedshiftPara gerar de modo programático as credenciais temporárias de usuário de banco de dados, o AmazonRedshift fornece o comando get-cluster-credentials da interface de linha de comando da AWS (AWS CLI)e a operação de API GetClusterCredentials. Como alternativa, você pode configurar o cliente SQL comos drivers JDBC ou ODBC do Amazon Redshift que gerenciam o processo de chamada da operação doGetClusterCredentials, recuperando as credenciais de usuário de banco de dados e estabelecendouma conexão entre o cliente SQL e o banco de dados do Amazon Redshift. Para obter mais informações,consulte Opções JDBC e ODBC para criar credenciais de usuário de banco de dados (p. 272).

Note

É recomendável usar os drivers JDBC ou ODBC do Amazon Redshift para gerar credenciais deusuário de banco de dados.

Nesta seção, você encontrará etapas que permitirão chamar a operação GetClusterCredentials ouo comando get-cluster-credentials de modo programático, recuperar credenciais de usuário de banco dedados e conectar-se ao banco de dados.

Para gerar e usar credenciais de banco de dados temporárias

1. Crie ou modifique um usuário ou uma função do IAM com as permissões necessárias. Para obter maisinformações sobre as permissões do IAM, consulte Criar uma função do IAM, uma função de usuárioou um usuário com permissões para chamar GetClusterCredentials (p. 241).

273

https://docs.aws.amazon.com/redshift/latest/dg/r_ALTER_USER.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/get-cluster-credentials.html




2. Como um usuário ou uma função do IAM que você autorizou na etapa anterior, execute o comandoget-cluster-credentials da CLI ou chame a ação de API de GetClusterCredentials e forneça osseguintes valores:

• Identificador do cluster – O nome do cluster que contém o banco de dados.• Nome de usuário de banco de dados – O nome de um usuário de banco de dados novo ou antigo.

• Se o usuário não existir no banco de dados e AutoCreate for definido como true, um novo usuárioserá criado com PASSWORD desabilitado.

• Se o usuário não existir e AutoCreate for false, a solicitação apresentará falha.• Neste exemplo, o nome de usuário de banco de dados é temp_creds_user.

• Autocreate – (opcional) Crie um novo usuário se o nome de usuário de banco de dados não existir.• Database name – (opcional) O nome do banco de dados no qual o usuário tem autorização para

fazer logon. Se o nome do banco de dados não for especificado, o usuário poderá fazer logon emqualquer banco de dados de cluster.

• Grupos de bancos de dados – (opcional) A lista de grupos de usuários de banco de dadosexistentes. Após login bem-sucedido, o usuário do banco de dados será adicionado aos grupos deusuários especificados. Se nenhum grupo for especificado, o usuário somente terá permissões dePUBLIC. Os nomes de grupos de usuários devem corresponder aos ARNs de recursos dbgroupespecificados na política do IAM anexada ao usuário ou função do IAM.

• Tempo de expiração – (opcional) O tempo, em segundos, até que as credenciais temporáriasexpirem. Você pode especificar um valor entre 900 segundos (15 minutos) e 3600 segundos (60minutos). O padrão é 900 segundos.

3. O Amazon Redshift verifica o usuário do IAM tem permissão para chamar a operação deGetClusterCredentials com os recursos especificados.

4. O Amazon Redshift retorna uma senha temporária e o nome do usuário do banco de dados.

O exemplo a seguir usa a CLI do Amazon Redshift para gerar credenciais de banco de dadostemporárias para um usuário existente chamado temp_creds_user.

aws redshift get-cluster-credentials --cluster-identifier examplecluster --db-user temp_creds_user --db-name exampledb --duration-seconds 3600

O resultado é conforme se segue.

{ "DbUser": "IAM:temp_creds_user", "Expiration": "2016-12-08T21:12:53Z", "DbPassword": "EXAMPLEjArE3hcnQj8zt4XQj9Xtma8oxYEM8OyxpDHwXVPyJYBDm/gqX2Eeaq6P3DgTzgPg=="}

O exemplo a seguir usa a CLI do Amazon Redshift com autocreate para gerar credenciais de bancode dados temporárias para um novo usuário e adicionar o usuário ao grupo example_group.

aws redshift get-cluster-credentials --cluster-identifier examplecluster --db-user temp_creds_user -–no-auto-create --db-name exampledb -–db-groups example_group --duration-seconds 3600

O resultado é conforme se segue.

{ "DbUser": "IAMA:temp_creds_user:example_group", "Expiration": "2016-12-08T21:12:53Z",

274

Amazon Redshift Guia de gerenciamento de clustersAutorizar o Amazon Redshift a acessar serviços da AWS

"DbPassword": "EXAMPLEjArE3hcnQj8zt4XQj9Xtma8oxYEM8OyxpDHwXVPyJYBDm/gqX2Eeaq6P3DgTzgPg=="}

5. Estabeleça uma conexão de autenticação SSL (Secure Socket Layer) com o cluster do AmazonRedshift e envie uma solicitação de login com o nome de usuário e a senha na resposta doGetClusterCredentials. Inclua o prefixo IAM: ou IAMA: com o nome de usuário; por exemplo,IAM:temp_creds_user ou IAMA:temp_creds_user.

Important

Configure o cliente SQL para exigir o SSL. Caso contrário, se o cliente SQL tentar seconectar automaticamente com o SSL, ele poderá retornar a não SSL se houver qualquer tipode falha. Nesse caso, a primeira tentativa de conexão poderá falhar porque as credenciaisestão expiradas ou são inválidas e, depois, a segunda tentativa de conexão falhará porquea conexão não é SSL. Se isso ocorrer, pode ser que a primeira mensagem não apareça.Para obter mais informações sobre como se conectar ao cluster usando o SSL, consulteConfigurar as opções de segurança para conexões (p. 102).

6. Se a conexão não usar SSL, a tentativa de conexão apresentará falha.7. O cluster envia uma solicitação authentication ao cliente SQL.8. Em seguida, o cliente SQL envia uma senha temporária ao cluster.9. Se a senha for válida e não tiver expirado, o cluster concluirá a conexão.

Autorizar o Amazon Redshift a acessar outros serviçosda AWS em seu nomeAlguns recursos do Amazon Redshift exigem que o Amazon Redshift acesse outros serviços da AWS emseu nome. Por exemplo, os comandos COPY e UNLOAD podem carregar ou descarregar dados no clusterdo Amazon Redshift usando um bucket do Amazon Simple Storage Service (Amazon S3). O AmazonRedshift Spectrum pode usar um catálogo de dados no Amazon Athena ou no AWS Glue. Para que osclusters do Amazon Redshift ajam em seu nome, forneça credenciais de segurança aos clusters. O métodopreferido para fornecer credenciais de segurança é especificar uma função do AWS Identity and AccessManagement (IAM). Para COPY e UNLOAD, você pode fornecer as chaves de acesso da AWS.

Em seguida, descubra como criar uma função do IAM com as permissões apropriadas para acessar outrosserviços da AWS. Você também precisa associar a função ao cluster e especificar o nome de recursoda Amazon (ARN) da função ao executar o comando do Amazon Redshift. Para obter mais informações,consulte Autorização das operações COPY, UNLOAD e CREATE EXTERNAL SCHEMA usando funçõesdo IAM (p. 280).

Criar uma função do IAM para permitir que o cluster do AmazonRedshift acesse serviços da AWSPara criar uma função do IAM a fim de ativar o cluster do Amazon Redshift para se comunicar com outrosserviços da AWS em seu nome, siga estas etapas.

Para criar uma função do IAM a fim de permitir que o Amazon Redshift acesse serviços da AWS

1. Abra o console do IAM.2. No painel de navegação, selecione Roles.3. Selecione Create role.4. Escolha AWS service e clique em Redshift.

275



https://console.aws.amazon.com/iam/home?#home


5. Em Select your use case, escolha Redshift - Customizable e clique em Next: Permissions.6. A página Attach permissions policy é exibida. Para acessar o Amazon S3 usando COPY e UNLOAD,

escolha AmazonS3ReadOnlyAccess. Para o Redshift Spectrum, além do acesso ao Amazon S3,adicione AWSGlueConsoleFullAccess ou AmazonAthenaFullAccess. Escolha Next: Tags(Próximo: tags).

7. A página Add tags (Adicionar tags) será exibida. Opcionalmente, é possível adicionar tags. SelecionePróximo: revisão.

8. Para Role Name, digite um nome para sua função, por exemplo, RedshiftCopyUnload. SelecioneCreate role (Criar função).

9. A nova função está disponível para todos os usuários em clusters que usam a função. Para restringiracesso somente a usuários específicos em clusters específicos ou, a clusters em regiões específicas,edite a relação de confiança da função. Para obter mais informações, consulte Restringir acesso afunções do IAM (p. 276).

10. Associe a função ao cluster. Você pode associar uma função do IAM a um cluster ao criar o cluster, ouadicionar a função a um cluster existente. Para obter mais informações, consulte Associar funções doIAM a clusters (p. 280).

Restringir acesso a funções do IAMPor padrão, as funções do IAM disponíveis para um cluster do Amazon Redshift estão disponíveis paratodos os usuários nesse cluster. Você pode optar por restringir funções do IAM a usuários de banco dedados do Amazon Redshift específicos em clusters específicos ou a regiões específicas.

Para permitir que somente usuários de banco de dados específicos usem uma função do IAM, siga asetapas a seguir.

Para identificar usuários de banco de dados específicos com acesso a uma função do IAM

1. Identifique o nome de recurso da Amazon (ARN) dos usuários de banco de dados nocluster do Amazon Redshift. O ARN de um usuário de banco de dados está no formato:arn:aws:redshift:region:account-id:dbuser:cluster-name/user-name.

2. Abra o console do IAM em url="https://console.aws.amazon.com/.3. No painel de navegação, selecione Roles.4. Escolha a função do IAM que você deseja restringir a usuários de banco de dados do Amazon

Redshift específicos.5. Escolha a guia Trust Relationships e Edit Trust Relationship. Uma nova função do IAM que permite

ao Amazon Redshift acessar outros serviços da AWS em seu nome possui a seguinte relação deconfiança:


6. Adicione uma condição à seção da ação sts:AssumeRole da relação de confiança que limite ocampo sts:ExternalId a valores especificados por você. Inclua um ARN para cada usuário dobanco de dados para quem você deseja dar acesso à função.

276




Por exemplo, a relação de confiança a seguir especifica que somente os usuários do banco de dadosuser1 e user2 no cluster my-cluster na região us-west-2 têm permissão para usar essa funçãodo IAM.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "redshift.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": [ "arn:aws:redshift:us-west-2:123456789012:dbuser:my-cluster/user1", "arn:aws:redshift:us-west-2:123456789012:dbuser:my-cluster/user2" ] } } }]}

7. Escolha Update Trust Policy.

Restringir uma função do IAM a uma região da AWSVocê pode restringir uma função do IAM para ser acessível somente em uma determinada região da AWS.Por padrão, as funções do IAM do Amazon Redshift não estão restritas a uma única região.

Para restringir o uso de uma função do IAM por região, siga estas etapas.

Para identificar regiões permitidas para uma função do IAM

1. Abra o console do IAM em https://console.aws.amazon.com.2. No painel de navegação, selecione Roles.3. Escolha a função que você deseja modificar com regiões específicas.4. Escolha a guia Trust Relationships e Edit Trust Relationship. Uma nova função do IAM que permite

ao Amazon Redshift acessar outros serviços da AWS em seu nome possui a seguinte relação deconfiança:


5. Modifique a lista Service do Principal com a lista das regiões específicas para as quais vocêdeseja permitir o uso da função. Cada região na lista Service deve estar no seguinte formato:redshift.region.amazonaws.com.

277




Por exemplo, a relação de confiança editada permite o uso da função do IAM somente nas regiõesus-east-1 e us-west-2.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "redshift.us-east-1.amazonaws.com", "redshift.us-west-2.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ]}

6. Escolher Update Trust Policy

Encadeamento de funções do IAM no Amazon RedshiftAo anexar uma função ao cluster, seu cluster pode assumir essa função para acessar o Amazon S3, oAthena e o AWS Glue em seu nome. Se uma função anexada ao cluster não tiver acesso aos recursosnecessários, você poderá encadear outra função, possivelmente pertencente a outra conta. O clusterassumirá a função encadeada temporariamente para acessar os dados. Você também pode concederacesso entre contas com o encadeamento de funções. Cada função em cadeia assume a próxima funçãona cadeia, até que o cluster assuma a função no final da cadeia. Você pode encadear um máximo de 10funções.

Por exemplo, suponha que a empresa A queira acessar os dados em um bucket do Amazon S3 quepertence à empresa B. A empresa A cria uma função de serviço da AWS para o Amazon Redshiftchamada de RoleA e a anexa ao cluster dela. A empresa B cria uma função chamada RoleB que éautorizada a acessar os dados no bucket da empresa B. Para acessar os dados no bucket da empresaB, a empresa A executa um comando COPY usando um parâmetro iam_role que encadeia RoleAe RoleB. Durante a operação COPY, a função RoleA assume temporariamente a função RoleB paraacessar o bucket do Amazon S3.

Para encadear funções, você estabelece uma relação de confiança entre as funções. Uma função queassume uma outra função (por exemplo, RoleA) precisa ter uma política de permissões que conceda a elaa permissão para assumir a função da próxima função encadeada (por exemplo, RoleB). Por sua vez, afunção que passa a permissão (RoleB) precisa ter uma política de confiança que permita que ela passesuas permissões para a função encadeada anterior (RoleA). Para obter mais informações, consulte Usarfunções do IAM no Guia do usuário do IAM.

A primeira função na cadeia deve ser uma função anexada ao cluster. A primeira função, e cada funçãosubsequente que assume a próxima função na cadeia, deve ter uma política que inclua uma declaraçãoespecífica. Essa declaração tem o efeito de Allow na ação sts:AssumeRole e no nome de recursoda Amazon (ARN) da próxima função em um elemento Resource. No exemplo, RoleA tem a seguintepolítica de permissão que permite a ela assumir a função RoleB, que pertence à conta 210987654321 daAWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1487639602000",

278

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html


"Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": "arn:aws:iam::210987654321:role/RoleB" } ]}

Uma função que passa para uma outra função deve estabelecer uma relação de confiança com a funçãoque assume a função ou com a conta da AWS que possui a função. No exemplo, RoleB tem a seguintepolítica de confiança para estabelecer uma relação de confiança com a função RoleA.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "AWS": "arn:aws:iam::role/RoleA" } ]}

A seguinte política de confiança estabelece uma relação de confiança com o proprietário de RoleA, aconta 123456789012 da AWS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "AWS": "arn:aws:iam::123456789012:root" } } ]}

Quando você executa um comando UNLOAD, COPY ou CREATE EXTERNAL SCHEMA, pode encadearfunções incluindo uma lista separada por vírgulas de ARNs de funções no parâmetro iam_role. Oexemplo a seguir mostra a sintaxe do encadeamento de funções no parâmetro iam_role.

unload ('select * from venue limit 10') to 's3://acmedata/redshift/venue_pipe_'IAM_ROLE 'arn:aws:iam::<aws-account-id-1>:role/<role-name-1>[,arn:aws:iam::<aws-account-id-2>:role/<role-name-2>][,...]';

Note

A cadeia de funções inteira é colocada entre aspas simples e não deve conter espaços.

Nos exemplos a seguir, a função RoleA é anexada ao cluster que pertence à conta da AWS123456789012. RoleB, que pertence à conta 210987654321, tem permissão para acessar o bucketdenominado s3://companyb/redshift/. O exemplo a seguir encadeia RoleA e RoleB paradescarregar dados (comando UNLOAD) no bucket s3://companyb/redshift/.

unload ('select * from venue limit 10') to 's3://companyb/redshift/venue_pipe_'

279


iam_role 'arn:aws:iam::123456789012:role/RoleA,arn:aws:iam::210987654321:role/RoleB';

O exemplo a seguir usa um comando COPY para carregar os dados que foram descarregados no exemploanterior.

copy venue from 's3://companyb/redshift/venue_pipe_'iam_role 'arn:aws:iam::123456789012:role/RoleA,arn:aws:iam::210987654321:role/RoleB';

No exemplo a seguir, o comando CREATE EXTERNAL SCHEMA usa funções encadeadas para assumir afunção RoleB.

create external schema spectrumexample from data catalog database 'exampledb' region 'us-west-2' iam_role 'arn:aws:iam::123456789012:role/RoleA,arn:aws:iam::210987654321:role/RoleB';

Tópicos relacionados• Autorização das operações COPY, UNLOAD e CREATE EXTERNAL SCHEMA usando funções do

IAM (p. 280)

Autorização das operações COPY, UNLOAD e CREATEEXTERNAL SCHEMA usando funções do IAMVocê pode usar o comando COPY para carregar (ou importar) dados para o Amazon Redshift e ocomando UNLOAD para descarregar (ou exportar) dados do Amazon Redshift. Quando você utiliza oAmazon Redshift Spectrum, usa o comando CREATE EXTERNAL SCHEMA para especificar o local dobucket do Amazon S3 que contém seus dados. Ao executar os comandos COPY, UNLOAD ou CREATEEXTERNAL SCHEMA, você deve fornecer credenciais de segurança. Essas credenciais autorizam seucluster do Amazon Redshift a ler ou gravar dados no destino, ou vice-versa, como um bucket do AmazonS3. O método preferido para fornecer credenciais de segurança é especificar uma função do AWS Identityand Access Management (IAM). Para COPY e UNLOAD, você pode fornecer as chaves de acesso daAWS. Para obter informações sobre como criar uma função do IAM, consulte Autorizar o Amazon Redshifta acessar outros serviços da AWS em seu nome (p. 275).

As etapas para usar uma função do IAM são:

• Crie uma função do IAM a ser usada com o cluster do Amazon Redshift.• Associe a função do IAM ao cluster.• Inclua o ARN da função do IAM ao chamar o comando COPY, UNLOAD ou CREATE EXTERNAL

SCHEMA.

Neste tópico, você aprenderá como associar uma função do IAM a um cluster do Amazon Redshift.

Associar funções do IAM a clustersDepois que tiver criado uma função do IAM que autorize o Amazon Redshift a acessar outros serviços daAWS para você, você deve associar essa função a um cluster do Amazon Redshift. Faça isso para poderusar a função para carregar ou descarregar dados.

Permissões necessárias para associar uma função do IAM a um cluster

Para associar uma função do IAM a um cluster, um usuário do IAM deve ter permissão iam:PassRolepara essa função do IAM. Essa permissão autoriza um administrador a restringir quais funções do IAM umusuário pode associar a clusters do Amazon Redshift.

280



https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_EXTERNAL_SCHEMA.html


O exemplo a seguir mostra uma política do IAM que pode ser anexada a um usuário do IAM permitindoque o usuário utilize estas ações:

• Obtenha os detalhes de todos os clusters do Amazon Redshift de propriedade da conta desse usuário.• Associe alguma das três funções do IAM a um dos dois clusters do Amazon Redshift.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "redshift:DescribeClusters", "Resource": "*" }, { "Effect": "Allow", "Action": [ "redshift:ModifyClusterIamRoles", "redshift:CreateCluster" ], "Resource": [ "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster", "arn:aws:redshift:us-east-1:123456789012:cluster:my-second-redshift-cluster" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::123456789012:role/MyRedshiftRole", "arn:aws:iam::123456789012:role/SecondRedshiftRole", "arn:aws:iam::123456789012:role/ThirdRedshiftRole" ] } ]}

Depois que um usuário do IAM tem as permissões apropriadas, esse usuário pode associar uma funçãodo IAM a um cluster do Amazon Redshift. A função do IAM então estará pronta para uso com o comandoCOPY ou UNLOAD ou outros comandos do Amazon Redshift.

Para obter mais informações sobre políticas do IAM, consulte Visão geral das políticas do IAM no Guia dousuário do IAM.

Gerenciar a associação da função do IAM a um cluster

Você pode associar uma função do IAM a um cluster do Amazon Redshift quando da criação do cluster.Ou você pode modificar um cluster existente e adicionar ou remover uma ou mais associações de funçõesdo IAM.

Esteja ciente do seguinte:

• Você pode associar um máximo de 10 funções do IAM a um cluster do Amazon Redshift.• Uma função do IAM pode ser associada a vários clusters do Amazon Redshift.• Uma função do IAM poderá ser associada a um cluster do Amazon Redshift somente se a função do

IAM e o cluster forem de propriedade da mesma conta da AWS.

281

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html


Usar o console para gerenciar associações à função do IAM

Você pode gerenciar associações de função do IAM de um cluster ao console usando o procedimento aseguir.

Note


Novo console

Para gerenciar associações à função do IAM


2. No menu de navegação, escolha CLUSTERS e escolha o cluster que deseja atualizar.3. Em Actions (Ações), escolha Manage IAM roles (Gerenciar funções do IAM) para exibir a lista atual de

funções do IAM associadas ao cluster.4. Na página Manage IAM roles (Gerenciar funções do IAM), escolha as funções do IAM disponíveis para

adição e escolha Add IAM role (Adicionar função do IAM).5. Escolha Done (Concluído) para salvar as alterações.

Console original

Para gerenciar associações à função do IAM


2. No painel de navegação, escolha Clusters.3. Na lista, escolha o cluster para o qual deseja gerenciar as associações da função do IAM.4. Selecione See IAM Roles (Visualizar funções do IAM)5. Para associar uma função do IAM ao cluster, escolha a função do IAM em Available roles (Funções

disponíveis). Você também poderá inserir manualmente uma função do IAM se ela não estiver incluídana lista (por exemplo, se a função do IAM ainda não tiver sido criada).

6. Para desassociar uma função do IAM do cluster, escolha X para a função do IAM que você desejadesassociar.

7. Depois que você tiver concluído a modificação das associações de função do IAM, escolha ApplyChanges para atualizar as funções do IAM associadas ao cluster.

O painel Manage IAM Roles mostra o status das associações de função do IAM do cluster. As funçõesque foram associadas ao cluster mostram um status de in-sync. Funções no processo de associação aocluster mostram um status adding. As funções que estão sendo desassociadas do cluster mostram umstatus de removing.

282






Usar a AWS CLI para gerenciar associações à função do IAM

É possível gerenciar associações à função do IAM de um cluster com a AWS CLI usando as abordagens aseguir.

Associar uma função do IAM a um cluster usando a AWS CLI

Para associar uma função do IAM a um cluster quando criado, especifique o nome de recurso da Amazon(ARN) da função do IAM do parâmetro --iam-role-arns do comando create-cluster. Você podeespecificar até 10 funções do IAM a serem adicionadas chamando o comando create-cluster.

Associar e desassociar funções do IAM a clusters do Amazon Redshift são processos assíncronos.Você pode obter o status de todas as associações de cluster da função do IAM chamando o comandodescribe-clusters.

O exemplo a seguir associa duas funções do IAM ao cluster recém-criado chamado my-redshift-cluster.

aws redshift create-cluster \ --cluster-identifier "my-redshift-cluster" \ --node-type "dc1.large" \ --number-of-nodes 16 \ --iam-role-arns "arn:aws:iam::123456789012:role/RedshiftCopyUnload" \ "arn:aws:iam::123456789012:role/SecondRedshiftRole"

Para associar uma função do IAM a um cluster do Amazon Redshift existente, especifique o ARN dafunção do IAM do parâmetro --add-iam-roles do comando modify-cluster-iam-roles. Vocêpode especificar até 10 funções do IAM a serem adicionadas chamando o comando modify-cluster-iam-roles.

O exemplo a seguir associa uma função do IAM a um cluster existente chamado my-redshift-cluster.

aws redshift modify-cluster-iam-roles \ --cluster-identifier "my-redshift-cluster" \

283


--add-iam-roles "arn:aws:iam::123456789012:role/RedshiftCopyUnload"

Desassociar uma função do IAM de um cluster usando a AWS CLI

Para desassociar uma função do IAM de um cluster, especifique o ARN da função do IAM do parâmetro --remove-iam-roles do comando modify-cluster-iam-roles. Você pode especificar até 10 funçõesdo IAM a serem removidas chamando o comando modify-cluster-iam-roles.

O exemplo a seguir remove a associação de uma função do IAM da conta da AWS 123456789012 de umcluster chamado my-redshift-cluster.

aws redshift modify-cluster-iam-roles \ --cluster-identifier "my-redshift-cluster" \ --remove-iam-roles "arn:aws:iam::123456789012:role/RedshiftCopyUnload"

Listar associações à função do IAM de um cluster usando a AWS CLI

Para listar todas as funções do IAM associadas a um cluster do Amazon Redshift, e o status da associaçãodo IAM, chame o comando describe-clusters. O ARN de cada função do IAM associada ao cluster éretornado na lista IamRoles conforme mostrado na saída de exemplo a seguir.

As funções que foram associadas ao cluster mostram um status de in-sync. Funções no processo deassociação ao cluster mostram um status adding. As funções que estão sendo desassociadas do clustermostram um status de removing.

{ "Clusters": [ { "ClusterIdentifier": "my-redshift-cluster", "NodeType": "dc1.large", "NumberOfNodes": 16, "IamRoles": [ { "IamRoleArn": "arn:aws:iam::123456789012:role/MyRedshiftRole", "IamRoleApplyStatus": "in-sync" }, { "IamRoleArn": "arn:aws:iam::123456789012:role/SecondRedshiftRole", "IamRoleApplyStatus": "in-sync" } ], ... }, { "ClusterIdentifier": "my-second-redshift-cluster", "NodeType": "dc1.large", "NumberOfNodes": 10, "IamRoles": [ { "IamRoleArn": "arn:aws:iam::123456789012:role/MyRedshiftRole", "IamRoleApplyStatus": "in-sync" }, { "IamRoleArn": "arn:aws:iam::123456789012:role/SecondRedshiftRole", "IamRoleApplyStatus": "in-sync" }, { "IamRoleArn": "arn:aws:iam::123456789012:role/ThirdRedshiftRole", "IamRoleApplyStatus": "in-sync" } ],

284

Amazon Redshift Guia de gerenciamento de clustersRegistro em log e monitoramento

... } ]}

Para obter mais informações sobre como usar a AWS CLI, consulte Guia do usuário de interface da linhade comando da AWS.

Registrar em log e monitorar no Amazon RedshiftO monitoramento é uma parte importante da manutenção da confiabilidade, da disponibilidade edo desempenho do Amazon Redshift e das suas soluções da AWS. Você pode coletar dados demonitoramento de todas as partes de sua solução da AWS para depurar uma falha de vários pontos commais facilidade, caso ocorra. A AWS fornece várias ferramentas para monitorar seus recursos do AmazonRedshift e responder a incidentes em potencial:

Alarmes do Amazon CloudWatch

Com o uso de alarmes do Amazon CloudWatch, você observa uma única métrica durante umperíodo especificado. Se a métrica ultrapassar um limite especificado, uma notificação será enviadapara um tópico do Amazon SNS ou política do AWS Auto Scaling. Os alarmes do CloudWatch nãoinvocam ações porque estão em um estado específico. O estado deve ter sido alterado e mantidopor uma quantidade especificada de períodos. Para obter mais informações, consulte Criar umalarme (p. 370). Para obter uma lista das métricas, consulte Dados de desempenho do AmazonRedshift (p. 327).

Logs do AWS CloudTrail

O CloudTrail fornece um registro das operações de API executadas por um usuário ou função do IAMou um serviço da AWS no Amazon Redshift. Usando as informações coletadas pelo CloudTrail, épossível determinar a solicitação que foi feita ao Amazon Redshift, o endereço IP da solicitação, quema fez e quando ela foi feita, além de outros detalhes. Para obter mais informações, consulte Registrarem log chamadas de API do Amazon Redshift com o AWS CloudTrail (p. 292).

Registro em log da auditoria de banco de dadosTópicos

• Visão geral (p. 285)• Logs do Amazon Redshift (p. 286)• Habilitar o log (p. 288)• Gerenciar arquivos de log (p. 288)• Solução de problemas do registro em log da auditoria do Amazon Redshift (p. 291)• Registrar em log chamadas de API do Amazon Redshift com o AWS CloudTrail (p. 292)• IDs de conta do Amazon Redshift em logs do AWS CloudTrail (p. 295)• Configurar a auditoria usando o console (p. 296)• Configurar registro em log usando a CLI e a API do Amazon Redshift (p. 299)

Visão geralO Amazon Redshift registra em log informações sobre conexões e atividades do usuário no banco dedados. Esses logs ajudam a monitorar o banco de dados para fins de segurança e solução de problemas,

285

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html

Amazon Redshift Guia de gerenciamento de clustersRegistro em log da auditoria de banco de dados

que é um processo normalmente conhecido como auditoria de banco de dados. Os logs são armazenadosem buckets do Amazon S3. Esses fornecem acesso prático com recursos de segurança de dados parausuários responsáveis por monitorar atividades no banco de dados.

Logs do Amazon RedshiftO Amazon Redshift registra informações nos seguintes arquivos de log:

• Log de conexão — registra em log as tentativas de autenticação, além de conexões e desconexões.• Log do usuário — registra em log informações sobre alterações feitas em definições de usuário do banco

de dados.• Log de atividade do usuário — registra toda consulta antes de ser executada no banco de dados.

Os logs de conexão e de usuário são úteis principalmente para fins de segurança. É possível usar o log deconexão para monitorar informações sobre os usuários que estão se conectando ao banco de dados e asinformações relacionadas às conexões. Essas informações podem ser seus endereços IP, quando fizerama solicitação, o tipo de autenticação que usaram e assim por diante. Você pode usar o log do usuário paramonitorar alterar feitas nas definições dos usuários do banco de dados.

O log de atividade do usuário é útil principalmente para fins de solução de problemas. Ele acompanhainformações sobre os tipos de consultas que os usuários e o sistema realizam no banco de dados.

O log de conexão e o log do usuário correspondem a informações armazenadas nas tabelas de sistemano banco de dados. Você pode usar as tabelas de sistema para obter as mesmas informações, masos arquivos de log oferecem um mecanismo mais fácil de recuperação e análise. Os arquivos de logdependem de permissões do Amazon S3, em vez de permissões do banco de dados, para realizarconsultas nas tabelas. Além disso, exibindo as informações em arquivos de log, em vez de consultar astabelas do sistema, você reduz todo o impacto da interação com o banco de dados.

Note

Os arquivos de log não são tão atuais quanto as tabelas base de log do sistema: STL_USERLOGe STL_CONNECTION_LOG. Os registros mais antigos, exceto o último registro, são copiadospara os arquivos de log.

Log de conexão

Registra em log as tentativas de autenticação, além de conexões e desconexões. A tabela a seguirdescreve as informações no log de conexão.

Nome da coluna Descrição

event O evento de conexão ou de autenticação.

recordtime O horário em que o evento ocorreu.

remotehost O nome ou endereço IP do host remoto.

remoteport O número da porta do host remoto.

pid O ID do processo associado à instrução.

dbname Database name.

nome de usuário User name.

authmethod O método de autenticação.

286

https://docs.aws.amazon.com/redshift/latest/dg/r_STL_USERLOG.html

https://docs.aws.amazon.com/redshift/latest/dg/r_STL_CONNECTION_LOG.html



duration A duração da conexão em microssegundos.

sslversion A versão do Secure Sockets Layer (SSL).

sslcipher A codificação do SSL.

mtu A unidade de transmissão máxima (MTU).

sslcompression O tipo de compactação do SSL.

sslexpansion O tipo de expansão do SSL.

iamauthguid O ID de autenticação da IAM para a solicitação de CloudTrail.

application_name A iniciais ou o nome atualizado da aplicação de uma sessão.

Log do usuário

Registra os detalhes das seguintes alterações de um usuário de banco de dados:

• Criar usuário• Descartar usuário• Alterar usuário (renomear)• Alterar usuário (alterar as propriedades)


userid O ID do usuário afetado pela alteração.

nome de usuário O nome de usuário do usuário afetado pelas alterações.

oldusername Para uma ação de renomeação, o nome de usuário original. Para qualquer outraação, este campo é vazio.

action A ação ocorrida. Valores válidos:

• Alter• Criar• Drop• Renomear

usecreatedb Se for verdadeiro (1), indica que o usuário tem privilégios para criar um banco dedados.

usesuper Se for verdadeiro (1), indica que o usuário é um superusuário.

usecatupd Se for verdadeiro (1), indica que o usuário pode atualizar catálogos do sistema.

valuntil A data de expiração da senha.

pid ID do processo.

xid ID da transação.

recordtime O horário (em UTC) de início da consulta.

287


Log de atividades do usuário

Registra em log todas as consultas antes de serem executadas no banco de dados.


recordtime O horário em que o evento ocorreu.

db Database name.

usuário User name.

pid O ID do processo associado à instrução.

userid ID de usuário.

xid ID da transação.

query Um prefixo de LOG: depois do texto da consulta, inclusive novas linhas.

Habilitar o logO registro em log de auditoria não está ativado por padrão no Amazon Redshift. Quando você ativa oregistro em log no cluster, o Amazon Redshift cria e faz upload de logs no Amazon S3 que capturam dadosda hora em que o registro em log da auditoria é habilitado até o presente momento. Cada atualização dolog é uma continuação das informações que já foram registradas em log.

Note

O log de auditoria no Amazon S3 é um processo opcional, manual. Ao ativar o registro em log nocluster, você está ativando apenas o registro em log no Amazon S3. O registro em log em tabelasdo sistema não é opcional e acontece automaticamente no cluster. Para obter mais informaçõessobre como registrar em log tabelas de sistema, consulte Referência das tabelas de sistema, noAmazon Redshift Database Developer Guide.

O log de conexão, o log do usuário e o log de atividade do usuário são ativados juntos usando-se oConsole de gerenciamento da AWS, a referência de API do Amazon Redshift ou a AWS CommandLine Interface (AWS CLI). Para o log de atividade do usuário, você também deve ativar o parâmetroenable_user_activity_logging do banco de dados. Se você ativar somente o recurso de registroem log da auditoria, mas não o parâmetro associado, os logs de auditoria do banco de dados registrarãoem log as informações somente dos logs de conexão e de usuários, mas não o log de atividades dousuário. Por padrão, o parâmetro enable_user_activity_logging não é habilitado (false). Épossível defini-lo como true para habilitar o log de atividades do usuário. Para obter mais informações,consulte Grupos de parâmetros do Amazon Redshift (p. 132).

Note

No momento, só é possível usar criptografia (AES-256) de chaves gerenciadas pelo Amazon S3(SSE-S3) para auditoria de registro em log.

Gerenciar arquivos de logO número e o tamanho dos arquivos de log do Amazon Redshift no Amazon S3 dependem muito daatividade do cluster. Se você tiver um cluster ativo gerando um grande número de logs, o Amazon Redshiftpoderá gerar os arquivos de log com mais frequência. Você pode ter uma série de arquivos de log para omesmo tipo de atividade, como ter vários logs de conexão na mesma hora.

288

https://docs.aws.amazon.com/redshift/latest/dg/cm_chap_system-tables.html


Como o Amazon Redshift usa o Amazon S3 para armazenar logs, você incorre em cobranças peloarmazenamento usado no Amazon S3. Antes de configurar o log, você deve ter um plano de por quantotempo você precisa armazenar os arquivos de log. Como parte disso, determine quando os arquivos delog podem ser excluídos com base em suas necessidades de auditoria. O plano criado depende muito dotipo de dados que você armazena, como dados sujeitos à conformidade ou requisitos regulatórios. Paraobter mais informações sobre a definição de preço do Amazon S3, acesse Definição de preço do AmazonSimple Storage Service (S3).

Permissões de bucket para registro em log da auditoria do Amazon Redshift

Quando você ativa o registro em log, o Amazon Redshift coleta e faz upload das informações de log nosarquivos em log armazenados no Amazon S3. Você pode usar um bucket existente ou criar um novo. OAmazon Redshift exige as seguintes permissões do IAM para o bucket:

• s3:GetBucketAcl O serviço requer permissões de leitura no bucket do Amazon S3, de maneira quepossa identificar o proprietário do bucket.

• s3:PutObject O serviço requer permissões put object para fazer upload dos logs. Sempre que o uploaddos logs é feito, o serviço determina se o proprietário do bucket atual corresponde ao proprietáriodo bucket no momento em que o registro em log foi ativado. Se esses proprietários não foremcorrespondentes, o registro em log continuará ativado, mas não poderá ser feito upload de arquivos delog até você selecionar um bucket diferente.

Se você configurar o Amazon Redshift para criar um novo bucket para você, as permissões corretasserão aplicadas ao bucket. No entanto, se você criar seu próprio bucket no Amazon S3 ou usar um bucketexistente, precisará adicionar uma política de bucket que inclua o nome do bucket. Você também precisado ID da conta do Amazon Redshift que corresponde à sua região da AWS na seguinte tabela.

Nome da região Região ID da conta

Leste dos EUA (Norte da Virgínia)Região

us-east-1 193672423079

Região do Leste dos EUA (Ohio) us-east-2 391106570357

Região do Oeste dos EUA (Norteda Califórnia)

us-west-1 262260360010

Região Oeste dos EUA (Oregon) us-west-2 902366379725

Região da África (Cidade do Cabo) af-south-1 365689465814

Região Ásia-Pacífico (Hong Kong) ap-east-1 313564881002

Região da Ásia-Pacífico (Mumbai) ap-south-1 865932855811

Região Ásia-Pacífico (Osaka-Local) ap-northeast-3 090321488786

Região da Ásia-Pacífico (Seul) ap-northeast-2 760740231472

Região Ásia-Pacífico (Cingapura) ap-southeast-1 361669875840

Região Ásia-Pacífico (Sydney) ap-southeast-2 762762565011

Região Ásia-Pacífico (Tóquio) ap-northeast-1 404641285394

Região do Canadá (Central) ca-central-1 907379612154

Região Europa (Frankfurt) eu-central-1 053454850223

289

https://aws.amazon.com/s3/pricing/

https://aws.amazon.com/s3/pricing/


Nome da região Região ID da conta

Região da Europa (Irlanda) eu-west-1 210876761215

Região Europa (Londres) eu-west-2 307160386991

Região da Europa (Milão) eu-south-1 945612479654

Região Europa (Paris) eu-west-3 915173422425

Região Europa (Estocolmo) eu-north-1 729911121831

Região do Oriente Médio (Bahrein) me-south-1 013126148197

Região América do Sul (São Paulo) sa-east-1 075028567923

A política de bucket usa o seguinte formato, em que BucketName e AccountId são espaços reservadospara os próprios valores:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Put bucket policy needed for audit logging", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountId:user/logs" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::BucketName/*" }, { "Sid": "Get bucket policy needed for audit logging ", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountID:user/logs" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::BucketName" } ]}

O exemplo a seguir é uma política de bucket do Leste dos EUA (Norte da Virgínia) Região e do bucketchamado AuditLogs.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Put bucket policy needed for audit logging", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::193672423079:user/logs" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::AuditLogs/*" }, { "Sid": "Get bucket policy needed for audit logging ", "Effect": "Allow", "Principal": {

290


"AWS": "arn:aws:iam::193672423079:user/logs" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::AuditLogs" } ]}

Para obter mais informações sobre como criar buckets do Amazon S3 e adicionar políticas de bucket,vá até Criar um bucket e Editar permissões de bucket no Guia do usuário do console do Amazon SimpleStorage Service.

Estrutura de bucket para registro em log da auditoria do Amazon Redshift

Por padrão, o Amazon Redshift organiza os arquivos de log no bucket doAmazon S3 usando o seguinte bucket e a seguinte estrutura de objeto:AWSLogs/AccountID/ServiceName/Region/Year/Month/Day/AccountID_ServiceName_Region_ClusterName_LogType_Timestamp.gz

Por exemplo: AWSLogs/123456789012/redshift/us-east-1/2013/10/29/123456789012_redshift_us-east-1_mycluster_userlog_2013-10-29T18:01.gz

Se você fornecer um prefixo de chaves do Amazon S3, o prefixo será colocado no início da chave.

Por exemplo, se você especificar um prefixo de myprefix: myprefix/AWSLogs/123456789012/redshift/us-east-1/2013/10/29/123456789012_redshift_us-east-1_mycluster_userlog_2013-10-29T18:01.gz

O prefixo de chaves do Amazon S3 não pode exceder 512 caracteres. Ele não pode conter espaços ( ),aspas duplas ("), aspas simples (') e uma barra invertida (\). Também existem vários caracteres especiais ede controle não permitidos. Os códigos hexadecimais desses caracteres são:

• x00 até x20• x22• x27• x5c• x7f ou maior

Solução de problemas do registro em log da auditoria do AmazonRedshiftO registro em log da auditoria do Amazon Redshift pode ser interrompido pelos seguintes motivos:

• O Amazon Redshift não tem permissão para fazer upload dos logs no bucket do Amazon S3. Verifiquese o bucket está configurado com a política do IAM correta. Para obter mais informações, consultePermissões de bucket para registro em log da auditoria do Amazon Redshift (p. 289).

• O proprietário do bucket mudou. Quando faz upload de logs, o Amazon Redshift verifica se o proprietáriodo bucket é o mesmo de quando o registro em log foi ativado. Se o proprietário do bucket tiver mudado,o Amazon Redshift não poderá fazer upload dos logs até você configurar outro a ser usado no registroem log da auditoria. Para obter mais informações, consulte Modificação do bucket para registro em logda auditoria (p. 298).

• Não foi possível encontrar o bucket. Se o bucket tiver sido excluído no Amazon S3, o Amazon Redshiftnão poderá fazer upload dos logs. Você precisa recriar o bucket ou configurar o Amazon Redshift a fimde fazer upload dos logs para um bucket diferente. Para obter mais informações, consulte Modificaçãodo bucket para registro em log da auditoria (p. 298).

291

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/CreatingaBucket.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/EditingBucketPermissions.html


Registrar em log chamadas de API do Amazon Redshift com oAWS CloudTrailO Amazon Redshift é integrado com o AWS CloudTrail, um serviço que fornece um registro das açõesexecutadas por um usuário, uma função ou um serviço da AWS no Amazon Redshift. O CloudTrail capturatodas as chamadas à API para o Amazon Redshift como eventos. Isso inclui as chamadas do console doAmazon Redshift e as chamadas de código para as operações da API do Amazon Redshift. Se você criaruma trilha, poderá habilitar a entrega contínua de eventos do CloudTrail para um bucket do Amazon S3,incluindo eventos para o Amazon Redshift. Se não configurar uma trilha, você ainda poderá visualizar oseventos mais recentes no console do CloudTrail em Event history. Usando as informações coletadas peloCloudTrail, é possível determinar certos detalhes. Incluindo a solicitação que foi feita ao Amazon Redshift,o endereço IP do qual foi feita, quem fez, quando foi feita e outras informações.

É possível usar o CloudTrail independentemente ou além do registro em log de auditoria do banco dedados do Amazon Redshift.

Para saber mais sobre CloudTrail, consulte o AWS CloudTrail User Guide.

Informações do Amazon Redshift no CloudTrail

O CloudTrail está habilitado na sua conta da AWS ao criá-la. Quando ocorre uma atividade no AmazonRedshift, ela é registrada em um evento do CloudTrail junto com outros eventos de serviços da AWSem Event history (Histórico de eventos). Você pode visualizar, pesquisar e fazer download de eventosrecentes em sua conta da AWS. Para obter mais informações, consulte Visualizar eventos com o históricode eventos do CloudTrail.

Para obter um registro contínuo de eventos em sua conta da AWS, incluindo eventos para o AmazonRedshift, crie uma trilha. Uma trilha permite CloudTrail para fornecer arquivos de log a um bucket doAmazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões. A trilharegistra eventos em log de todas as regiões na partição da AWS e entrega os arquivos de log ao bucket doAmazon S3 que você especificar. Além disso, é possível configurar outros serviços da AWS para analisarmais profundamente e agir sobre os dados de evento coletados nos logs do CloudTrail. Para obter maisinformações, consulte:

• Visão geral da criação de uma trilha• CloudTrail Serviços compatíveis e integrações do• Configuração de notificações do Amazon SNS para o CloudTrail• Recebimento de arquivos de log do CloudTrail de várias regiões e Recebimento de arquivos de log do

CloudTrail de várias contas

Todas as ações do Amazon Redshift são registradas em log pelo CloudTrail e estão documentadas naReferência da API do Amazon Redshift. Por exemplo, as chamadas para as ações CreateCluster,DeleteCluster e DescribeCluster geram entradas nos arquivos de log do CloudTrail.

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações deidentidade ajudam a determinar:

• Se a solicitação foi feita com credenciais de usuário da raiz ou do IAM.• Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário

federado.• Se a solicitação foi feita por outro serviço da AWS.

Para obter mais informações, consulte Elemento userIdentity do CloudTrail.

292

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/redshift/latest/APIReference/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html


Noções básicas sobre as entradas dos arquivos de log do Amazon RedshiftUma trilha é uma configuração que permite a entrega de eventos como arquivos de log em um bucketdo Amazon S3 que você especificar. Os arquivos de log do CloudTrail contêm uma ou mais entradas delog. Um evento representa uma única solicitação de qualquer origem e inclui informações sobre a açãosolicitada, a data e hora da ação, parâmetros da solicitação, etc. Os arquivos de log do CloudTrail não sãoum rastreamento de pilha ordenado das chamadas de API pública, portanto, eles não são exibidos emnenhuma ordem específica.

O exemplo a seguir mostra uma entrada de log do CloudTrail para uma chamada CreateCluster deamostra.

{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Admin", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Admin", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-03T16:51:56Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2017-03-03T16:56:09Z", "eventSource": "redshift.amazonaws.com", "eventName": "CreateCluster", "awsRegion": "us-east-2", "sourceIPAddress": "52.95.4.13", "userAgent": "signin.amazonaws.com", "requestParameters": { "clusterIdentifier": "my-dw-instance", "allowVersionUpgrade": true, "enhancedVpcRouting": false, "encrypted": false, "clusterVersion": "1.0", "masterUsername": "awsuser", "masterUserPassword": "****", "automatedSnapshotRetentionPeriod": 1, "port": 5439, "dBName": "mydbtest", "clusterType": "single-node", "nodeType": "dc1.large", "publiclyAccessible": true, "vpcSecurityGroupIds": [ "sg-95f606fc" ] }, "responseElements": { "nodeType": "dc1.large", "preferredMaintenanceWindow": "sat:05:30-sat:06:00", "clusterStatus": "creating", "vpcId": "vpc-84c22aed", "enhancedVpcRouting": false, "masterUsername": "awsuser", "clusterSecurityGroups": [], "pendingModifiedValues": { "masterUserPassword": "****" },

293


"dBName": "mydbtest", "clusterVersion": "1.0", "encrypted": false, "publiclyAccessible": true, "tags": [], "clusterParameterGroups": [ { "parameterGroupName": "default.redshift-1.0", "parameterApplyStatus": "in-sync" } ], "allowVersionUpgrade": true, "automatedSnapshotRetentionPeriod": 1, "numberOfNodes": 1, "vpcSecurityGroups": [ { "status": "active", "vpcSecurityGroupId": "sg-95f606fc" } ], "iamRoles": [], "clusterIdentifier": "my-dw-instance", "clusterSubnetGroupName": "default" }, "requestID": "4c506036-0032-11e7-b8bf-d7aa466e9920", "eventID": "13ba5550-56ac-405b-900a-8a42b0f43c45", "eventType": "AwsApiCall", "recipientAccountId": "123456789012"}

O exemplo a seguir mostra uma entrada de log do CloudTrail para uma chamada DeleteCluster deamostra.

{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Admin", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Admin", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-03T16:58:23Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2017-03-03T17:02:34Z", "eventSource": "redshift.amazonaws.com", "eventName": "DeleteCluster", "awsRegion": "us-east-2", "sourceIPAddress": "52.95.4.13", "userAgent": "signin.amazonaws.com", "requestParameters": { "clusterIdentifier": "my-dw-instance", "skipFinalClusterSnapshot": true }, "responseElements": null, "requestID": "324cb76a-0033-11e7-809b-1bbbef7710bf", "eventID": "59bcc3ce-e635-4cce-b47f-3419a36b3fa5", "eventType": "AwsApiCall",

294


"recipientAccountId": "123456789012"}

IDs de conta do Amazon Redshift em logs do AWS CloudTrailQuando o Amazon Redshift chama outro serviço da AWS para você, a chamada é registrada em log comum ID de conta que pertence ao Amazon Redshift. Ela não é registrada em log com o ID de sua conta. Porexemplo, suponha que o Amazon Redshift chame ações do AWS Key Management Service (AWS KMS),como CreateGrant, Decrypt, Encrypt e RetireGrant, para gerenciar a criptografia no cluster. Nesse caso, aschamadas são registradas em log pelo AWS CloudTrail usando o ID de uma conta do Amazon Redshift.

O Amazon Redshift usa os IDs de conta na tabela a seguir ao chamar outros serviços da AWS.

Região Região ID da conta

Leste dos EUA (Norte da Virgínia)Região

us-east-1 368064434614

Região do Leste dos EUA (Ohio) us-east-2 790247189693

Região do Oeste dos EUA (Norteda Califórnia)

us-west-1 703715109447

Região Oeste dos EUA (Oregon) us-west-2 473191095985

Região da África (Cidade do Cabo) af-south-1 420376844563

Região Ásia-Pacífico (Hong Kong) ap-east-1 651179539253

Região da Ásia-Pacífico (Mumbai) ap-south-1 408097707231

Região Ásia-Pacífico (Osaka-Local) ap-northeast-3 398671365691

Região da Ásia-Pacífico (Seul) ap-northeast-2 713597048934

Região Ásia-Pacífico (Cingapura) ap-southeast-1 960118270566

Região Ásia-Pacífico (Sydney) ap-southeast-2 485979073181

Região Ásia-Pacífico (Tóquio) ap-northeast-1 615915377779

Região do Canadá (Central) ca-central-1 764870610256

Região Europa (Frankfurt) eu-central-1 434091160558

Região da Europa (Irlanda) eu-west-1 246478207311

Região Europa (Londres) eu-west-2 885798887673

Região da Europa (Milão) eu-south-1 041313461515

Região Europa (Paris) eu-west-3 694668203235

Região Europa (Estocolmo) eu-north-1 553461782468

Região do Oriente Médio (Bahrein) me-south-1 051362938876

Região América do Sul (São Paulo) sa-east-1 392442076723

295


O exemplo a seguir mostra uma entrada de log do CloudTrail da operação para descriptografar o KMS daAWS que foi chamada pelo Amazon Redshift.

{

"eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "AROAI5QPCMKLTL4VHFCYY:i-0f53e22dbe5df8a89", "arn": "arn:aws:sts::790247189693:assumed-role/prod-23264-role-wp/i-0f53e22dbe5df8a89", "accountId": "790247189693", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-03T16:24:54Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROAI5QPCMKLTL4VHFCYY", "arn": "arn:aws:iam::790247189693:role/prod-23264-role-wp", "accountId": "790247189693", "userName": "prod-23264-role-wp" } } }, "eventTime": "2017-03-03T17:16:51Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-2", "sourceIPAddress": "52.14.143.61", "userAgent": "aws-internal/3", "requestParameters": { "encryptionContext": { "aws:redshift:createtime": "20170303T1710Z", "aws:redshift:arn": "arn:aws:redshift:us-east-2:123456789012:cluster:my-dw-instance-2" } }, "responseElements": null, "requestID": "30d2fe51-0035-11e7-ab67-17595a8411c8", "eventID": "619bad54-1764-4de4-a786-8898b0a7f40c", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:us-east-2:123456789012:key/f8f4f94f-e588-4254-b7e8-078b99270be7", "accountId": "123456789012", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "123456789012", "sharedEventID": "c1daefea-a5c2-4fab-b6f4-d8eaa1e522dc"

}

Configurar a auditoria usando o consoleVocê pode configurar o Amazon Redshift para criar arquivos de log de auditoria e armazená-los no S3.

296


Habilitar o registro em log de auditoria usando o consoleNote


Novo console

Para habilitar o log de auditoria para um cluster


2. No menu de navegação, escolha CLUSTERS e escolha o cluster que deseja atualizar.3. Escolha a guia Maintenance and monitoring (Manutenção e monitoramento). Visualize a seção Audit

logging (Log de auditoria).4. Escolha a guia Edit (Editar).5. Na página Configure audit logging (Configurar o log de auditoria), escolha Enable audit logging

(Habilitar o log de auditoria) e insira suas opções relativas a onde os logs são armazenados.6. Escolha Confirm (Confirmar) para salvar suas opções.

Console original

Para habilitar o log de auditoria para um cluster


2. No painel de navegação, escolha Clusters.3. Na lista, escolha o cluster do qual você deseja ativar o log.4. Na página de detalhes do cluster, escolha Database (Banco de dados) e Configure Audit Logging

(Configurar log de auditoria).5. Na caixa de diálogo Configure Audit Logging (Configurar o log de auditoria), na caixa Enable Audit

Logging (Ativar o log de auditoria), escolha Yes (Sim).6. Para S3 Bucket, faça um dos seguintes:

• Se você já tiver um bucket do S3 que deseja usar, selecione Use Existing e escolha o bucket nalista Bucket.

• Se precisar de um novo bucket do S3, selecione Create New e, na caixa New Bucket Name, digiteum nome.

297






7. (Opcional) Em S3 Key Prefix (Prefixo de chaves do S3), insira um prefixo a ser adicionado ao bucketdo S3.

8. Escolha Salvar.

Depois que você configura o registro em log da auditoria, a página de detalhes Cluster é atualizada paraexibir informações sobre a configuração do registro em log.

Na página de detalhes Cluster, em Backup, Maintenance, and Logging (Backup, manutenção e log),escolha Go to the S3 console (Ir para o console do S3) para navegar até o bucket.

Modificação do bucket para registro em log da auditoria

(Console original) Modificar o bucket do Amazon S3 para registro log de auditoria


2. No painel de navegação, escolha Clusters.3. Na lista, escolha o cluster do qual você deseja modificar o bucket usado no log de auditoria.4. Na página de detalhes do cluster, escolha Database (Banco de dados) e Configure Audit Logging

(Configurar log de auditoria).5. Para S3 Bucket, selecione um bucket já existente ou crie um novo.6. (Opcional) Em S3 Key Prefix (Prefixo de chaves do S3), insira um prefixo a ser adicionado ao bucket

do S3.7. Escolha Salvar.

298



Amazon Redshift Guia de gerenciamento de clustersValidação de conformidade

Desabilitar o registro em log de auditoria usando o console

(Console original) Desabilitar o registro em log de auditoria


2. No painel de navegação, escolha Clusters.3. Na lista, escolha o cluster do qual você deseja desativar o log.4. Na página de detalhes do cluster, escolha Database (Banco de dados) e Configure Audit Logging

(Configurar log de auditoria).5. Na caixa de diálogo Configure Audit Logging (Configurar o log de auditoria), na caixa Enable Audit

Logging (Ativar o log de auditoria), clique em No (Não).

6. Escolha Salvar.

Configurar registro em log usando a CLI e a API do AmazonRedshiftVocê pode usar as operações da CLI do Amazon Redshift a seguir para configurar o log de auditoria.

• describe-logging-status• disable-logging• enable-logging

Você pode usar as ações da API do Amazon Redshift a seguir para configurar o log de auditoria.

• DescribeLoggingStatus• DisableLogging• EnableLogging

Validação de conformidade do Amazon RedshiftAuditores de terceiros avaliam a segurança e a conformidade do Amazon Redshift como parte de váriosprogramas de conformidade da AWS. Isso inclui SOC, PCI, FedRAMP, HIPAA e outros.

Para obter uma lista dos serviços da AWS no escopo de programas de conformidade específicos, consulteServiços da AWS no escopo por programa de conformidade. Para obter informações gerais, consulteProgramas de conformidade da AWS.

Você pode fazer download de relatórios de auditoria de terceiros usando o AWS Artifact. Para obter maisinformações, consulte Fazer download de relatórios no AWS Artifact.

Sua responsabilidade de conformidade ao usar o Amazon Redshift é determinada pela confidencialidadede seus dados, pelas metas de conformidade da sua empresa e pelas regulamentações e leis aplicáveis.

299



https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-logging-status.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/disable-logging.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/enable-logging.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeLoggingStatus.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DisableLogging.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_EnableLogging.html

https://aws.amazon.com/compliance/services-in-scope/

https://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

Amazon Redshift Guia de gerenciamento de clustersResiliência

Caso seu uso do Amazon Redshift esteja sujeito à conformidade com padrões como HIPAA, PCI ouFedRAMP, a AWS fornecerá os recursos para ajudar:

• Guias de início rápido de segurança e conformidade que discutem as considerações de arquiteturae fornecem etapas para implantação de ambientes de linha de base focados em conformidade esegurança na AWS.

• Whitepaper Arquitetura para conformidade e segurança da HIPAA, que descreve como as empresaspodem usar a AWS para criar aplicativos em conformidade com a HIPAA.

• Recursos de conformidade da AWS, uma coleção de manuais e guias que pode ser aplicada ao seusetor e à sua localização.

• AWS Config, um serviço da AWS que avalia até que ponto suas configurações de recursos atendemadequadamente a práticas internas e a diretrizes e regulamentações da indústria.

• AWS Security Hub, um serviço da AWS que fornece uma visão completa do estado da segurança naAWS e ajuda a verificar a conformidade com os padrões de segurança da indústria e as melhorespráticas.

Os documentos de conformidade e segurança a seguir cobrem o Amazon Redshift e estão disponíveis sobdemanda por meio do AWS Artifact. Para obter mais informações, consulte AWS Artifact.

• Cloud Computing Compliance Controls Catalogue (C5)• ISO 27001:2013 Statement of Applicability (SoA)• Certificado ISO 27001:2013• ISO 27017:2015 Statement of Applicability (SoA)• Certificado ISO 27017:2015• ISO 27018:2015 Statement of Applicability (SoA)• Certificado ISO 27018:2014• Certificado ISO 9001:2015• Certificado de Conformidade do PCI DSS (AOC) e Resumo de Responsabilidade• Relatório Service Organization Controls (SOC) 1• Relatório Service Organization Controls (SOC) 2• Relatório de Confidencialidade Service Organization Controls (SOC) 2

Resiliência no Amazon RedshiftA infraestrutura global da AWS é criada com base em regiões e zonas de disponibilidade da AWS (AZs)As regiões da AWS fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, que sãoconectadas com baixa latência, altas taxas de transferência e redes altamente redundantes. Com as zonasde disponibilidade, você pode projetar e operar aplicativos e bancos de dados que executam o failoverautomaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são maisaltamente disponíveis, com mais tolerância a falhas e mais escaláveis do que as infraestruturas com únicodatacenter ou infraestruturas com vários datacenters tradicionais.

Quase todas as regiões da AWS têm várias zonas de disponibilidade e datacenters. Você pode implantarsuas aplicações em diversas zonas de disponibilidade na mesma região para tolerância de falha e baixalatência.

Para obter mais informações sobre as regiões e zonas de disponibilidade da AWS, consulte Infraestruturaglobal da AWS.

300

https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

https://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

https://aws.amazon.com/artifact

https://aws.amazon.com/about-aws/global-infrastructure/

https://aws.amazon.com/about-aws/global-infrastructure/

Amazon Redshift Guia de gerenciamento de clustersSegurança da infraestrutura

Segurança da infraestrutura no Amazon RedshiftComo um serviço gerenciado, o Amazon Redshift é protegido pelos procedimentos de segurança da redeglobal da AWS descritos no whitepaper Amazon Web Services: visão geral dos processos de segurança.

Você usa as chamadas de API da AWS para acessar o Amazon Redshift por meio da rede. Os clientesdevem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. Recomendamos TLS 1.2 ouposterior. Os clientes também devem ter suporte a pacotes de criptografia com sigilo de encaminhamentoperfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE).A maioria dos sistemas modernos como Java 7 e versões posteriores oferece suporte a esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave deacesso secreta associada a uma entidade principal do IAM. Ou você pode usar o AWS Security TokenService (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Você pode chamar essas operações de API de qualquer local de rede. Além disso, o Amazon Redshiftoferece suporte a políticas de acesso com base em recursos, que podem incluir restrições com base noendereço IP de origem.

Isolamento de redeUma nuvem privada virtual (VPC) baseada no serviço Amazon VPC é sua rede privada e isoladalogicamente na Nuvem AWS. Você pode implantar um cluster do Amazon Redshift dentro de uma VPCseguindo estas etapas:

• Crie uma VPC em uma região da AWS. Para obter mais informações, consulte O que é a Amazon VPC?no Guia do usuário da Amazon VPC.

• Crie duas ou mais sub-redes de VPC privadas. Para obter mais informações, consulte VPCs e sub-redesno Guia do usuário da Amazon VPC.

• Implante um cluster do Amazon Redshift. Para obter mais informações, consulte Grupos de sub-rede declusters do Amazon Redshift (p. 68).

Um cluster do Amazon Redshift fica bloqueado como padrão sob provisionamento. Para permitir o tráfegode rede de entrada de clientes do Amazon Redshift, associe um grupo de segurança da VPC a um clusterdo Amazon Redshift. Para obter mais informações, consulte Grupos de sub-rede de clusters do AmazonRedshift (p. 68).

Para permitir tráfego somente de e para intervalos específicos de endereços IP, atualize os grupos desegurança com sua VPC. Um exemplo é permitir tráfego somente de e para sua rede corporativa.

O Amazon Redshift oferece suporte à implantação de clusters em VPCs de locação dedicada. Para obtermais informações, consulte Instâncias dedicadas no Guia do usuário do Amazon EC2.

Grupos de segurança de clusters do Amazon RedshiftQuando você provisiona um cluster do Amazon Redshift, ele é bloqueado por padrão para que ninguémtenha acesso a ele. Para conceder acesso de entrada a um cluster do Amazon Redshift para outrosusuários, você associa o cluster a um security group. Se você estiver na plataforma EC2-VPC, vocêpode usar um security group de Amazon VPC existente ou definir um novo grupo e, então, associá-lo aum cluster. Para obter mais informações sobre o gerenciamento de um cluster na plataforma EC2-VPC,consulte Gerenciamento de clusters em uma VPC (p. 63).

Se estiver na plataforma EC2-Classic, você vai definir um grupo de segurança de cluster vai associá-lo a um cluster, conforme descrito nas seções a seguir. Recomendamos que você execute o cluster emuma plataforma EC2-VPC, em vez de uma plataforma EC2-Classic. No entanto, você pode restaurar um

301

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html

Amazon Redshift Guia de gerenciamento de clustersGrupos de segurança

snapshot de EC2-Classic em um cluster de EC2-VPC usando o console do Amazon Redshift. Para obtermais informações, consulte Restauração de um cluster usando um snapshot (p. 178).

Tópicos• Visão geral (p. 302)• Gerenciar grupos de segurança do cluster usando o console (p. 302)• Gerenciar grupos de segurança do cluster usando o AWS SDK para Java (p. 312)• Gerenciamento de grupos de segurança de cluster usando a CLI e a API do Amazon

Redshift (p. 314)

Visão geralUm security group de cluster consiste em um conjunto de regras que controlam o acesso ao seu cluster.Regras individuais identificam um intervalo de endereços IP ou um security group do Amazon EC2 quetenham permissão para acessar o seu cluster. Quando você associa um security group de cluster a umcluster, as regras que são definidas no security group de cluster controlam o acesso ao cluster.

Você pode criar security groups de cluster independentemente do provisionamento de qualquer cluster.Você pode associar um security group de cluster a um cluster do Amazon Redshift quando vocêprovisionar o cluster ou posteriormente. Além disso, você pode associar um security group de cluster avários clusters.

O Amazon Redshift fornece um security group de cluster chamado padrão que é automaticamente criadoquando você executa seu primeiro cluster. Inicialmente, esse security group de cluster está vazio. Vocêpode adicionar regras de entrada ao security group de cluster padrão e, então, associá-lo ao seu cluster doAmazon Redshift.

Se o grupo de segurança de cluster padrão for suficiente para você, não será necessário criar seuspróprios grupos. Contudo, é possível criar seus próprios security groups de cluster para melhor gerenciaro acesso de entrada ao seu cluster. Por exemplo, suponha que você esteja executando um serviço emum cluster do Amazon Redshift e que você tenha algumas empresas como seus clientes. Se não desejafornecer o mesmo acesso a todos os seus clientes, você pode querer criar grupos de segurança decluster separados, um para cada empresa. Você pode adicionar regras em cada security group de clusterpara identificar os security groups do Amazon EC2 e os intervalos de endereços IP específicos de umaempresa. Então, você pode associar todos estes security groups de cluster ao seu cluster.

Você pode associar um security group de cluster a vários clusters e você pode associar vários securitygroups de cluster a um cluster, sujeito aos limites de serviço da AWS. Para obter mais informações,consulte Limites do Amazon Redshift.

Você pode gerenciar security groups de cluster usando o console do Amazon Redshift e pode gerenciarsecurity groups de cluster programaticamente usando a API do Amazon Redshift ou os SDKs da AWS.

O Amazon Redshift aplica as alterações a um security group de cluster imediatamente. Portanto, se vocêassociou o security group de cluster a um cluster, as regras de acesso de entrada ao cluster no securitygroup de cluster atualizado são aplicadas imediatamente.

Gerenciar grupos de segurança do cluster usando o consoleVocê pode criar, modificar e excluir security groups do cluster usando o console do Amazon Redshift. Vocêtambém pode gerenciar o security group do cluster padrão no console do Amazon Redshift. Todas astarefas começam pela lista de security groups do cluster. Você deve selecionar um grupo de segurança decluster para gerenciá-lo.

Você não pode excluir o grupo de segurança de cluster padrão, mas pode modificá-lo autorizando ourevogando o acesso de entrada.

302



Criar um grupo de segurança de cluster.Note


Novo console

Para criar um security group de cluster


2. No menu de navegação, escolha CONFIG e Security groups (Grupos de segurança) para exibir apágina Cluster security groups (Grupos de segurança de cluster).

Note

Você só pode gerenciar grupos de segurança de cluster quando está conectado com umaconta da AWS do EC2-Classic.

3. Escolha Create cluster security group (Criar grupo de segurança de cluster) para exibir a janela Createcluster security group (Criar grupo de segurança de cluster).

4. Para o novo grupo de segurança, insira valores para o seguinte:

• Nome• Descrição• CIDR/IP range to authorize (Intervalo de CIDR/IP para autorizar) no formato nnn.nnn.nnn.nn/nn• AWS account ID (ID da conta da AWS) (sem hifens)• EC2 security group name (Nome do grupo de segurança)

5. Escolha Create (Criar) para criar o grupo de segurança.

Console original

Para criar um security group de cluster


2. No painel de navegação, escolha Security (Segurança).3. Na guia Security Groups (Grupos de segurança), escolha Create Cluster Security Group (Criar grupo

de segurança do cluster).

303






4. Na caixa de diálogo Create Cluster Security Group, especifique um nome para o security group decluster e uma descrição.

5. Escolha Criar.

O novo grupo será exibido na lista de grupos de segurança de cluster.

Marcar um grupo de segurança de clusterNote


Novo console

Para identificar um security group de cluster



Note


3. Escolha um grupo de segurança de cluster e escolha Manage tags (Gerenciar tags) para exibir apágina Manage tags (Gerenciar tags).

4. Na página Manage tags (Gerenciar tags), adicione novas tags e atualize ou exclua as tags existentes.Para cada nova tag, forneça informações para Key (Chave) e Value (Valor)

5. Selecione Apply (Aplicar) para salvar as tags.

Console original

Para identificar um security group de cluster


2. No painel de navegação, escolha Security (Segurança).3. Na guia Security Groups (Grupos de segurança), selecione o grupo de segurança de cluster e escolha

Manage Tags (Gerenciar tags).

304






4. Na caixa de diálogo Manage Tags, faça o seguinte:

• Remova uma tag.• Na seção Applied Tags (Tags aplicados), selecione Delete (Excluir) ao lado da tag que você

deseja remover.• Selecione Apply Changes (Aplicar alterações).

• Adicione um tag.• Na seção Add Tags (Adicionar tags), insira um par de chave/valor para a tag.• Selecione Apply Changes (Aplicar alterações).

305


Para obter mais informações sobre como identificar um recurso do Amazon Redshift, consulte Comogerenciar tags no console do Amazon Redshift (p. 404).

Gerenciar regras de entrada para um grupo de segurança de cluster

(Console original) Gerenciar regras de entrada para um grupo de segurança de cluster

Para gerenciar regras de entrada para um security group de cluster


2. No painel de navegação, escolha Security (Segurança).3. Na guia Grupos de segurança, na lista de grupos de segurança do cluster, escolha o grupo de

segurança do cluster cujas regras você quer gerenciar.4. Na guia Conexões do grupo de segurança, escolha Adicionar tipo de conexão.

5. Na caixa de diálogo Add Connection Type (Adicionar tipo de conexão), faça o seguinte:

306




• Adicione uma regra de entrada com base em CIDR/IP:• Na caixa Tipo de conexão, escolha CIDR/IP.• Na caixa CIDR/IP to Authorize, especifique o intervalo.• Escolha Authorize (Autorizar).

• Adicione uma regra de entrada com base no grupo de segurança do EC2:• Em Connection Type (Tipo de conexão), selecione EC2 Security Group (Grupo de segurança do

EC2).• Selecione a conta da AWS a ser usada. Por padrão, a conta conectada no momento ao console

é usada. Se você selecionar Another account (Outra conta), deverá especificar o ID da conta daAWS.

• Em EC2 Security Group Name (Nome do grupo de segurança do EC2), insira o nome desejadopara o grupo de segurança do EC2.

• Escolha Authorize (Autorizar).

Revogar regras de entrada para um grupo de segurança de cluster

(Console original) Revogar regras de entrada para um grupo de segurança de cluster

Para revogar regras de entrada para um security group de cluster


2. No painel de navegação, escolha Security (Segurança).3. Na guia Grupos de segurança, na lista de grupos de segurança do cluster, escolha o grupo de

segurança do cluster cujas regras você quer gerenciar.

307




4. Na guia Security Group Connections (Conexões do grupo de segurança), escolha a regra que vocêdeseja remover e escolha Revoke (Revogar).

Marcar regras de entrada de um grupo de segurança de cluster

(Console original) Marcar regras de entrada para um grupo de segurança de cluster

Para identificar regras de entrada de um security group de cluster


2. No painel de navegação, escolha Security (Segurança).3. Na guia Security Groups (Grupos de segurança), escolha o grupo de segurança de cluster cujas

regras você deseja gerenciar.4. Na guia Security Group Connections (Conexões do grupo de segurança), escolha a regra que você

deseja identificar e escolha Manage Tags (Gerenciar tags).

5. Na caixa de diálogo Manage Tags, faça o seguinte:

• Remova uma tag:• Na seção Applied Tags (Tags aplicadas), escolha Delete (Excluir) ao lado da tag que você deseja

remover.• Selecione Apply Changes (Aplicar alterações).

308




• Adicione um tag.

Note

A marcação da regra de um grupo de segurança do EC2 marca apenas essa regra, e nãoo grupo de segurança do EC2 propriamente dito. Para que o grupo de segurança do EC2também seja marcado, você deve fazer isso separadamente.

• Na seção Add Tags (Adicionar tags), insira um par de chave/valor para a tag.• Selecione Apply Changes (Aplicar alterações).

309


Para obter mais informações sobre como identificar um recurso do Amazon Redshift, consulte Comogerenciar tags no console do Amazon Redshift (p. 404).

Excluir um grupo de segurança de cluster

Se o grupo de segurança de um cluster estiver associado a um ou mais clusters, você não poderá excluí-lo.

Note


Novo console

Para excluir um security group de cluster



Note


3. Escolha o grupo de segurança que você deseja excluir e escolha Delete (Excluir).

310




Console original

Para excluir um security group de cluster


2. No painel de navegação, escolha Security (Segurança).3. Na guia Security Groups (Grupos de segurança), selecione o grupo de segurança de cluster que você

deseja excluir e escolha Delete (Excluir).

Uma linha deve ser selecionada para o botão Delete ser ativado.

Note

Você não pode excluir o grupo de segurança do cluster default.

4. Na caixa de diálogo Delete Cluster Security Groups (Excluir grupo de segurança do cluster), selecioneContinue (Continuar).

Se o grupo de segurança do cluster for usado por um cluster, você não poderá excluí-lo. O exemplo aseguir mostra que securitygroup1 é usado por examplecluster2.

Associar um grupo de segurança de cluster a um cluster

Se você estiver na plataforma EC2-VPC, consulte Gerenciar grupos de segurança da VPC de umcluster (p. 67) para obter mais informações sobre como associar security groups da VPC ao cluster.Recomendamos que você execute o cluster em uma plataforma EC2-VPC. No entanto, você poderestaurar um snapshot de EC2-Classic em um cluster de EC2-VPC usando o console do Amazon Redshift.Para obter mais informações, consulte Restauração de um cluster usando um snapshot (p. 178).

Cada cluster provisionado por você na plataforma EC2-Classic tem um ou mais security groups de clusterassociados. Você pode associar um security group de cluster a um cluster ao criar um cluster ou associar

311




um security group da VPC depois modificando o cluster. Para obter mais informações, consulte Criar umcluster usando uma execução de cluster (p. 39) e Para modificar um cluster (p. 48).

Gerenciar grupos de segurança do cluster usando o AWS SDKpara JavaO exemplo a seguir demonstra operações em comum em security groups de cluster, inclusive:

• Criar um novo security group de cluster.• Adicionar regras de entrada a um security group de cluster.• Associar um security group de cluster a um cluster modificando a configuração do cluster.

Por padrão, quando é criado, um security group de cluster não tem regras de entrada. Este exemplomodifica um novo security group de cluster adicionando duas regras de entrada. Uma regra de entrada éadicionada especificando-se um intervalo de CIDR/IPs; a outra é adicionada especificando-se um ID doproprietário e a combinação de security group do Amazon EC2.

Para obter instruções detalhadas sobre como executar o exemplo a seguir, consulte Execução deexemplos de Java para o Amazon Redshift usando o Eclipse (p. 317). Você precisa atualizar o código efornecer um identificador de cluster e um número de conta da AWS.

Example


// snippet-sourcedescription:[CreateAndModifyClusterSecurityGroup demonstrates how to create and modify an Amazon Redshift security group.]// snippet-service:[redshift]// snippet-keyword:[Java]// snippet-keyword:[Amazon Redshift]// snippet-keyword:[Code Sample]// snippet-keyword:[CreateClusterSecurityGroup]// snippet-keyword:[DescribeClusterSecurityGroups]// snippet-sourcetype:[full-example]// snippet-sourcedate:[2019-02-01]// snippet-sourceauthor:[AWS]// snippet-start:[redshift.java.CreateAndModifyClusterSecurityGroup.complete]




public class CreateAndModifyClusterSecurityGroup {

312


public static AmazonRedshift client; public static String clusterSecurityGroupName = "securitygroup1"; public static String clusterIdentifier = "***provide a cluster identifier***"; public static String ownerID = "***provide a 12-digit account number***";



try { createClusterSecurityGroup(); describeClusterSecurityGroups(); addIngressRules(); associateSecurityGroupWithCluster(); } catch (Exception e) { System.err.println("Operation failed: " + e.getMessage()); } }

private static void createClusterSecurityGroup() { CreateClusterSecurityGroupRequest request = new CreateClusterSecurityGroupRequest() .withDescription("my cluster security group") .withClusterSecurityGroupName(clusterSecurityGroupName);

client.createClusterSecurityGroup(request); System.out.format("Created cluster security group: '%s'\n", clusterSecurityGroupName); }

private static void addIngressRules() {

AuthorizeClusterSecurityGroupIngressRequest request = new AuthorizeClusterSecurityGroupIngressRequest() .withClusterSecurityGroupName(clusterSecurityGroupName) .withCIDRIP("192.168.40.5/32");

ClusterSecurityGroup result = client.authorizeClusterSecurityGroupIngress(request);

request = new AuthorizeClusterSecurityGroupIngressRequest() .withClusterSecurityGroupName(clusterSecurityGroupName) .withEC2SecurityGroupName("default") .withEC2SecurityGroupOwnerId(ownerID); result = client.authorizeClusterSecurityGroupIngress(request); System.out.format("\nAdded ingress rules to security group '%s'\n", clusterSecurityGroupName); printResultSecurityGroup(result); }

private static void associateSecurityGroupWithCluster() {

// Get existing security groups used by the cluster. DescribeClustersRequest request = new DescribeClustersRequest() .withClusterIdentifier(clusterIdentifier);

DescribeClustersResult result = client.describeClusters(request); List<ClusterSecurityGroupMembership> membershipList = result.getClusters().get(0).getClusterSecurityGroups();

List<String> secGroupNames = new ArrayList<String>(); for (ClusterSecurityGroupMembership mem : membershipList) { secGroupNames.add(mem.getClusterSecurityGroupName()); } // Add new security group to the list. secGroupNames.add(clusterSecurityGroupName);

313


// Apply the change to the cluster. ModifyClusterRequest request2 = new ModifyClusterRequest() .withClusterIdentifier(clusterIdentifier) .withClusterSecurityGroups(secGroupNames);

Cluster result2 = client.modifyCluster(request2); System.out.format("\nAssociated security group '%s' to cluster '%s'.", clusterSecurityGroupName, clusterIdentifier); }

private static void describeClusterSecurityGroups() { DescribeClusterSecurityGroupsRequest request = new DescribeClusterSecurityGroupsRequest();

DescribeClusterSecurityGroupsResult result = client.describeClusterSecurityGroups(request); printResultSecurityGroups(result.getClusterSecurityGroups()); }

private static void printResultSecurityGroups(List<ClusterSecurityGroup> groups) { if (groups == null) { System.out.println("\nDescribe cluster security groups result is null."); return; }

System.out.println("\nPrinting security group results:"); for (ClusterSecurityGroup group : groups) { printResultSecurityGroup(group); } } private static void printResultSecurityGroup(ClusterSecurityGroup group) { System.out.format("\nName: '%s', Description: '%s'\n", group.getClusterSecurityGroupName(), group.getDescription()); for (EC2SecurityGroup g : group.getEC2SecurityGroups()) { System.out.format("EC2group: '%s', '%s', '%s'\n", g.getEC2SecurityGroupName(), g.getEC2SecurityGroupOwnerId(), g.getStatus()); } for (IPRange range : group.getIPRanges()) { System.out.format("IPRanges: '%s', '%s'\n", range.getCIDRIP(), range.getStatus());

} }}// snippet-end:[redshift.java.CreateAndModifyClusterSecurityGroup.complete]

Gerenciamento de grupos de segurança de cluster usando a CLIe a API do Amazon RedshiftVocê pode usar as seguintes operações de CLI do Amazon Redshift para gerenciar os security groups declusters.

• authorize-cluster-security-group-ingress• create-cluster-security-group• delete-cluster-security-group• describe-cluster-security-groups• revoke-cluster-security-group-ingress

314

https://docs.aws.amazon.com/cli/latest/reference/redshift/authorize-cluster-security-group-ingress.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/create-cluster-security-group.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-cluster-security-group.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-cluster-security-groups.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/revoke-cluster-security-group-ingress.html

Amazon Redshift Guia de gerenciamento de clustersAnálise de configuração e vulnerabilidade

Você pode usar as seguintes operações de API do Amazon Redshift para gerenciar os grupos desegurança dos clusters.

• AuthorizeClusterSecurityGroupIngress• CreateClusterSecurityGroup• DeleteClusterSecurityGroup• DescribeClusterSecurityGroups• RevokeClusterSecurityGroupIngress

Análise de configuração e vulnerabilidade noAmazon Redshift

A AWS se encarrega das tarefas básicas de segurança, como aplicação de patches a bancos de dadose sistemas operacionais (SOs) convidados, configuração de firewalls e recuperação de desastres (DR).Esses procedimentos foram revisados por terceiros certificados. Para obter mais informações, consulteValidação de conformidade do Amazon Redshift (p. 299), o Modelo de responsabilidade compartilhada eo whitepaper Amazon Web Services: visão geral de processos de segurança.

O Amazon Redshift aplica atualizações e patches automaticamente ao seu data warehouse para quevocê possa se concentrar no aplicativo e não na administração dele. Os patches e as atualizações sãoaplicados durante uma janela de manutenção configurável. Para obter mais informações, consulte Janelasde manutenção (p. 15).

315

https://docs.aws.amazon.com/redshift/latest/APIReference/API_AuthorizeClusterSecurityGroupIngress.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateClusterSecurityGroup.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteClusterSecurityGroup.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeClusterSecurityGroups.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_RevokeClusterSecurityGroupIngress.html


https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf


Usar as interfaces de gerenciamentodo Amazon Redshift

O Amazon Redshift dá suporte a diversas interfaces de gerenciamento que você pode usar para criar,gerenciar e excluir clusters do Amazon Redshift: os SDKs da AWS, a AWS Command Line Interface (AWSCLI) e a API de gerenciamento do Amazon Redshift.

A API do Amazon Redshift – Você pode chamar essa API de gerenciamento do Amazon Redshift enviandouma solicitação. Elas são solicitações HTTP ou HTTPS que usam os verbos HTTP GET ou POST com umparâmetro chamado Action. Chamar a API do Amazon Redshift é a maneira mais direta de acessar oserviço Amazon Redshift. No entanto, isso exige que seu aplicativo manipule detalhes de baixo nível, comogerenciamento de erros e geração de um hash para assinar a solicitação.

• Para obter informações sobre como criar e assinar uma API do Amazon Redshift, consulte Assinatura deuma solicitação HTTP (p. 319).

• Para obter informações sobre as ações da API do Amazon Redshift e os tipos de dados do AmazonRedshift, consulte a Referência de API do Amazon Redshift.

AWS SDKs – Você pode usar os SDKs da AWS para executar as operações relacionadas ao clusterdo Amazon Redshift. Diversas bibliotecas de SDKs encapsulam a API do Amazon Redshift subjacente.Elas integram a funcionalidade de API na linguagem de programação específica e processam muitosdos detalhes de nível inferior, como calcular assinaturas, processar novas tentativas de solicitação etratamento de erros. Chamar as funções wrapper nas bibliotecas de SDKs pode simplificar muito oprocesso de escrever um aplicativo para gerenciar o cluster do Amazon Redshift.

• O Amazon Redshift é compatível com os SDKs da AWS para Java, .NET, PHP, Python, Ruby e Node.js.As funções wrapper do Amazon Redshift estão documentadas no manual de referência para cada SDK.Para obter uma lista dos SDKs da AWS e links para a documentação, consulte Ferramentas para aAmazon Web Services.

• Este guia apresenta exemplos de como trabalhar com o Amazon Redshift usando o Java SDK. Paraobter exemplos de código do SDK da AWS mais gerais, consulte Código de exemplo e bibliotecas.

AWS CLI – A CLI fornece um conjunto de ferramentas de linha de comando que você pode usar paragerenciar serviços da AWS em computadores com Windows, Mac e Linux. A AWS CLI inclui comandosbaseados nas ações da API do Amazon Redshift.

• Para obter mais informações sobre como configurar a CLI do Amazon Redshift, consulte Configurar aCLI do Amazon Redshift (p. 321).

• Para obter material de referência sobre os comandos da CLI do Amazon Redshift, consulte AmazonRedshift na Referência da AWS CLI.

Tópicos• Utilização do AWS SDK para Java com o Amazon Redshift (p. 317)• Assinatura de uma solicitação HTTP (p. 319)• Configurar a CLI do Amazon Redshift (p. 321)

316

https://docs.aws.amazon.com/redshift/latest/APIReference/Welcome.html



https://aws.amazon.com/code/

https://docs.aws.amazon.com/cli/latest/reference/redshift/index.html


Amazon Redshift Guia de gerenciamento de clustersUsing the AWS SDK for Java

Utilização do AWS SDK para Java com o AmazonRedshift

O AWS SDK para Java fornece uma classe denominada AmazonRedshiftClientBuilder, que vocêpode usar para interagir com o Amazon Redshift. Para obter mais informações sobre como fazer downloaddo AWS SDK para Java, acesse AWS SDK para Java.

Note

O AWS SDK para Java fornece clientes thread-safe para acessar o Amazon Redshift. De acordocom as melhores práticas, seus aplicativos devem criar um único cliente e reutilizá-lo entre osthreads.

Você pode usar as classes AmazonRedshiftClientBuilder e AwsClientBuilder para configurarum ponto de extremidade e criar um cliente AmazonRedshift. Em seguida, pode usar o objeto de clientepara criar uma instância de um objeto Cluster. A classe Cluster define métodos que são mapeadospara as ações subjacentes da API de consulta do Amazon Redshift. (Essas ações estão descritas naReferência da API do Amazon Redshift). Ao chamar um método, você deve criar um objeto de solicitaçãocorrespondente. O objeto de solicitação inclui informações que você deve informar junto com a solicitaçãoreal. O objeto de Cluster inclui informações retornadas do Amazon Redshift em resposta à solicitação.

O exemplo abaixo ilustra o uso da classe AmazonRedshiftClientBuilder para configurar um endpointe criar um cluster ds2.xlarge de 2 nós.

String endpoint = "https://redshift.us-east-1.amazonaws.com/";String region = "us-east-1";AwsClientBuilder.EndpointConfiguration config = new AwsClientBuilder.EndpointConfiguration(endpoint, region);AmazonRedshiftClientBuilder clientBuilder = AmazonRedshiftClientBuilder.standard();clientBuilder.setEndpointConfiguration(config);AmazonRedshift client = clientBuilder.build();

CreateClusterRequest request = new CreateClusterRequest() .withClusterIdentifier("exampleclusterusingjava") .withMasterUsername("masteruser") .withMasterUserPassword("12345678Aa") .withNodeType("ds2.xlarge") .withNumberOfNodes(2);

Cluster createResponse = client.createCluster(request);System.out.println("Created cluster " + createResponse.getClusterIdentifier());

Execução de exemplos de Java para o AmazonRedshift usando o EclipseProcesso geral de execução de exemplos de código Java usando o Eclipse

1. Crie um novo AWS Java Project no Eclipse.

Siga as etapas em Configuração do AWS Toolkit for Eclipse no Guia de conceitos básicos do AWSToolkit for Eclipse.

2. Copie o código de exemplo da seção deste documento que você está lendo e cole-o em seu projetocomo um novo arquivo de classe de Java.

317

https://aws.amazon.com/sdk-for-java/

https://docs.aws.amazon.com/redshift/latest/APIReference/API_Operations.html

https://docs.aws.amazon.com/AWSToolkitEclipse/latest/GettingStartedGuide/tke_setup.html

Amazon Redshift Guia de gerenciamento de clustersExecução de exemplos de Java da linha de comando

3. Execute o código.

Execução de exemplos de Java para o AmazonRedshift da linha de comandoProcesso geral de execução de exemplos de código Java da linha de comando

1. Configure e teste seu ambiente da seguinte forma:a. Crie um diretório para trabalhar e, em seguida, crie as subpastas src, bin e sdk nele.b. Faça download do AWS SDK para Java e o descompacte na subpasta sdk que você criou. Após a

descompactação do SDK, deve haver quatro subdiretórios na pasta sdk, incluindo as pastas lib ethird-party.

c. Forneça suas credenciais da AWS ao SDK para Java. Para obter mais informações, acesse Fornecercredenciais da AWS no AWS SDK para Java no AWS SDK for Java Developer Guide.

d. Certifique-se de que você pode executar o compilador de programas do Java (javac) e o iniciadorde aplicativos Java (java) a partir de seu diretório de trabalho. Faça um teste executando osseguintes comandos:

javac -helpjava -help

2. Coloque o código que deseja executar em um arquivo .java e salve o arquivo na pastasrc. Para ilustrar o processo, usamos o código de Gerenciar grupos de segurança docluster usando o AWS SDK para Java (p. 312) e, portanto, o arquivo no diretório src é o CreateAndModifyClusterSecurityGroup.java.

3. Compile o código.

javac -cp sdk/lib/aws-java-sdk-1.3.18.jar -d bin src\CreateAndModifyClusterSecurityGroup.java

Se você estiver usando uma versão diferente do AWS SDK para Java, ajuste o caminho da classe (-cp)de acordo com a sua versão.

4. Execute o código. No comando a seguir, foram adicionadas quebras de linha para melhorar alegibilidade.

java -cp "bin; sdk/lib/*; sdk/third-party/commons-logging-1.1.1/*; sdk/third-party/httpcomponents-client-4.1.1/*; sdk/third-party/jackson-core-1.8/*" CreateAndModifyClusterSecurityGroup

Altere o separador do caminho da classe de acordo com o seu sistema operacional. Por exemplo, paraWindows o separador é ";" (como mostrado) e, para Unix, é ":". Outros exemplos de código podem exigirbibliotecas adicionais em relação às que são mostradas neste exemplo, ou a versão do AWS SDK quevocê está utilizando pode ter nomes de pastas de terceiros diferentes. Nesses casos, ajuste o caminhoda classe (-cp) conforme apropriado.

Para executar os exemplos neste documento, use uma versão do AWS SDK que ofereça suporte aoAmazon Redshift. Para obter a versão mais recente do AWS SDK para Java, acesse AWS SDK paraJava.

318

https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/credentials.html

https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/credentials.html

https://aws.amazon.com/sdkforjava/

https://aws.amazon.com/sdkforjava/

Amazon Redshift Guia de gerenciamento de clustersDefinição do endpoint

Definição do endpointPor padrão, o AWS SDK para Java usa o endpoint https://redshift.us-east-1.amazonaws.com/.Você pode definir o endpoint explicitamente com o método client.setEndpoint, conforme mostrado noseguinte trecho de código Java.

Example

client = new AmazonRedshiftClient(credentials);client.setEndpoint("https://redshift.us-east-1.amazonaws.com/");

Para obter uma lista de regiões do AWS onde você pode provisionar um cluster, acesse a seção Regiões eendpoints do Glossário da Amazon Web Services.

Assinatura de uma solicitação HTTPO Amazon Redshift exige que todas as solicitações que você envia para a API de gerenciamento sejamautenticadas com uma assinatura. Este tópico explica como assinar suas solicitações.

Se você estiver usando um dos Kits de desenvolvimento de software (SDKs) da AWS ou a interface delinha de comando da AWS, a assinatura da solicitação será processada automaticamente e você poderáignorar esta seção. Para obter mais informações sobre como usar SDKs da AWS, consulte Usar asinterfaces de gerenciamento do Amazon Redshift (p. 316). Para obter mais informações sobre como usara interface da linha de comando do Amazon Redshift, acesse Referência da linha de comando do AmazonRedshift.

Para assinar uma solicitação, calcule uma assinatura digital usando a função de hash criptográfico. Umhash criptográfico é uma função que retorna um valor de hash exclusivo que é baseado na entrada. Aentrada da função de hash inclui o texto da solicitação e a chave de acesso secreta. A função de hashretorna um valor de hash que você inclui na solicitação como sua assinatura. A assinatura é parte docabeçalho Authorization de sua solicitação.

Note

For API access, you need an access key ID and secret access key. Use IAM user access keysinstead of Usuário raiz da conta da AWS access keys. For more information about creating accesskeys, see Managing Access Keys for IAM Users in the Guia do usuário do IAM.

Depois que o Amazon Redshift recebe a solicitação, ele recalcula a assinatura usando a mesma função dehash e a mesma entrada que você usou para assinar a solicitação. Se a assinatura resultante correspondeà assinatura na solicitação, o Amazon Redshift processa a solicitação; caso contrário, a solicitação érejeitada.

O Amazon Redshift oferece suporte à autenticação usando o AWS Signature versão 4. O processo paracálculo de uma assinatura é composto de três tarefas. Essas tarefas são ilustradas no exemplo a seguir.

• Tarefa 1: Criar uma solicitação canônica

Reorganize sua solicitação HTTP em um formato canônico. O uso de um formato canônico é necessáriopois o Amazon Redshift usa o mesmo formato canônico para calcular a assinatura que ele compara coma que você enviou.

• Tarefa 2: Criar uma string para assinar

Crie uma string que será usada como um dos valores de entrada para sua função hash criptográfica. Astring, chamada string-to-sign, é uma concatenação do nome do algoritmo hash, da data da solicitação,

319





https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html


https://docs.aws.amazon.com/general/latest/gr/sigv4-create-canonical-request.html

https://docs.aws.amazon.com/general/latest/gr/sigv4-create-string-to-sign.html

Amazon Redshift Guia de gerenciamento de clustersExemplo de cálculo de assinatura

de uma string do escopo da credencial e da solicitação canonizada da tarefa anterior. A string do escopocredencial em si é uma concatenação da data, da região e de informações do serviço.

• Tarefa 3: Criar uma assinatura

Crie uma assinatura para sua solicitação usando uma função hash criptográfica que aceite duas stringsde entrada, sua string-to-sign e uma chave derivada. A chave derivada é calculada começando com suachave de acesso secreta e usando a string do escopo da credencial para criar uma série de códigos deautenticação de mensagem baseados em hash (HMAC-SHA256).

Exemplo de cálculo de assinaturaO exemplo a seguir mostra os detalhes da criação de uma assinatura para a solicitação CreateCluster.Você pode usar este exemplo como uma referência para verificar seu próprio método de cálculo deassinatura. Outros cálculos de referência estão incluídos no Pacote de testes do Signature versão 4 doGlossário da Amazon Web Services.

Você pode usar uma solicitação GET ou POST para enviar solicitações ao Amazon Redshift. A diferençaentre as duas é que, para a solicitação GET, seus parâmetros são enviados como parâmetros de string deconsulta. Para a solicitação POST, eles são incluídos no corpo da solicitação. O exemplo abaixo mostrauma solicitação POST.

O exemplo supõe o seguinte:

• O timestamp da solicitação é Fri, 07 Dec 2012 00:00:00 GMT.• O endpoint é a região Leste dos EUA (Norte da Virgínia), us-east-1.

A sintaxe geral da solicitação é:

https://redshift.us-east-1.amazonaws.com/ ?Action=CreateCluster &ClusterIdentifier=examplecluster &MasterUsername=masteruser &MasterUserPassword=12345678Aa &NumberOfNode=2 &NodeType=ds2.xlarge &Version=2012-12-01 &x-amz-algorithm=AWS4-HMAC-SHA256 &x-amz-credential=AKIAIOSFODNN7EXAMPLE/20121207/us-east-1/redshift/aws4_request &x-amz-date=20121207T000000Z &x-amz-signedheaders=content-type;host;x-amz-date

O formato canônico da solicitação calculada para Tarefa 1: Crie uma solicitação canônica (p. 319) é:

POST/

content-type:application/x-www-form-urlencoded; charset=utf-8host:redshift.us-east-1.amazonaws.comx-amz-date:20121207T000000Z

content-type;host;x-amz-date55141b5d2aff6042ccd9d2af808fdf95ac78255e25b823d2dbd720226de1625d

A última linha da solicitação canônica é o hash do corpo da solicitação. A terceira linha na solicitaçãocanônica está vazia, pois não há parâmetros de consulta para esta API.

A string-to-sign para Tarefa 2: Crie uma string-to-sign (p. 319) é:

320

https://docs.aws.amazon.com/general/latest/gr/sigv4-calculate-signature.html


https://docs.aws.amazon.com/general/latest/gr/signature-v4-test-suite.html

Amazon Redshift Guia de gerenciamento de clustersConfigurar a CLI do Amazon Redshift

AWS4-HMAC-SHA25620121207T000000Z20121207/us-east-1/redshift/aws4_request06b6bef4f4f060a5558b60c627cc6c5b5b5a959b9902b5ac2187be80cbac0714

A primeira linha da string-to-sign é o algoritmo, a segunda linha é a time stamp, a terceira linha é oescopo da credencial e a última linha é o hash da solicitação canônica da Tarefa 1: Crie uma solicitaçãocanônica (p. 319). O nome do serviço a usar no escopo da credencial é redshift.

Para a Tarefa 3: Crie uma assinatura (p. 320), a chave derivada pode ser representada como:

derived key = HMAC(HMAC(HMAC(HMAC("AWS4" + YourSecretAccessKey,"20121207"),"us-east-1"),"redshift"),"aws4_request")

A chave derivada é calculada como uma série de funções de hash. Partindo de instrução interna de HMACna fórmula acima, você concatena a frase “AWS4” com sua chave de acesso secreta e a utiliza como achave para fazer hash dos dados “us-east-1”. O resultado desse hash se torna a chave para a próximafunção de hash.

Após o cálculo da chave derivada, você a utiliza em uma função de hash que aceita duas strings deentrada, a sua string-to-sign e a chave derivada. Por exemplo, se você usar a chave de acesso secretawJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY e a string-to-sign fornecida anteriormente, aassinatura calculada será como se segue:

9a6b557aa9f38dea83d9215d8f0eae54100877f3e0735d38498d7ae489117920

A etapa final é construir o cabeçalho Authorization. Para a chave de acesso de demonstraçãoAKIAIOSFODNN7EXAMPLE, o cabeçalho (com quebras de linha adicionadas por motivo de legibilidade) é:

Authorization: AWS4-HMAC-SHA256 Credential=AKIAIOSFODNN7EXAMPLE/20121207/us-east-1/redshift/aws4_request, SignedHeaders=content-type;host;x-amz-date, Signature=9a6b557aa9f38dea83d9215d8f0eae54100877f3e0735d38498d7ae489117920

Configurar a CLI do Amazon RedshiftEsta seção explica como configurar e executar as ferramentas da linha de comando da AWS CLI a seremusadas no gerenciamento do Amazon Redshift. As ferramentas da linha de comando do Amazon Redshiftsão executadas na AWS Command Line Interface (AWS CLI), que, por sua vez, usa o Python (https://www.python.org/). A AWS CLI pode ser executada em qualquer sistema operacional compatível comPython.

Instruções de instalaçãoPara começar a usar as ferramentas da linha de comando do Amazon Redshift, você primeiro configura aAWS CLI e depois adiciona arquivos de configuração que definem as opções da CLI do Amazon Redshift.

Se tiver instalado e configurado a AWS CLI para outro serviço da AWS, poderá ignorar esse procedimento.

Para instalar a AWS Command Line Interface

1. Acesse Configurar com a interface da linha de comando da AWS e siga as instruções para instalar aAWS CLI.

321

https://www.python.org

https://www.python.org

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html

Amazon Redshift Guia de gerenciamento de clustersConceitos básicos do AWS Command Line Interface

For CLI access, you need an access key ID and secret access key. Use IAM user access keysinstead of Usuário raiz da conta da AWS access keys. IAM lets you securely control access to AWSservices and resources in your AWS account. For more information about creating access keys, seeUnderstanding and Getting Your Security Credentials in the AWS General Reference.

2. Crie um arquivo contendo informações de configuração, como as chaves de acesso, a região padrão eo formato de saída do comando. Em seguida, defina a variável de ambiente AWS_CONFIG_FILE parareferenciar esse arquivo. Para obter instruções detalhadas, acesse Configurar a interface de linha decomando da AWS no Guia do usuário do AWS Command Line Interface.

3. Execute um comando de teste para confirmar se a interface da AWS CLI está funcionando. Porexemplo, o seguinte comando deve exibir informações de ajuda da AWS CLI:

aws help

O comando a seguir deve exibir informações de ajuda do Amazon Redshift:

aws redshift help

Para obter material de referência sobre os comandos da CLI do Amazon Redshift, consulte AmazonRedshift na Referência da AWS CLI.

Conceitos básicos do AWS Command Line InterfacePara ajudar você a começar a usar a AWS Command Line Interface (AWS CLI), esta seção mostra comorealizar tarefas administrativas básicas para um cluster do Amazon Redshift. Essas tarefas são muitosemelhantes às tarefas no Conceitos básicos do Amazon Redshift, mas se concentram na AWS CLI, e nãono console do Amazon Redshift.

Esta seção orienta você em meio ao processo de criação de um cluster, criação de tabelas de bancode dados, upload de dados e teste de consultas. Use a AWS CLI para provisionar um cluster e autorizarpermissões de acesso necessárias. Em seguida, você usará o cliente do SQL Workbench para se conectarao cluster e criar tabelas de exemplo, fazer upload dos dados de exemplo e executar consultas de teste.

Etapa 1: Antes de começarSe ainda não tiver uma conta da AWS, você precisará se cadastrar para criar uma. Em seguida, vocêprecisará configurar as ferramentas da linha de comando do Amazon Redshift. Por fim, você precisaráfazer download de ferramentas e drivers cliente para se conectar ao cluster.

Etapa 1.1: Cadastrar-se em uma conta da AWSPara obter informações sobre como se cadastrar em uma conta de usuário da AWS, consulte o Guia deconceitos básicos do Amazon Redshift.

Etapa 1.2: Fazer download e instalar a AWS CLISe você não tiver instalado a AWS CLI, consulte Configurar a CLI do Amazon Redshift (p. 321).

Etapa 1.3: Fazer download das ferramentas e dos drivers clienteVocê pode usar qualquer ferramenta cliente SQL para se conectar a um cluster do Amazon Redshiftcom drivers PostgreSQL JDBC ou ODBC. Se não tiver esse software pré-instalado no momento, vocêpoderá usar o SQL Workbench, uma ferramenta gratuita para várias plataformas que você pode usar paraconsultar tabelas em um cluster do Amazon Redshift. Os exemplos nesta seção usarão o cliente SQLWorkbench.

322

https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html







Para fazer download dos drivers SQL Workbench e PostgreSQL, consulte o Guia de conceitos básicos doAmazon Redshift.

Etapa 2: Executar um clusterAgora você está pronto para iniciar um cluster usando a AWS CLI.

Important

O cluster que você está prestes a iniciar estará ativo (e não em execução em um sandbox). Vocêincorrerá nas taxas de uso padrão pelo cluster até encerrá-lo. Para obter informações sobredefinição de preço, vá até a página de definição de preço do Amazon Redshift.Se você concluir o exercício descrito aqui em uma sessão e encerrar o cluster quando tiverterminado, as cobranças totais serão mínimas.

O comando create-cluster tem um grande número de parâmetros. Para este exercício, você usaráos valores de parâmetros descritos na tabela a seguir. Antes de criar um cluster em um ambiente deprodução, recomendamos que examine todos os parâmetros necessários e opcionais, de maneira que aconfiguração do cluster atenda aos seus requisitos. Para obter mais informações, consulte create-cluster

Nome do parâmetro Valor de parâmetros para este exercício

Cluster Identifier examplecluster

Nome de usuário mestre masteruser

Senha mestre TopSecret1

Node Type ds2.xlarge ou o tamanho do nó que você desejausar. Para obter mais informações, consulte Clusters enós no Amazon Redshift (p. 5)

Cluster Type single-node

Para criar o cluster, insira o comando a seguir.

aws redshift create-cluster --cluster-identifier examplecluster --master-username masteruser --master-user-password TopSecret1 --node-type ds2.xlarge --cluster-type single-node

O processo de criação do cluster levará alguns minutos para ser concluído. Para verificar o status, insira ocomando a seguir.

aws redshift describe-clusters --cluster-identifier examplecluster

A saída será semelhante à seguinte.

{ "Clusters": [ {

...output omitted...

"ClusterStatus": "creating", "ClusterIdentifier": "examplecluster",

...output omitted...

323

https://docs.aws.amazon.com/redshift/latest/gsg/before-you-begin.html

https://docs.aws.amazon.com/redshift/latest/gsg/before-you-begin.html




}

Quando o campo ClusterStatus mudar de creating para available, o cluster estará pronto para serusado.

Na próxima etapa, você autorizará o acesso, de maneira que possa se conectar ao cluster.

Etapa 3: Autorizar tráfego de entrada para acesso do clusterVocê deve conceder explicitamente acesso de entrada ao cliente para se conectar ao cluster. O clientepode ser uma instância do Amazon EC2 ou um computador externo.

Quando criou um cluster na etapa anterior, porque não especificou um security group, você associou osecurity group do cluster padrão ao cluster. O security group do cluster padrão não contém regras paraautorizar tráfego de entrada para o cluster. Para acessar o novo cluster, você deve adicionar regras para otráfego de entrada, chamadas de regras de entrada, ao security group do cluster.

Regras de entrada para aplicativos em execução na InternetSe estiver acessando o cluster pela Internet, você precisará autorizar um intervalo de endereços CIDR/IP(Classless Inter-Domain Routing IP). Para este exemplo, usaremos uma regra CIDR/IP de 192.0.2.0/24.Você precisará modificar esse intervalo para refletir o endereço IP a máscara de rede reais.

Para permitir a entrada de rede para o cluster, insira o comando a seguir.

aws redshift authorize-cluster-security-group-ingress --cluster-security-group-name default --cidrip 192.0.2.0/24

Regras de entrada para instâncias do EC2Se estiver acessando o cluster pela instância Amazon EC2, você precisará autorizar o grupo de segurançado Amazon EC2. Para isso, você especifica o nome do security group com o número de conta de 12dígitos do proprietário do security group do EC2.

Você pode usar o console do Amazon EC2 para determinar qual security group do EC2 está associado àinstância:

324


Para saber o número de conta da AWS, acesse https://aws.amazon.com/ e faça login na página Minhaconta. O número de conta da AWS é mostrado no canto superior direito dessa página.

Neste exemplo, usaremos myec2securitygroup para o nome do security group do Amazon EC2 e123456789012 para o número da conta. Você precisará modificá-los para atender às necessidades.

Para permitir a entrada de rede para o cluster, insira o comando a seguir.

aws redshift authorize-cluster-security-group-ingress --cluster-security-group-name default --ec2-security-group-name myec2securitygroup --ec2-security-group-owner 123456789012

Etapa 4: Conectar-se ao clusterAgora que você adicionou uma regra de entrada ao security group do cluster padrão, as conexões deentrada de um CIDR/IP específico ou security group do EC2 para examplecluster estão autorizadas.

Agora você está pronto para se conectar ao cluster.

Para obter informações sobre como se conectar ao cluster, consulte o Guia de conceitos básicos doAmazon Redshift.

Etapa 5: Criar tabelas, fazer upload de dados e testar consultasde exemploPara obter informações sobre como criar tabelas, fazer upload dos dados e emitir consultas, vá até oConceitos básicos do Amazon Redshift.

Etapa 6: Excluir o cluster de exemploDepois que tiver iniciado um cluster e ele estiver disponível para uso, você será cobrado pelo tempo emque o cluster está em execução, mesmo se não o estiver usando ativamente. Quando não precisar maisdo cluster, você poderá excluí-lo.

Ao excluir um cluster, você deve decidir se deseja criar um snapshot final. Como este é um exercício e ocluster de teste não deve ter dados importantes, você pode ignorar o snapshot final.

Para excluir o cluster, insira o comando a seguir.

aws redshift delete-cluster --cluster-identifier examplecluster --skip-final-cluster-snapshot

Parabéns! Você iniciou, autorizou acesso, conectou e encerrou um cluster com êxito.

325

https://aws.amazon.com/





Monitoramento do desempenho decluster do Amazon Redshift

O Amazon Redshift fornece métricas e dados de desempenho para que você possa acompanhar a saúdee o desempenho de seus clusters e bancos de dados. Nesta seção, abordamos os tipos de dados com osquais você pode trabalhar no Amazon Redshift, especificamente, no console do Amazon Redshift.

Tópicos• Visão geral (p. 326)• Dados de desempenho do Amazon Redshift (p. 327)• Trabalhar com dados de desempenho no console do Amazon Redshift (p. 334)

Visão geralOs dados de desempenho que você pode usar no console do Amazon Redshift estão em duas categorias:

• Métricas do Amazon CloudWatch – As métricas do Amazon CloudWatch ajudam a monitorar osaspectos físicos do cluster, como utilização, latência e taxa de transferência da CPU. Os dados damétrica são exibidos diretamente no console do Amazon Redshift. Você também pode visualizá-losno console do CloudWatch. Se preferir, você pode consumir esses dados de qualquer outra formacompatível com as métricas, por exemplo, a AWS CLI ou um dos SDKs da AWS.

• Dados de desempenho de consultas/cargas – Os dados de desempenho ajudam a monitorar a atividadee o desempenho do banco de dados. Esses dados são agregados no console do Amazon Redshift paraajudar a correlacionar facilmente o que você vê nas métricas do CloudWatch com eventos específicosde consulta e carga do banco de dados. Você também pode criar as próprias consultas de desempenhopersonalizadas e executá-las diretamente no banco de dados. Os dados de desempenho de consulta ecarga são exibidos somente no console do Amazon Redshift. Eles não são publicados como métricas doCloudWatch.

Os dados de desempenho são integrados ao console do Amazon Redshift, proporcionando umaexperiência mais sofisticada da seguinte maneira:

• Os dados de desempenho associados a um cluster são exibidos de maneira contextual quando vocêexibe um cluster, em que possa precisar tomar decisões sobre o cluster, como redimensionamento.

• Algumas métricas de desempenho são exibidas em unidades de escala mais apropriada no console doAmazon Redshift em comparação com o CloudWatch. Por exemplo, WriteThroughput é exibido emGB/s (em comparação com bytes/s no CloudWatch), que é uma unidade mais relevante para o espaçode armazenamento típico de um nó.

• Você pode exibir facilmente os dados de desempenho dos nós de um cluster no mesmo gráfico. Dessaforma, você poderá monitorar facilmente o desempenho de todos os nós de um cluster. Você tambémpode ver dados de desempenho de cada nó.

O Amazon Redshift fornece dados de desempenho (métricas e dados de consulta e carga do CloudWatch)gratuitamente. Os dados de desempenho são registrados a cada minuto. Você pode acessar valoreshistóricos de dados de desempenho no console do Amazon Redshift. Para obter informações detalhadassobre como usar o CloudWatch para acessar os dados de desempenho do Amazon Redshift expostoscomo métricas do CloudWatch, consulte O que é o CloudWatch?, no Guia do usuário do AmazonCloudWatch.

326

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html.html

Amazon Redshift Guia de gerenciamento de clustersDados de desempenho

Dados de desempenho do Amazon RedshiftAo usar as métricas do CloudWatch para o Amazon Redshift, você pode obter informações sobre aintegridade e o desempenho do cluster e ver informações no nível do nó. Ao trabalhar com essas métricas,é importante lembrar que cada uma delas tem uma ou mais dimensões associadas. Essas dimensõesinformam ao que a métrica se aplica, ou seja, o escopo dela. O Amazon Redshift tem as duas dimensões aseguir:

• As métricas que têm uma dimensão NodeID são métricas que fornecem dados de desempenho de nósde um cluster. Esse conjunto de métricas inclui nós de computação e líderes. Entre os exemplos dessasmétricas estão CPUUtilization, ReadIOPS, WriteIOPS.

• As métricas que têm somente uma dimensão ClusterIdentifier são métricas que fornecemdados de desempenho para os clusters. Entre os exemplos dessas métricas estão HealthStatus eMaintenanceMode.

Note

Em alguns casos, uma métrica específica do cluster representa uma agregação decomportamento do nó. Nesses casos, cuidado ao interpretar o valor da métrica, pois ocomportamento do nó líder é agregado ao nó de computação.

Para obter informações gerais sobre as métricas e as dimensões do CloudWatch, consulte Conceitos doCloudWatch, no Guia do usuário do Amazon CloudWatch.

Para obter uma descrição adicional das métricas do CloudWatch para o Amazon Redshift, consulte asseções a seguir.

Tópicos• Métricas do Amazon Redshift (p. 327)• Dimensões para métricas do Amazon Redshift (p. 332)• Dados de desempenho de consulta e carga do Amazon Redshift (p. 333)

Métricas do Amazon RedshiftO namespace AWS/Redshift inclui as métricas a seguir. Salvo indicação em contrário, as métricas sãocoletadas em intervalos de 1 minuto.

Cargo

Métrica Descrição

CommitQueueLength O número de transações que aguardam confirmação em algummomento.

Unidade: contagem

Dimensões: ClusterIdentifier

ConcurrencyScalingActiveClustersO número de clusters de escalabilidade da simultaneidade que estãoprocessando consultas ativamente em um determinado momento.

Unidades: contagem


327

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/cloudwatch_concepts.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/cloudwatch_concepts.html

Amazon Redshift Guia de gerenciamento de clustersMétricas do Amazon Redshift


ConcurrencyScalingSeconds O número de segundos usados pelos clusters de escalabilidadeda simultaneidade que têm atividade de processamento ativo deconsultas.

Unidades: soma


CPUUtilization O percentual de utilização da CPU. Para clusters, esta métricarepresenta uma agregação dos valores de utilização da CPU detodos os nós (principais e de computação).

Unidade: percentual

Dimensões: ClusterIdentifier, NodeID


DatabaseConnections O número de conexões do banco de dados com um cluster.

Unidade: contagem


HealthStatus Indica a saúde do cluster. A cada minuto, o cluster se conecta aobanco de dados e executa uma consulta simples. Se conseguirexecutar essa operação com êxito, o cluster é considerado saudável.Caso contrário, o cluster está com problemas. Um status nãosaudável pode ocorrer quando o banco de dados do cluster estásob carga extremamente pesada ou se houver um problema deconfiguração com um banco de dados no cluster.

Note

No Amazon CloudWatch, essa métrica é reportada como1 ou 0, enquanto no console do Amazon Redshift, essamétrica é exibida com as palavras HEALTHY ou UNHEALTHYpara conveniência. Quando essa métrica é exibida noconsole do Amazon Redshift, as médias de amostragemsão ignoradas e apenas HEALTHY ou UNHEALTHY sãoexibidos. No Amazon CloudWatch, valores diferentes de1 e 0 podem ocorrer devido a problemas de amostragem.Qualquer valor abaixo de 1 para HealthStatus éreportado como 0 (UNHEALTHY).

Unidades: contagem (1/0) (HEALTHY/UNHEALTHY no console doAmazon Redshift)


328



MaintenanceMode Indica se o cluster está no modo de manutenção.

Note

No Amazon CloudWatch, essa métrica é reportadacomo 1 ou 0, enquanto no console do Amazon Redshift,essa métrica é exibida com as palavras ON ou OFF paraconveniência. Quando essa métrica é exibida no consoledo Amazon Redshift, as médias de amostragem sãoignoradas e apenas ON ou OFF são exibidos. No AmazonCloudWatch, valores diferentes de 1 e 0 podem ocorrerdevido a problemas na amostragem. Qualquer valor acimade 0 para MaintenanceMode é reportado como 1 (ON).

Unidades: contagem (1/0) (ON/OFF no console do Amazon Redshift).


MaxConfiguredConcurrencyScalingClustersNúmero máximo de clusters de escalabilidade da simultaneidadeconfigurados a partir do grupo de parâmetros. Para obter maisinformações, consulte Grupos de parâmetros do AmazonRedshift (p. 132).

Unidades: contagem


NetworkReceiveThroughput A taxa em que o nó ou cluster recebe dados.

Unidade: bytes/segundo (MB/s no console do Amazon Redshift)



NetworkTransmitThroughput A taxa em que o nó ou cluster grava dados.

Unidade: bytes/segundo (MB/s no console do Amazon Redshift)



PercentageDiskSpaceUsed O percentual do espaço em disco utilizado.

Unidade: percentual


QueriesCompletedPerSecond O número médio de consultas concluídas por segundo. Relatado emintervalos de 5 minutos.

Unidade: contagem/segundo

Dimensões: ClusterIdentifier, latency

Dimensões: ClusterIdentifier, wlmid

329



QueryDuration O tempo médio para concluir uma consulta. Relatado em intervalosde 5 minutos.

Unidade: microssegundos

Dimensões: ClusterIdentifier, NodeID, latency

Dimensões: ClusterIdentifier, latency

Dimensões: ClusterIdentifier, NodeID, wlmid

QueryRuntimeBreakdown O tempo total que as consultas gastam em execução por estágio deconsulta. Relatado em intervalos de 5 minutos.

Unidade: milissegundos

Dimensões: ClusterIdentifier, NodeID, stage

Dimensões: ClusterIdentifier, stage

ReadIOPS O número médio de operações de leitura de disco por segundo.




ReadLatency O tempo médio necessário para operações de I/O de leitura dedisco.

Unidade: segundos



ReadThroughput O número médio de bytes lidos do disco por segundo.

Unidade: bytes (GB/s no console do Amazon Redshift)



TotalTableCount O número de tabelas de usuário abertas em um momento específico.Esse total não inclui tabelas Amazon Redshift Spectrum.

Unidade: contagem


330



WLMQueueLength O número de consultas aguardando para entrar em uma fila degerenciamento da carga de trabalho (WLM).

Unidades: contagem

Dimensões: ClusterIdentifier, service class

Dimensões: ClusterIdentifier, QueueName

WLMQueueWaitTime Tempo total que as consultas ficaram esperando na fila degerenciamento da carga de trabalho (WLM). Relatado em intervalosde 5 minutos.

Unidade: milissegundos.

Dimensões: ClusterIdentifier, QueryPriority



WLMQueriesCompletedPerSecondO número médio de consultas concluídas por segundo de uma fila degerenciamento da carga de trabalho (WLM). Relatado em intervalosde 5 minutos.




WLMQueryDuration O tempo médio para concluir uma consulta de uma fila degerenciamento da carga de trabalho (WLM). Relatado em intervalosde 5 minutos.

Unidade: microssegundos



WLMRunningQueries O número de consultas em execução no cluster principal e no clusterde escalabilidade da simultaneidade por fila do WLM.

Unidade: contagem



WriteIOPS O número médio de operações de gravação por segundo.




331

Amazon Redshift Guia de gerenciamento de clustersDimensões para métricas do Amazon Redshift


WriteLatency O tempo médio necessário para operações de I/O de gravação emdisco.

Unidade: segundos



WriteThroughput O número médio de bytes gravados no disco por segundo.

Unidade: bytes (GB/s no console do Amazon Redshift)



Dimensões para métricas do Amazon RedshiftOs dados do Amazon Redshift podem ser filtrados com qualquer uma das dimensões na tabela a seguir.

Dimensão Descrição

latency Os valores possíveis são:

• short – abaixo de 10 segundos• medium – entre 10 segundos e 10 minutos.• long – acima de 10 minutos

NodeID Filtra os dados solicitados que são específicos para os nós de umcluster. NodeID é "Leader”, “Shared” ou “Compute-N”, sendo N0, 1,... conforme o número de nós no cluster. “Shared” significaque o cluster tem apenas um nó, ou seja, o nó principal e o nó decomputação são combinados.

As métricas só são relatadas pelo nó de liderança epelos nós de computação para CPUUtilization,NetworkTransmitThroughput e ReadIOPS. Outras métricasque usam a dimensão NodeId são relatadas somente para nós decomputação.

ClusterIdentifier Filtra os dados solicitados que são específicos ao cluster.As métricas específicas a clusters incluem HealthStatus,MaintenanceMode e DatabaseConnections. De modo geral,métricas para esta dimensão (por exemplo, ReadIOPS) que tambémsão métricas de nós representam um conjunto dos dados na métricado nó. Atente-se ao interpretar essas métricas porque elas reúnem ocomportamento de nós principais e de computação.

service class O identificador de uma classe de serviço WLM.

stage Os estágios de execução de uma consulta. Os valores possíveis são:

• QueryPlanning: tempo gasto analisando e otimizando comandosde SQL.

332

Amazon Redshift Guia de gerenciamento de clustersDados de desempenho de consulta

e carga do Amazon Redshift

Dimensão Descrição• QueryWaiting: tempo gasto esperando na fila de WLM.• QueryExecutingRead: Tempo gasto executando leitura de

consultas.• QueryExecutingInsert: Tempo gasto executando inserção de

consultas.• QueryExecutingDelete: Tempo gasto executando exclusão de

consultas.• QueryExecutingUpdate: Tempo gasto executando atualização de

consultas.• QueryExecutingCtas: Tempo gasto executando consultas de "criar

tabela como".• QueryExecutingUnload: Tempo gasto executando

descarregamento de consultas.• QueryExecutingCopy: Tempo gasto executando cópia de

consultas.• QueryCommit: Confirmar tempo gasto.

wlmid O identificador para uma fila de gerenciamento da carga de trabalho.

QueryPriority A prioridade da consulta. Os valores possíveis são CRITICAL,HIGHEST, HIGH, NORMAL, LOW e LOWEST.

QueueName O nome da fila de gerenciamento de carga de trabalho.

Dados de desempenho de consulta e carga doAmazon RedshiftAlém das métricas do CloudWatch, o Amazon Redshift fornece dados de desempenho de consultae carga. Os dados de consulta e carga podem ser usados para ajudar a entender a relação entre odesempenho do banco de dados e as métricas do cluster. Por exemplo, se perceber que a CPU de umcluster atingiu o pico, você poderá saber o pico no gráfico de CPU do cluster e ver as consultas queestavam em execução nesse momento. Por outro lado, se você estiver avaliando uma consulta específica,os dados da métrica (como CPU) serão exibidos no contexto, de maneira que possa compreender oimpacto da consulta sobre as métricas do cluster.

Os dados de desempenho de consulta e carga não são publicados como métricas do CloudWatch e sópodem ser exibidos no console do Amazon Redshift. Os dados de desempenho de consulta e carga sãogerados consultando-se as tabelas do sistema do banco de dados (para obter mais informações, consulteReferência de tabelas do sistema no Guia do desenvolvedor do Amazon Redshift). Você também podegerar as próprias consultas de desempenho do banco de dados personalizadas, mas recomendamoscomeçar com os dados de desempenho de consulta e carga apresentados no console. Para obter maisinformações sobre como medir e monitorar o desempenho do banco de dados por conta própria, consulteComo gerenciar o desempenho, no Guia do desenvolvedor do Amazon Redshift.

A tabela a seguir descreve aspectos diferentes de dados de consulta e carga que você pode acessar noconsole do Amazon Redshift.

Dados de consulta/carga

Descrição

Resumo da consulta Uma lista de consultas em um período especificado. A lista pode serclassificada em valores como ID de consulta, tempo de execução da consulta e

333

https://docs.aws.amazon.com/redshift/latest/dg/cm_chap_system-tables.html

https://docs.aws.amazon.com/redshift/latest/dg/c-optimizing-query-performance.html

Amazon Redshift Guia de gerenciamento de clustersTrabalhar com dados de desempenho

Dados de consulta/carga

Descrição

status. Visualize esses dados na guia Monitoramento de consulta da página dedetalhes do cluster.

Detalhes da consulta Dá detalhes sobre uma consulta específica, inclusive:

• Propriedades de consulta como o ID de consulta, o tipo, o cluster no qual aconsulta foi executada e o tempo de execução.

• Detalhes como o status da consulta e o número de erros.• O comando SQL que foi executado.• Um plano de explicação, se disponível.• Dados de desempenho do cluster durante a execução da consulta

(para obter mais informações, consulte Visualizar dados do histórico deconsultas (p. 342)).

Resumo da carga Lista todas as cargas em um período especificado. A lista pode ser classificadaem valores como ID de consulta, tempo de execução da consulta e status.Visualize esses dados na guia Monitoramento de consulta da página dedetalhes do cluster.

Detalhes da carga Dá detalhes sobre uma operação de carga específica, inclusive:

• Propriedades de carga como o ID de consulta, o tipo, o cluster no qual aconsulta foi executada e o tempo de execução.

• Detalhes como o status da carga e o número de erros.• O comando SQL que foi executado.• Uma lista de arquivos carregados.• Dados de desempenho de cluster durante a operação de carga (para

obter mais informações, consulte Visualizar dados do histórico deconsultas (p. 342)).

Trabalhar com dados de desempenho no consoledo Amazon Redshift

Nesta seção, você pode descobrir como exibir dados de desempenho no console do Amazon Redshift,incluindo informações sobre o desempenho de cluster e de consulta. Além disso, você pode criar alarmesem métricas de cluster diretamente no console do Amazon Redshift.

Ao exibir dados de desempenho no console do Amazon Redshift, você os vê por cluster. Os gráficosde dados de desempenho de um cluster foram projetados para dar acesso a dados para responderàs dúvidas de desempenho mais comuns. Para alguns dados de desempenho (consulte Dados dedesempenho do Amazon Redshift (p. 327)), também é possível usar o CloudWatch para personalizarainda mais seus gráficos de métricas. Por exemplo, você pode escolher tempos maiores ou combinarmétricas entre clusters. Para obter mais informações sobre como trabalhar com o console do CloudWatch,consulte Trabalhar com métricas de desempenho no console do CloudWatch (p. 373).

Assista ao vídeo a seguir para saber como monitorar, isolar e otimizar consultas usando os recursos demonitoramento de consultas no console do Amazon Redshift: Monitoramento de consultas com AmazonRedshift.

Tópicos

334

https://www.youtube.com/embed/Wdvb5iYVnLg

https://www.youtube.com/embed/Wdvb5iYVnLg

Amazon Redshift Guia de gerenciamento de clustersVisualizar dados de desempenho do cluster

• Visualizar dados de desempenho do cluster (p. 335)• Visualizar dados do histórico de consultas (p. 342)• Visualizar dados de desempenho do banco de dados (p. 345)• Visualizar dados de escalabilidade da simultaneidade e simultaneidade da carga de trabalho (p. 349)• Visualizar consultas e cargas (p. 352)• Visualizar métricas do cluster durante as operações de carga (p. 364)• Analisar o desempenho da carga de trabalho (p. 366)• Criar um alarme (p. 370)• Trabalhar com métricas de desempenho no console do CloudWatch (p. 373)

Visualizar dados de desempenho do clusterUsando métricas de cluster no Amazon Redshift, é possível executar as seguintes tarefas comuns dedesempenho:

• Determine se as métricas de cluster são anormais em um período especificado e, em caso afirmativo,identifique as consultas responsáveis pela ocorrência de desempenho.

• Verifique se as consultas históricas ou atuais estão afetando o desempenho do cluster. Se identificaruma consulta problemática, você poderá visualizar detalhes sobre ela, incluindo o desempenho docluster durante a execução da consulta. Você pode usar essas informações para diagnosticar o motivoda lentidão da consulta e ver o que pode ser feito para melhorar o desempenho dela.

Note


Novo console

Para visualizar os dados de desempenho


2. No menu de navegação, escolha CLUSTERS e escolha o nome de um cluster na lista para abrir osdetalhes. Os detalhes do cluster são exibidos, incluindo as guias Query monitoring (Monitoramento deconsultas), Cluster performance (Desempenho do cluster), Maintenance and monitoring (Manutençãoe monitoramento), Backup, Properties (Propriedades) e Schedule (Programação).

3. Escolha a guia Cluster performance (Desempenho do cluster) para obter informações que incluem oseguinte:

• Utilização da CPU• Percentage disk space used (Porcentagem utilizada de espaço em disco)• Conexões de banco de dados• Health status (Status da integridade)• Query duration (Duração de consultas)• Query throughput (Taxa de transferência de consultas)• Ação de escalabilidade da simultaneidade

Muitas métricas novas estão disponíveis. Para ver as métricas disponíveis e escolher quais sãoexibidas, escolha o ícone Preferences (Preferências)

335




Console original

A exibição do cluster padrão mostra todos os nós representados graficamente juntos, uma estatísticaAverage e os dados da última hora. Você pode alterar essa exibição conforme necessário. Algumasmétricas, como HealthStatus, são aplicadas somente para o nó líder, enquanto outros, comoWriteOps, são aplicáveis somente para nós de computação. A troca do modo de exibição do nó redefinetodos os filtros.

Para exibir dados de desempenho do cluster


2. No painel de navegação, escolha Clusters.3. Em Cluster, clique no ícone de lupa ao lado do cluster cujos dados de desempenho você deseja exibir.

4. Escolha a guia Performance.

Por padrão, a visualização de desempenho exibe o desempenho do cluster na última hora. Seprecisar ajustar a exibição, você poderá usar os filtros conforme descrito na tabela a seguir.

Para fazer isso Use este filtro

Alterar o período cujos dados são exibidos Selecione um período na lista Time Range. Porpadrão, a última hora é mostrada.

Alterar o período cujos dados são exibidos Selecione um período na lista Period. Por padrão,um período de cinco minutos é mostrado. Useum período inferior a cinco minutos, caso vocêprecise de mais detalhes ao investigar uma métrica(detalhando) e exibir métricas de um período curto;por exemplo dez minutos. Da mesma maneira,use um período maior que cinco minutos ao exibirmétricas ao longo de um grande período; porexemplo, dias.

336




Para fazer isso Use este filtro

Altere a estatística exibida para métricas Selecione uma estatística na lista Statistic. Porpadrão, a estatística Average é usada.

Alterar quais métricas são mostradas, todasou uma métrica específica

Escolha uma métrica na lista Metrics. Por padrão,todas as métricas são mostradas.

Alterar se as métricas do nó são exibidasseparadamente ou juntas no mesmo gráfico

Selecione Nodes. Por padrão, os dados do nó deuma determinada métrica são mostrados em umgráfico combinado. Se optar por exibir dados de nóem gráficos separados, você poderá ainda mostrarou ocultar nós individuais.

Gráficos de desempenho de clusterOs exemplos a seguir mostram alguns dos gráficos que são exibidos no novo console do Amazon Redshift.

• Utilização de CPU – mostra a porcentagem da utilização de CPU para todos os nós (líder e decomputação). Para localizar um horário em que o uso do cluster seja mais baixo antes de agendar amigração do cluster ou outras operações que consomem recursos, monitore este gráfico para ver autilização da CPU por nó individual ou por todos os nós.

• Modo de manutenção – mostra se o cluster está no modo de manutenção em um horário escolhidousando os indicadores On e Off. É possível ver a hora em que o cluster está passando por manutenção.Depois, é possível correlacionar esse tempo com as operações realizadas no cluster para estimar seustempos de inatividade futuros para eventos recorrentes.

• Porcentagem de espaço em disco utilizado – mostra a porcentagem de uso de espaço em disco porcada nó de computação e não para o cluster como um todo. É possível explorar esse gráfico para

337


monitorar a utilização do disco. Operações de manutenção, como VACUUM e COPY, usam espaço dearmazenamento temporário intermediário para suas operações de classificação, portanto, é esperadoum pico no uso do disco.

• Taxa de transferência de leitura – mostra o número médio de megabytes lidos do disco por segundo. Épossível avaliar esse gráfico para monitorar o aspecto físico correspondente do cluster. Essa taxa detransferência não inclui o tráfego de rede entre instâncias no cluster e o seu volume.

• Latência de leitura – mostra o tempo médio necessário para operações de E/S de leitura de disco pormilissegundo. É possível visualizar os tempos de resposta dos dados a serem retornados. Quando alatência é alta, isso significa que o remetente gasta mais tempo ocioso (não enviando novos pacotes), oque reduz a rapidez com que a taxa de transferência aumenta.

• Taxa de transferência de gravação – mostra o número médio de megabytes gravados em disco porsegundo. É possível avaliar essa métrica para monitorar o aspecto físico correspondente do cluster.Essa taxa de transferência não inclui o tráfego de rede entre instâncias no cluster e o seu volume.

338


• Latência de gravação – mostra a quantidade média de tempo em milissegundos para operações de E/Sde gravação em disco. É possível avaliar o tempo para que a confirmação de gravação seja retornada.Quando a latência é alta, isso significa que o remetente gasta mais tempo ocioso (não enviando novospacotes), o que reduz a rapidez com que a taxa de transferência aumenta.

• Conexões de banco de dados – mostram o número de conexões de banco de dados para um cluster.É possível usar esse gráfico para ver quantas conexões são estabelecidas com o banco de dados eencontrar um horário em que o uso do cluster é menor.

• Total de tabelas – mostra o número de tabelas de usuários abertas em determinado momento dentro deum cluster. É possível monitorar o desempenho do cluster quando a contagem de tabelas abertas é alta.

339


• Status de integridade – indica a integridade do cluster como Healthy ou Unhealthy. Se o clusterpuder se conectar ao banco de dados e executar uma consulta simples com êxito, o cluster seráconsiderado íntegro. Caso contrário, o cluster está com problemas. Um status não saudável podeocorrer quando o banco de dados do cluster está sob carga extremamente pesada ou se houver umproblema de configuração com um banco de dados no cluster.

• Duração da consulta – mostra a quantidade média de tempo para concluir uma consulta emmicrossegundos. É possível comparar os dados nesse gráfico para medir o desempenho de E/S dentrodo cluster e ajustar suas consultas mais demoradas, se necessário.

• Taxa de transferência de consultas – mostra o número médio de consultas concluídas por segundo. Épossível analisar dados nesse gráfico para medir o desempenho do banco de dados e caracterizar acapacidade do sistema de oferecer suporte a uma carga de trabalho multiusuário de forma equilibrada.

340


• Duração da consulta por fila do WLM – mostra a quantidade média de tempo para concluir uma consultaem microssegundos. É possível comparar os dados nesse gráfico para medir o desempenho de E/S porfila de WLM e ajustar suas consultas mais demoradas, se necessário.

• Taxa de transferência de consulta por fila do WLM – mostra o número médio de consultas concluídas porsegundo. É possível analisar dados nesse gráfico para medir o desempenho do banco de dados por filado WLM.

• Ação de escalabilidade de simultaneidade – mostra o número de clusters ativos de escalabilidade desimultaneidade. Quando a escalabilidade da simultaneidade estiver habilitada, o Amazon Redshiftadicionará automaticamente capacidade de cluster adicional quando for necessária para processar umaumento em consultas simultâneas de leitura.

341

Amazon Redshift Guia de gerenciamento de clustersVisualizar dados do histórico de consultas

Visualizar dados do histórico de consultasÉ possível usar métricas de histórico de consultas no Amazon Redshift para fazer o seguinte:

• Isolar e diagnosticar problemas de desempenho de consulta.• Comparar métricas de tempo de execução de consulta e métricas de desempenho de cluster na mesma

linha de tempo para ver como as duas podem estar relacionadas. Isso ajuda a identificar consultas combaixo desempenho, procurar consultas em gargalo e saber se você precisa redimensionar seu clusterpara sua carga de trabalho.

• Fazer busca detalhada nos detalhes de uma consulta específica escolhendo-a na linha do tempo.Quando o ID da consulta e outras propriedades são exibidas em uma linha abaixo do gráfico, é possívelselecionar a consulta para ver os detalhes dela. Os detalhes incluem, por exemplo, a instrução SQLda consulta, os detalhes de execução e o plano de consulta. Para obter mais informações, consulteVisualizar detalhes da consulta (p. 354).

• Determine se seus trabalhos de carga foram concluídos com êxito e atendem aos contratos de nível deserviço (SLAs).

Como exibir dados de histórico de consultas


2. No menu de navegação, escolha CLUSTERS e escolha o nome do cluster na lista para abriros detalhes. Os detalhes do cluster são exibidos, incluindo as guias Desempenho do cluster,Desempenho da consulta, Manutenção e monitoramento, Backup, Propriedades e Programação.

3. Escolha a guia Query monitoring (Monitoramento de consultas) para obter as métricas sobre suasconsultas.

4. Na seção Monitoramento de consultas escolha a guia Histórico de consultas.

Usando controles na janela, você pode alternar entre Lista de Consultas e Métricas de cluster.

Quando Lista de consultas é escolhido, a guia inclui os seguintes gráficos:

• Tempo de execução da consulta – a atividade de consulta em uma linha do tempo. Use essegráfico para ver quais consultas estão sendo executadas no mesmo período. Escolha uma consultapara visualizar mais detalhes de execução de consulta. O eixo x mostra o período selecionado. Épossível filtrar as consultas gráficas em execução, concluídas, cargas, etc. Cada barra representauma consulta, e o tamanho da barra representa o tempo de execução desde o início da barra até ofim. As consultas podem incluir instruções de manipulação de dados SQL (como SELECT, INSERT,

342




DELETE) e cargas (como COPY). Por padrão, as 100 consultas mais longas em execução sãomostradas para o período selecionado.

• Consultas e cargas – lista de consultas e cargas executadas no cluster. A janela inclui uma opçãopara Encerrar consulta se uma consulta estiver em execução no momento.

Quando Métricas do cluster é escolhido, a guia inclui os seguintes gráficos:

• Tempo de execução da consulta – a atividade de consulta em uma linha do tempo. Use esse gráficopara ver quais consultas estão sendo executadas no mesmo período. Escolha uma consulta paravisualizar mais detalhes de execução de consulta.

• Utilização de CPU – a utilização da CPU do cluster por nó líder e média de nós de computação.• Capacidade de armazenamento usada – a porcentagem da capacidade de armazenamento usada.• Conexões de banco de dados ativas – o número de conexões de banco de dados ativas com o

cluster.

Considere o seguinte ao trabalhar com os gráficos do histórico de consultas:

• Escolha uma barra que represente uma consulta específica no gráfico Tempo de execução da consultapara ver detalhes sobre essa consulta. Também é possível escolher um ID de consulta na listaConsultas e cargas para ver seus detalhes.

• Você pode deslizar para selecionar uma seção do gráfico Tempo de execução da consulta para ampliare exibir um período específico.

• No gráfico Tempo de execução da consulta para que todos os dados sejam considerados pelo filtroescolhido, avance por todas as páginas indicadas na lista Consultas e cargas.

• É possível alterar quais colunas e o número de linhas exibidas na lista Consultas e cargas usando ajanela de preferências exibida pelo ícone de engrenagem de configurações.

• A lista Consultas e cargas também pode ser exibida navegando a partir do ícone Consultas donavegador esquerdo, Consultas e cargas. Para obter mais informações, consulte Visualizar consultas ecargas (p. 352).

Gráficos de histórico de consultasOs exemplos a seguir mostram gráficos exibidos no novo console do Amazon Redshift.

Note

Os gráficos do console do Amazon Redshift contêm apenas dados das 100.000 consultas maisrecentes.

• Tempo de execução da consulta

343


• Consultas e cargas

• Utilização da CPU

344

Amazon Redshift Guia de gerenciamento de clustersVisualizar dados de desempenho do banco de dados

• Capacidade de armazenamento utilizada

• Conexões de banco de dados ativas

Visualizar dados de desempenho do banco de dadosÉ possível usar métricas de desempenho do banco de dados no Amazon Redshift para fazer o seguinte:

• Analise o tempo gasto pelas consultas por etapas de processamento. É possível procurar tendênciasincomuns na quantidade de tempo gasto em uma etapa.

345


• Analise o número de consultas, duração e taxa de transferência de consultas por intervalos de duração(curto, médio, longo).

• Procure tendências no tempo de espera de consulta por prioridade de consulta (Menor, Baixa, Normal,Alta, Maior, Crítica).

• Procure tendências na duração da consulta, na taxa de transferência ou no tempo de espera por fila doWLM.

Como exibir dados de desempenho do banco de dados


2. No painel de navegação, escolha CLUSTERS e selecione o nome do cluster na lista para abriros detalhes. Os detalhes do cluster são exibidos, incluindo as guias Monitoramento de consultas,Desempenho do cluster, para, Backup, Propriedades e Programação.


4. Na seção Monitoramento de consultas, escolha a guia Desempenho do banco de dados.

Usando controles na janela, você pode alternar entre Métricas do cluster e Métricas da fila do WLM.

Quando Métricas do cluster é escolhido, a guia inclui os seguintes gráficos:

• Detalhamento da execução da carga de trabalho – o tempo usado nas etapas de processamento daconsulta.

• Consultas por intervalo de duração – o número de consultas curtas, médias e longas.• Taxa de transferência de consultas – o número médio de consultas concluídas por segundo.• Duração da consulta – o tempo médio para concluir uma consulta.• Tempo médio de espera da fila por prioridade – o tempo total gasto por consultas aguardando na fila

do WLM por prioridade de consulta.

Quando Métricas da fila do WLM, a guia inclui os seguintes gráficos:

• Duração da consulta por fila – a duração média da consulta por fila do WLM.• Taxa de transferência de consulta por fila – o número médio de consultas concluídas por segundo

pela fila do WLM.• Tempo de espera de consulta por fila – a duração média das consultas gasta aguardando pela fila

do WLM.

Gráficos de desempenho do banco de dadosOs exemplos a seguir mostram gráficos exibidos no novo console do Amazon Redshift.

• Detalhamento da execução da carga de trabalho

346




• Consultas por intervalo de duração

• Query throughput (Taxa de transferência de consultas)

• Query duration (Duração de consultas)

347


• Tempo médio de espera da fila por prioridade

• Duração da consulta por fila

• Taxa de transferência de consulta por fila

348

Amazon Redshift Guia de gerenciamento de clustersVisualizar dados de escalabilidade da simultaneidade

e simultaneidade da carga de trabalho

• Tempo de espera da consulta por fila

Visualizar dados de escalabilidade da simultaneidadee simultaneidade da carga de trabalhoAo usar métricas de escalabilidade da simultaneidade no Amazon Redshift, é possível fazer o seguinte:

• Analise se é possível reduzir o número de consultas em fila habilitando a escalabilidade dasimultaneidade. É possível comparar por fila do WLM ou por todas as filas do WLM.

• Visualize a ação de escalabilidade da simultaneidade nos clusters de escalabilidade dasimultaneidade. Isso pode informá-lo se a escalabilidade da simultaneidade é limitadapor max_concurrency_scaling_clusters. Se esse for o caso, você pode aumentarmax_concurrency_scaling_clusters no parâmetro de banco de dados.

• Visualize o uso total da escalabilidade da simultaneidade somada em todos os clusters de escalabilidadeda simultaneidade.

Note


349



Novo console

Para exibir da escalabilidade da simultaneidade


2. No menu de navegação, escolha CLUSTERS e escolha o nome do cluster na lista para abrir osdetalhes. Os detalhes do cluster são exibidos, incluindo as guias Query monitoring (Monitoramentode consultas), Cluster performance (Desempenho do cluster), to (para), Backup, Properties(Propriedades) e Schedule (Programação).


4. Na seção Monitoramento de consultas, escolha a guia Simultaneidade da carga de trabalho.

A guia inclui os seguintes gráficos:

• Queued vs. Executar consultas no cluster – o número de consultas em execução (do clusterprincipal e do cluster de escalabilidade de simultaneidade) em comparação com o número deconsultas que aguardam em todas as filas do WLM no cluster.

• Queued vs. Executar consultas por fila – o número de consultas em execução (do cluster principale do cluster de escalabilidade da simultaneidade) em comparação com o número ou consultas emespera em cada fila do WLM.

• Ação de escalabilidade de simultaneidade – o número de clusters de escalabilidade desimultaneidade que estão processando ativamente consultas.

• Uso de escalabilidade de simultaneidade – o uso de clusters de escalabilidade de simultaneidadeque têm atividade de processamento de consultas ativo.

Console original

Como visualizar dados da escalabilidade da simultaneidade


2. No painel de navegação, escolha Clusters.3. Escolha o cluster para o qual deseja visualizar os dados da escalabilidade da simultaneidade.4. Selecione a guia Database Performance (Desempenho do banco de dados).

Por padrão, a visualização de desempenho exibe os dados da escalabilidade da simultaneidade naúltima hora. Se você precisar ajustar a visualização, poderá usar os filtros para alterar o escopo dosdados.

Gráficos de simultaneidade da carga de trabalhoOs exemplos a seguir mostram gráficos exibidos no novo console do Amazon Redshift.

• Queued vs. Executar consultas no cluster

350







• Queued vs. Executar consultas por fila

• Ação de escalabilidade da simultaneidade

• Concurrency scaling usage (Uso de escalabilidade da simultaneidade)

351

Amazon Redshift Guia de gerenciamento de clustersVisualizar consultas e cargas

Visualizar consultas e cargasO console do Amazon Redshift fornece informações sobre consultas e cargas executadas no bancode dados. Você pode usar essas informações para identificar e solucionar problemas de consultas quedemoram muito para serem processadas e criam gargalos que impedem outras consultas de seremprocessadas de maneira eficiente. É possível usar as informações de consultas no console do AmazonRedshift para monitorar o processamento de consultas.

Note


Novo console

Para exibir dados de desempenho de consultas


2. No menu de navegação, escolha QUERIES e Queries and loads (Consultas e cargas) para exibir alista de consultas de sua conta.

Por padrão, a lista exibe consultas de todos os seus clusters nas últimas 24 horas. É possível alterar oescopo da data exibida no console.

Important

A guia Queries and loads (Consultas e cargas) exibe as consultas executadas por maistempo no sistema, até 100 consultas.

Console original

Para exibir dados de desempenho da consulta


2. No painel de navegação, escolha Clusters.

352






3. Escolha o cluster para o qual deseja visualizar os dados de desempenho.4. Por padrão, a lista Consultas exibe o desempenho da consultas nas últimas 24 horas. Para alterar

os dados exibidos, use a lista Filter para selecionar o período da consulta. Também é possível digitaruma palavra-chave na caixa Pesquisar para pesquisar consultas correspondentes aos seus critérios.

Encerrar uma consulta em execuçãoVocê também pode usar a página Queries (Consultas) para encerrar uma consulta em andamento nomomento.

Note

A capacidade de encerrar consultas e cargas no Amazon Redshift console requer permissãoespecífica. Se você quiser que os usuários tenham permissão para encerrar consultas ecarregamentos, certifique-se de adicionar a ação redshift:CancelQuerySession à suapolítica do AWS Identity and Access Management (IAM). Esse requisito se aplicará se a políticagerenciada pela AWS Somente leitura do Amazon Redshift for selecionada ou uma políticapersonalizada for criada no IAM. Os usuários com a política Full Access do Amazon Redshiftjá têm a permissão necessária para encerrar consultas e cargas. Para obter mais informaçõessobre ações em políticas do IAM do Amazon Redshift, consulte Gerenciar o acesso aosrecursos (p. 222).

Note


Novo console

Para encerrar uma consulta em execução


2. No menu de navegação, escolha QUERIES e Queries and loads (Consultas e cargas) para exibir alista de consultas de sua conta.

3. Escolha a consulta em execução que você deseja encerrar na lista e escolha Terminate query(Encerrar consulta).

Console original

Para encerrar uma consulta em execução


2. No painel de navegação, escolha Clusters.3. Em Cluster, escolha o cluster que você quer abrir.4. Escolha a guia Queries.5. Faça uma das coisas a seguir:

• Na lista, selecione a consulta ou as consultas que você deseja encerrar e escolha Terminate Query.• Na lista, abra uma consulta se você quiser examinar as informações de consulta antes e selecione

Terminate Query.

353






6. Na caixa de diálogo Terminate Queries, escolha Confirm.

Visualizar detalhes da consultaÉ possível analisar os detalhes da consulta no console do Amazon Redshift. Com um identificador deconsulta, é possível visualizar os detalhes de uma consulta. Os detalhes podem incluir, por exemplo, ostatus de conclusão da consulta, a duração, a instrução SQL e se é uma consulta de usuário ou umaque foi regravada pelo Amazon Redshift. Uma consulta de usuário é uma consulta que é enviada parao Amazon Redshift, seja de um cliente SQL ou gerada por uma ferramenta de business intelligence.O Amazon Redshift pode regravar a consulta para otimizá-la, e isso pode resultar em várias consultasregravadas. Embora o processo seja feito pelo Amazon Redshift, você verá as consultas regravadas napágina de detalhes da consulta junto com a consulta do usuário.

Note


Novo console

Para visualizar uma consulta


2. No menu de navegação, escolha QUERIES e Queries (Consultas) para exibir a lista de consultas desua conta. Você pode precisar alterar as configurações nessa página para encontrar a sua consulta.

3. Escolha o identificador da Query (Consulta) na lista para exibir Query details (Detalhes da consulta).

A página Query details (Detalhes da consulta) inclui as guias Query details (Detalhes da consulta) eQuery plan (Plano de consulta) com métricas sobre a consulta.

As métricas incluem detalhes sobre uma consulta, como hora de início, ID da consulta, status eduração. Outros detalhes incluem se uma consulta foi executada em um cluster principal ou em umcluster de escalabilidade de simultaneidade e se ela é uma consulta pai ou regravada.

Console original

Você pode visualizar os detalhes de uma determinada consulta escolhendo uma consulta individual natabela da página Queries (Consultas) para abrir a visualização Query ID (ID da consulta). A lista a seguirdescreve as informações disponíveis para consultas individuais:

• Query Properties. Exibe um resumo das informações sobre a consulta, como o ID da consulta, ousuário do banco de dados que executou a consulta, a duração e seu status. A propriedade Executedon (Executada em) indica se a consulta foi executada em um cluster principal ou em um cluster deescalabilidade da simultaneidade.

• SQL. Exibe o texto da consulta em um formato amigável, legível por humanos.• Query Execution Details. Exibe informações sobre como a consulta foi processada. Esta seção inclui

dados de execução planejados e reais da consulta. Os detalhes da execução de consulta não estãodisponíveis para consultas executadas em um cluster de escalabilidade da simultaneidade. Para obterinformações sobre como usar a seção Query Execution Details, consulte Analisar a execução daconsulta (p. 355).

• Cluster Performance During Query Execution. Exibe métricas de desempenho do CloudWatch. Paraobter informações sobre como usar a seção Cluster Performance During Query Execution, consulteVisualizar o desempenho do cluster durante a execução da consulta (p. 362).

354




A exibição Query é semelhante à exibição a seguir quando você a abre.

Analisar a execução da consultaNote


355


Novo console

Para analisar uma consulta


2. No menu de navegação, escolha QUERIES e Queries and loads (Consultas e cargas) para exibira lista de consultas de sua conta. Você pode precisar alterar as configurações nessa página paraencontrar a sua consulta.

3. Escolha o identificador da Query (Consulta) na lista para exibir Query details (Detalhes da consulta).

A página Query details (Detalhes da consulta) inclui as guias Query details (Detalhes da consulta) eQuery plan (Plano de consulta) com métricas sobre a consulta.

Note

Também é possível navegar para a página Detalhes da consulta a partir de uma páginaDetalhes do cluster, guia Histórico de consultas durante uma busca detalhada em umaconsulta em um gráfico Tempo de execução da consulta.

A página Detalhes da consulta contém as seguintes seções:

• Uma lista de Consultas regravadas, como mostrado no screenshot seguinte.

• Uma seção de Detalhes da consulta, como mostrado no screenshot a seguir.

• Uma guia Detalhes da consulta que contém o SQL executado e Detalhes de execução sobre aexecução.

• Uma guia Plano de consulta que contém as etapas do Plano de consulta e outras informações sobre ele.Esta tabela também contém gráficos sobre o cluster quando a consulta foi executada.

356




• Status de integridade do cluster

• Utilização da CPU

• Capacidade de armazenamento utilizada

• Conexões de banco de dados ativas

357


Console original

Para exibir detalhes de execução da consulta


2. No painel de navegação, escolha Clusters.3. Em Cluster, escolha o cluster cujos detalhes de execução da consulta você deseja exibir.4. Escolha a guia Queries e abra a consulta cujos dados de desempenho você deseja exibir.5. Expanda a seção Query Execution Details e faça o seguinte:

a. Na guia Plan, examine o plano de explicação da consulta. Em alguns casos, você pode descobrirque seu plano de explicação é diferente da execução real da consulta na guia Actual. Nessescasos, pode ser necessário executar ANALYZE para atualizar estatísticas ou realizar outramanutenção no banco de dados para otimizar suas consultas. Para obter mais informaçõessobre a otimização da consulta, consulte Ajustar o desempenho da consulta no Amazon RedshiftDatabase Developer Guide.

b. Na guia Actual, examine os dados de desempenho associados a cada um dos nós do plano naexecução de consulta. Você pode escolher um nó de plano individual na hierarquia para exibir osdados de desempenho associados a esse nó de plano específico. Esses dados incluem os dadosde desempenho estimados e reais.

c. Na guia Metrics, Revise as métricas para cada um dos nós do cluster.

A seção Query Execution Details da exibição Query fornece informações sobre a maneira como a consultafoi processada. Esta seção combina dados de SVL_QUERY_REPORT, STL_EXPLAIN, além de outrasexibições e tabelas do sistema.

A seção Query Execution Details tem três guias:

• Plan. Esta guia mostra o plano de explicação da consulta exibida.

As informações na guia Plan são semelhantes à execução do comando EXPLAIN no banco de dados.O comando EXPLAIN examina o texto da consulta e retorna o plano de consulta. Você usa essasinformações para avaliar consultas e revisá-las em termos de eficiência e desempenho, se necessário. Ocomando EXPLAIN não executa a consulta de fato.

O exemplo a seguir mostra uma consulta que retorna os cinco principais vendedores em San Diego. Oresultado é baseado no número de tíquetes vendidos em 2008 e no plano dessa consulta.

explain select sellerid, username, (firstname ||' '|| lastname) as name,city, sum(qtysold)

358



https://docs.aws.amazon.com/redshift/latest/dg/c-optimizing-query-performance.html

https://docs.aws.amazon.com/redshift/latest/dg/r_SVL_QUERY_REPORT.html

https://docs.aws.amazon.com/redshift/latest/dg/r_STL_EXPLAIN.html


from sales, date, userswhere sales.sellerid = users.useridand sales.dateid = date.dateidand year = 2008and city = 'San Diego'group by sellerid, username, name, cityorder by 5 desclimit 5;

Para obter mais informações sobre como entender o plano de explicação, consulte Analisar o plano deexplicação no Guia do desenvolvedor de banco de dados do Amazon Redshift.

Ao executar efetivamente a consulta (omitindo o comando EXPLAIN), o mecanismo pode encontrarmaneiras de otimizar o desempenho da consulta e alterar a forma como ele processa a consulta.Os dados de desempenho real da consulta são armazenados em visualizações do sistema, comoSVL_QUERY_REPORT e SVL_QUERY_SUMMARY.

O console do Amazon Redshift usa uma combinação de STL_EXPLAIN, SVL_QUERY_REPORT eoutras visualizações e tabelas do sistema para apresentar o desempenho real da consulta e compará-lo com o plano de explicação da consulta. Essas informações são exibidas na guia Actual. Em algunscasos, é possível ver que o plano de explicação e as etapas reais de execução da consulta sãodiferentes. Nesses casos, pode ser necessário executar algumas operações no banco de dados, comoANALYZE, para atualizar estatísticas e tornar o plano de explicação mais eficaz.

Além disso, às vezes, o otimizador de consultas divide consultas SQL complexas em partes e criatabelas temporárias com a convenção de nomenclatura volt_tt_guid para processar a consulta demaneira mais eficiente. Neste caso, o plano de explicação e o resumo da execução da consulta realse aplicam à instrução executada mais recentemente. Você pode examinar IDs de consulta anteriorespara consultar o plano de explicação e o resumo da execução da consulta real de cada uma das partescorrespondentes da consulta.

Para obter mais informações sobre a diferença entre o plano de explicação e as visualizações e os logsdo sistema, consulte Analisar o resumo da consulta, no Guia do desenvolvedor do banco de dados doAmazon Redshift.

• Actual. Esta guia mostra as etapas e as estatísticas reais da consulta que foi executada. Essasinformações são exibidas em uma hierarquia textual e em gráficos visuais para Cronograma e Tempo deexecução.

359

https://docs.aws.amazon.com/redshift/latest/dg/c-query-planning.html

https://docs.aws.amazon.com/redshift/latest/dg/c-query-planning.html

https://docs.aws.amazon.com/redshift/latest/dg/r_SVL_QUERY_REPORT.html

https://docs.aws.amazon.com/redshift/latest/dg/r_SVL_QUERY_SUMMARY.html

https://docs.aws.amazon.com/redshift/latest/dg/r_STL_EXPLAIN.html

https://docs.aws.amazon.com/redshift/latest/dg/r_ANALYZE.html

https://docs.aws.amazon.com/redshift/latest/dg/c-analyzing-the-query-summary.html


A visualização de Cronograma mostra a sequência na qual as etapas reais da consulta são executadas.

A exibição Tempo de execução mostra o tempo utilizado para cada etapa da consulta. Ela pode serusada para entender quais etapas demoram mais para serem concluídas.

Cada visualização exibe Tempo médio e Tempo máximo.

A estatística Avg mostra o tempo médio de execução da etapa entre várias fatias de dados e aporcentagem do runtime de consulta total representada. A estatística Max mostra o tempo de execuçãomais longo da etapa em qualquer uma das fatias de dados, além da distorção. A distorção é a diferençaentre os tempos de execução médio e máximo da etapa.

Convém investigar uma etapa se as duas condições forem "true". Uma condição é que o tempo máximode execução está consistentemente maior que o dobro do tempo médio de execução em váriasexecuções da consulta. A outra condição é que a etapa também leva uma quantidade significativa detempo. Um exemplo é ela ser uma das três etapas principais no tempo de execução em uma consultagrande.

Note

Quando possível, execute uma consulta duas vezes para ver quais são os detalhes típicosda execução. A compilação adiciona custos indiretos à primeira execução da consulta nãopresente em execuções subsequentes.

Você pode escolher qualquer barra no gráfico para comparar os dados estimados do plano daexplicação com o desempenho real da consulta, conforme mostrado a seguir.

360


Se o otimizador da consulta tiver postado alertas para a consulta na tabela do sistemaSTL_ALERT_EVENT_LOG, os nós do plano associados aos alertas serão sinalizados com um ícone dealerta.

• Metrics (Métricas). Esta guia mostra as métricas da consulta que foi executada.

A métrica Rows returned (Linhas retornadas) é a soma do número de linhas produzidas durante cadaetapa da consulta.

361

https://docs.aws.amazon.com/redshift/latest/dg/r_STL_ALERT_EVENT_LOG.html


A métrica Bytes returned mostra o número de bytes retornados para cada nó do cluster.

A métrica Execution time mostra o tempo de execução da consulta para cada nó do cluster.

A métrica Row throughput mostra a quantidade de linhas retornadas dividida pelo tempo de execução daconsulta para cada nó do cluster.

Se uma consulta for executada mais devagar do que o esperado, você pode usar a guia Métricaspara solucionar as causas. Veja a métrica Taxa de transferência da linha. Se um dos nós do clusterparecer ter uma taxa de transferência de linha muito maior que os outros nós, a carga de trabalho serádistribuída de forma desigual entre os nós do cluster. Uma causa possível é que seus dados estãodistribuídos de forma desigual, ou distorcido entre as fatias do nó. Para obter mais informações, consulteIdentificar tabelas com desvio de dados ou linhas não classificadas.

Se os dados são distribuídos uniformemente, sua consulta pode filtrar pelas linhas que ficam localizadasprincipalmente nesse nó. Para corrigir esse problema, analise os estilos de distribuição para as tabelasda consulta e veja se melhorias podem ser feitas. Lembre-se de considerar o desempenho destaconsulta em relação ao desempenho de outras consultas importantes, além do sistema de forma geralantes de fazer quaisquer alterações. Para obter mais informações, consulte Escolher um estilo dedistribuição de dados.

Note

A guia de métricas não está disponível para clusters de nó único.

Visualizar o desempenho do cluster durante a execução da consultaNote


Novo console

Para exibir o desempenho do cluster durante a execução da consulta


2. No menu de navegação, escolha CLUSTERS e escolha o nome do cluster na lista para abriros detalhes. Os detalhes do cluster são exibidos, incluindo as guias Desempenho do cluster,Desempenho da consulta, Manutenção e monitoramento, Backup, Propriedades e Programação.

3. Escolha a guia Query monitoring (Monitoramento de consultas) para mais detalhes.

Para obter mais informações, consulte Visualizar dados do histórico de consultas (p. 342).

Console original

Você pode usar a seção Cluster Performance During Query Execution da visualização Query para exibiras métricas do cluster durante a execução da consulta. Isso ajuda a identificar consultas com baixodesempenho, procurar consultas em gargalo e saber se você precisa redimensionar seu cluster para suacarga de trabalho.

Para exibir métricas de cluster durante a execução de consulta


362

https://docs.aws.amazon.com/redshift/latest/dg/diagnostic-queries-for-query-tuning.html#identify-tables-with-data-skew-or-unsorted-rows.html

https://docs.aws.amazon.com/redshift/latest/dg/t_Distributing_data.html

https://docs.aws.amazon.com/redshift/latest/dg/t_Distributing_data.html






2. No painel de navegação, escolha Clusters.3. Em Cluster, escolha o cluster cujo desempenho você deseja exibir durante a execução da consulta.4. Escolha a guia Queries.5. Na lista de consultas, encontre a consulta com a qual você deseja trabalhar e escolha o ID de consulta

na coluna Query.

No exemplo a seguir, as consultas são classificadas por Run time (Tempo de execução) paraencontrar as consultas com os tempos de execução mais longos.

6. Na página Query aberta, role a tela até a seção Cluster Performance During Query Execution paraexibir as métricas do cluster.

No exemplo a seguir, as métricas CPUUtilization e NetworkReceiveThroughput são exibidaspelo tempo em que essa consulta estava em execução.

Tip

Você pode fechar os detalhes da seção Query Execution Details ou SQL para gerenciarquantas informações são exibidas no painel.

363

Amazon Redshift Guia de gerenciamento de clustersVisualizar métricas do cluster

durante as operações de carga

Visualizar métricas do cluster durante as operações decargaAo visualizar o desempenho do cluster durante operações de carga, é possível identificar consultas queestejam consumindo recursos e agir para atenuar o efeito. Você poderá encerrar uma carga se não quiserque ela seja executada até a conclusão.

Note

A capacidade de encerrar consultas e cargas no Amazon Redshift console requer permissãoespecífica. Se você quiser que os usuários tenham permissão para encerrar consultas ecarregamentos, certifique-se de adicionar a ação redshift:CancelQuerySession à suapolítica do AWS Identity and Access Management (IAM). Esse requisito se aplicará se a políticagerenciada pela AWS Somente leitura do Amazon Redshift for selecionada ou uma políticapersonalizada for criada no IAM. Os usuários com a política Full Access do Amazon Redshiftjá têm a permissão necessária para encerrar consultas e cargas. Para obter mais informaçõessobre ações em políticas do IAM do Amazon Redshift, consulte Gerenciar o acesso aosrecursos (p. 222).

Note


Novo console

Para exibir o desempenho do cluster durante operações de carga



3. Escolha a guia Query monitoring (Monitoramento de consultas) para mais detalhes.

364



Amazon Redshift Guia de gerenciamento de clustersVisualizar métricas do cluster

durante as operações de carga

4. Na seção Queries and loads (Consultas e cargas), escolha Loads (Cargas) para visualizar asoperações de carga de um cluster. Se a carga estiver em execução, você poderá encerrá-laescolhendo Terminate query (Encerrar consulta).

Console original

Para exibir métricas de cluster durante operações de carga


2. No painel de navegação, escolha Clusters.3. Em Cluster, escolha o cluster cujo desempenho você deseja exibir durante a execução da consulta.

4. Escolha a guia Loads.

5. Na lista de cargas, encontre a operação de carga com a qual você deseja trabalhar e escolha o ID decarga na coluna Load.

6. Na nova guia Query aberta, você pode exibir os detalhes da operação de carga.

Neste momento, você pode trabalhar com a guia Query conforme mostrado em Visualizar consultase cargas (p. 352). Você pode examinar os detalhes da consultoria e ver os valores das métricas decluster durante a operação de carga.

365



Amazon Redshift Guia de gerenciamento de clustersAnalisar o desempenho da carga de trabalho

Para encerrar uma carga em execução


2. No painel de navegação, escolha Clusters.3. Em Cluster, escolha o cluster que você quer abrir.4. Escolha a guia Loads.5. Faça uma das coisas a seguir:

• Na lista, selecione a carga ou as cargas que você deseja encerrar e escolha Terminate Load.• Na lista, abra uma carga se você quiser examinar as informações de carga antes e escolha

Terminate Load.6. Na caixa de diálogo Terminate Loads, escolha Confirm.

Analisar o desempenho da carga de trabalhoÉ possível obter uma visualização detalhada do desempenho de sua carga de trabalho observando ográfico Detalhamento da execução da carga de trabalho no console. Criamos o gráfico com os dadosfornecidos pela métrica QueryRuntimeBreakdown. Com esse gráfico, você pode visualizar quanto tempoas consultas passam nos diversos estágios de processamento, como em espera e planejamento.

Note

O gráfico Detalhamento da execução da carga de trabalho não é mostrado para clusters de nóúnico.

A lista de métricas a seguir descreve os diversos estágios de processamento:

• QueryPlanning: tempo gasto analisando e otimizando instruções SQL.• QueryWaiting: tempo gasto em espera na fila de gerenciamento da carga de trabalho (WLM).• QueryExecutingRead: tempo gasto executando consultas de leitura.• QueryExecutingInsert: tempo gasto executando consultas de inserção.• QueryExecutingDelete: tempo gasto executando consultas de exclusão.• QueryExecutingUpdate: tempo gasto executando consultas de atualização.• QueryExecutingCtas: tempo gasto executando consultas CREATE TABLE AS.• QueryExecutingUnload: tempo gasto executando consultas de descarregamento.• QueryExecutingCopy: tempo gasto executando consultas de cópia.

Por exemplo, o gráfico a seguir no console do Amazon Redshift mostra o tempo que as consultaspassaram nos estágios de planejamento, espera, leitura e gravação. Você pode combinar as descobertasdesse gráfico com outras métricas para obter análises adicionais. Em alguns casos, o gráfico pode mostrarque as consultas de curta duração (conforme medido pela métrica QueryDuration) estão passandomuito tempo no estágio de espera. Nesses casos, você pode aumentar a taxa de simultaneidade do WLMpara uma fila específica para aumentar a taxa de transferência.

Note


366




Novo console

Veja a seguir um exemplo do gráfico de detalhamento da execução da carga de trabalho. No gráfico, ovalor do eixo y é a duração média de cada estágio no tempo especificado mostrado como um gráfico debarras empilhadas.

O diagrama a seguir ilustra como o Amazon Redshift agrega o processamento de consultas para sessõessimultâneas.

367


Console original

O eixo Y no diagrama é cumulativo para todas as sessões executadas durante o período selecionado. Odiagrama a seguir ilustra como o Amazon Redshift agrega o processamento de consultas para sessõessimultâneas.

Exemplo de análise com o gráfico de análise de execução da carga de trabalho

Os diagramas a seguir ilustram como você pode usar o gráfico de análise de execução da carga detrabalho para otimizar o desempenho do cluster. No primeiro gráfico de exemplo, você pode visualizar quea maior parte do tempo das consultas foi durante o estágio QueryWaiting. Isso ocorreu devido a umvalor baixo de simultaneidade do WLM.

368


O gráfico a seguir ilustra a análise do tempo de execução de consultas após ajustar a simultaneidadepara um maior valor. No gráfico atualizado, você pode visualizar que a maior parte do tempo usadomudou do estágio QueryWaiting para os estágios QueryExecutingRead e QueryPlanning. Nessecaso, um tempo total mais longo é gasto na fase de planejamento porque mais consultas estão sendoexecutadas agora, durante a janela de tempo após ajustar a simultaneidade. Você pode verificar o númerode consultas em execução em um período específico com a métrica WLMQueriesCompletedPerSecond.

Esses gráficos demonstram como a alteração das configurações do cluster afetam o tempo que asconsultas passam nos diversos estágios. No caso anterior, inicialmente, as consultas passaram porum tempo de espera relativamente longo porque a configuração de simultaneidade estava baixa. Apósaumentar a simultaneidade, mais consultas serão processadas em paralelo, assim, diminuindo o tempo deespera e aumentando a taxa de transferência de consultas.

Note


Novo console

Para exibir o gráfico da análise da carga de trabalho do cluster


369



Amazon Redshift Guia de gerenciamento de clustersCriar um alarme



4. Na seção Monitoramento de consultas, escolha Desempenho do banco de dados e Métricas docluster.

As seguintes métricas são exibidas em gráfico para o período escolhido, como um gráfico de barrasempilhadas.

• Tempo de Plan (Planejamento)• Tempo de Wait (Espera)• Tempo deConfirmação• Tempo de Execução

Console original

Visualizar o gráfico de análise da carga de trabalho

Você pode visualizar o gráfico de análise da carga de trabalho no console.

Visualizar o gráfico de análise de execução da carga de trabalho


2. Selecione Clusters no painel de navegação.3. Selecione o cluster que você deseja analisar.4. Selecione a guia Database Performance (Desempenho do banco de dados).

Criar um alarmeOs alarmes criados por você no console do Amazon Redshift são alarmes do CloudWatch. Eles sãoúteis porque ajudam a tomar decisões proativas sobre o cluster e os bancos de dados. Você podedefinir um ou mais alarmes em qualquer uma das métricas listadas em Dados de desempenho doAmazon Redshift (p. 327). Por exemplo, definir um alarme para CPUUtilization alto em um nóde cluster ajudará a indicar quando o nó foi superutilizado. Da mesma maneira, definir um alarme paraCPUUtilization baixo em um nó de cluster ajudará a indicar quando o nó foi subutilizado.

Nesta seção, há informações sobre como encontrar um alarme usando o console do Amazon Redshift.Você pode criar um alarme usando o console do CloudWatch ou de qualquer outra maneira compatívelcom métricas, por exemplo, a AWS CLI ou um SDK da AWS. Para excluir um alarme, você também deveusar o console do CloudWatch.

Note


370




Novo console

Para criar um alarme do CloudWatch com o console do Amazon Redshift


2. No painel de navegação, escolha ALARMS (ALARMES) e Create alarm (Criar alarme).3. Na página Create alarm (Criar alarme), insira as propriedades para criar um alarme do CloudWatch.4. Selecione Create alarm (Criar alarme).

Console original

Para criar um alarme com base em uma métrica de cluster no console do Amazon Redshift


2. No painel de navegação, escolha Clusters.3. Em Cluster, escolha o cluster cujo desempenho você deseja exibir durante a execução da consulta.

4. Escolha a guia Events+Alarms.

5. Escolha Create Alarm.

6. Na caixa de diálogo Create Alarm, configure um alarme e escolha Create.

371






Note

As notificações que exibiram a caixa Send a notification to (Enviar notificação para) são ostópicos do Amazon Simple Notification Service (Amazon SNS). Para saber mais sobre oAmazon SNS e como criar tópicos, consulte Criar um tópico no Guia de conceitos básicosdo Amazon Simple Notification Service. Se não tiver tópicos no Amazon SNS, você poderácriar um na caixa de diálogo Create Alarm (Criar alarme) escolhendo o link create topic (criartópico).

Os detalhes do alarme variam de acordo com a circunstância. No exemplo a seguir, a utilização médiada CPU de um nó (Compute-0) tem um conjunto de alarmes. Se a CPU ficar acima de 80% por quatroperíodos consecutivos de cinco minutos, o alarme enviará uma notificação ao tópico redshift-example-cluster-alarms.

7. Na lista de alarmes, encontre o novo alarme.

Você precisará esperar alguns instantes até que haja dados suficientes para determinar o estado doalarme, conforme mostrado no exemplo a seguir.

Depois de alguns instantes, o estado deve mudar para OK.

8. (Opcional) Escolha Name (Nome) do alarme para alterar a configuração do alarme ou escolha o linkde visualização em More Options (Mais opções) para acessar esse alarme no console do CloudWatch.

372

https://docs.aws.amazon.com/sns/latest/gsg/CreateTopic.html

Amazon Redshift Guia de gerenciamento de clustersTrabalhar com métricas de desempenho

no console do CloudWatch

Trabalhar com métricas de desempenho no consoledo CloudWatchPara trabalhar com as métricas do Amazon Redshift no console do CloudWatch, lembre-se de duas coisas:

• Os dados de desempenho de consulta e carga estão disponíveis somente no console do AmazonRedshift.

• Algumas métricas no CloudWatch têm unidades diferentes das usadas no console do Amazon Redshift.Por exemplo, WriteThroughput é exibido em GB/s (em comparação com bytes/s no CloudWatch) queé uma unidade mais relevante para o espaço de armazenamento típico de um nó.

Ao trabalhar com métricas do Amazon Redshift no console do CloudWatch, nas ferramentas de linha decomando ou em um Amazon SDK, lembre-se destes conceitos:

1. Primeiro, você especifica a dimensão da métrica com a qual trabalhar. Uma dimensão é um par nome/valor, que ajuda a identificar com exclusividade uma métrica. As dimensões do Amazon Redshift sãoClusterIdentifier e NodeID. No console do CloudWatch, as visualizações Redshift Clustere Redshift Node são fornecidas para selecionar facilmente o cluster e as dimensões específicas donó. Para obter mais informações sobre dimensões, consulte Dimensões no Guia do Desenvolvedor doCloudWatch.

2. Depois, você especifica o nome da métrica, como ReadIOPS.

A tabela a seguir resume os tipos de dimensões de métrica do Amazon Redshift que você tem àdisposição. Dependendo da métrica, os dados são disponibilizados em intervalos de 1 minuto ou de 5minutos sem custo. Para obter mais informações, consulte Métricas do Amazon Redshift (p. 327).

Namespace doCloudWatch

Dimensão Descrição

NodeID Filtra os dados solicitados que são específicos para os nósde um cluster. NodeID é "Leader”, “Shared” ou “Compute-N”, sendo N 0, 1,... conforme o número de nós no cluster.“Shared” significa que o cluster tem apenas um nó, ou seja, onó principal e o nó de computação são combinados.

AWS/Redshift

ClusterIdentifierFiltra os dados solicitados que são específicos ao cluster.As métricas específicas a clusters incluem HealthStatus,MaintenanceMode e DatabaseConnections. De modogeral, métricas para esta dimensão (por exemplo, ReadIOPS)que também são métricas de nós representam um conjuntodos dados na métrica do nó. Atente-se ao interpretar essasmétricas porque elas reúnem o comportamento de nósprincipais e de computação.

Trabalhar com métricas de gateway e volume é semelhante a trabalhar com outras métricas de serviço.Muitas das tarefas comuns estão descritas na documentação do CloudWatch, incluindo as seguintes:

• Visualizar métricas disponíveis• Obter estatísticas de uma métrica• Criar alarmes do CloudWatch

373

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/cloudwatch_concepts.html#Dimension

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/getting-metric-statistics.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html


Eventos do Amazon RedshiftTópicos

• Visão geral (p. 374)• Visualização de eventos usando o console (p. 374)• Visualizar eventos usando o AWS SDK para Java (p. 376)• Visualização de eventos usando a CLI e API do Amazon Redshift (p. 377)• Notificações de eventos do Amazon Redshift (p. 377)

Visão geralO Amazon Redshift rastreia eventos e retém informações sobre eles por um período de várias semanasem sua conta da AWS. Para cada evento, o Amazon Redshift registra informações tais como a data emque o evento ocorreu, uma descrição, a origem do evento (por exemplo, um cluster, um parameter groupou snapshot) e o ID de origem.

O Amazon Redshift fornece notificação antecipadamente para alguns eventos. Esses eventos têm umacategoria de evento de pending. Por exemplo, enviamos uma notificação prévia se uma atualização dehardware for necessária para um dos nós no cluster. Você pode assinar eventos pendentes da mesmaforma que outros eventos do Amazon Redshift. Para obter mais informações, consulte Assinatura denotificações de eventos do Amazon Redshift (p. 378).

Você pode usar o console de gerenciamento do Amazon Redshift, a API do Amazon Redshift ou SDKsda AWS para obter informações de evento. É possível obter uma lista de todos os eventos ou aplicarfiltros, como a duração do evento ou a data de início e a data de término, a fim de obter informações sobreeventos para um período específico. Você também pode obter eventos que foram gerados por um tipoespecífico de origem, tais como eventos de cluster ou eventos de parameter group.

Você pode criar assinaturas de notificação de evento do Amazon Redshift que especificam um conjuntode filtros de evento. Quando um evento que corresponde aos critérios do filtro ocorrer, o Amazon Redshiftusará o Amazon Simple Notification Service para informá-lo ativamente de que o evento ocorreu.

Para ver uma lista de eventos do Amazon Redshift por tipo de origem e categoria, consulte the sectioncalled “Categorias de eventos e mensagens de eventos do Amazon Redshift” (p. 379)

Visualização de eventos usando o consoleNote


Novo consolePara visualizar eventos


2. No menu de navegação, escolha EVENTS (EVENTOS).

374



Amazon Redshift Guia de gerenciamento de clustersVisualização de eventos usando o console

Console originalPara visualizar eventos no console do Amazon Redshift, escolha Events (Eventos) no painel denavegação. Na lista de eventos, você pode filtrar os resultados usando Source Type (Tipo de origem) ouum valor de Filter (Filtro) personalizado que filtre texto em todos os campos da lista. Por exemplo, se vocêpesquisar 12 Dec 2012, você encontrará os campos Date (Data) que contiverem esse valor.

Um tipo de origem de evento indica sobre o que é o evento. Os seguintes tipos de origem são possíveis:Cluster, Parameter group de cluster, Security group de cluster e Snapshot.

Filtragem de eventos

Às vezes você pode desejar encontrar uma categoria específica de eventos ou eventos de um clusterespecífico. Nesses casos, você pode filtrar os eventos exibidos.

Para filtrar eventos


2. No painel de navegação, selecione Events.3. Para filtrar eventos, proceda de uma das seguintes maneiras:

a. Para filtrar por tipo de evento, escolha Filter Cluster (Filtrar cluster) e escolha o tipo de origem.

b. Para filtrar por texto na descrição do evento, insira um valor na caixa de pesquisa. A lista éreduzida com base no que você digita.

375



Amazon Redshift Guia de gerenciamento de clustersVisualizar eventos usando o AWS SDK para Java

Visualizar eventos usando o AWS SDK para JavaO exemplo a seguir lista os eventos de um cluster especificado e um tipo de origem do eventoespecificado. O exemplo mostra como usar a paginação.

Para obter instruções detalhadas sobre como executar o exemplo a seguir, consulte Execução deexemplos de Java para o Amazon Redshift usando o Eclipse (p. 317). Você precisa atualizar o código eespecificar um identificador de cluster e um tipo de origem do evento.

Example


// snippet-sourcedescription:[ListEvents demonstrates how to list Amazon Redshift events.]// snippet-service:[redshift]// snippet-keyword:[Java]// snippet-keyword:[Amazon Redshift]// snippet-keyword:[Code Sample]// snippet-keyword:[DescribeEvents]// snippet-sourcetype:[full-example]// snippet-sourcedate:[2019-01-31]// snippet-sourceauthor:[AWS]// snippet-start:[redshift.java.ListEvents.complete]


import java.util.Date;import java.io.IOException;


public class ListEvents {

public static AmazonRedshift client; public static String clusterIdentifier = "***provide cluster identifier***"; public static String eventSourceType = "cluster"; // e.g. cluster-snapshot


// Default client using the {@link com.amazonaws.auth.DefaultAWSCredentialsProviderChain}

client = AmazonRedshiftClientBuilder.defaultClient();

try { listEvents(); } catch (Exception e) { System.err.println("Operation failed: " + e.getMessage()); } }

376

Amazon Redshift Guia de gerenciamento de clustersVisualização de eventos usandoa CLI e API do Amazon Redshift

private static void listEvents() { long oneWeeksAgoMilli = (new Date()).getTime() - (7L*24L*60L*60L*1000L); Date oneWeekAgo = new Date(); oneWeekAgo.setTime(oneWeeksAgoMilli); String marker = null;

do { DescribeEventsRequest request = new DescribeEventsRequest() .withSourceIdentifier(clusterIdentifier) .withSourceType(eventSourceType) .withStartTime(oneWeekAgo) .withMaxRecords(20); DescribeEventsResult result = client.describeEvents(request); marker = result.getMarker(); for (Event event : result.getEvents()) { printEvent(event); } } while (marker != null);

} static void printEvent(Event event) { if (event == null) { System.out.println("\nEvent object is null."); return; }

System.out.println("\nEvent metadata:\n"); System.out.format("SourceID: %s\n", event.getSourceIdentifier()); System.out.format("Type: %s\n", event.getSourceType()); System.out.format("Message: %s\n", event.getMessage()); System.out.format("Date: %s\n", event.getDate()); }}// snippet-end:[redshift.java.ListEvents.complete]

Visualização de eventos usando a CLI e API doAmazon Redshift

Você pode usar as seguintes operações da CLI do Amazon Redshift para gerenciar eventos.

• describe-events

O Amazon Redshift fornece a API a seguir para exibição de eventos.

• DescribeEvents

Notificações de eventos do Amazon RedshiftVisão geralO Amazon Redshift usa o Amazon Simple Notification Service (Amazon SNS) para comunicar notificaçõesde eventos do Amazon Redshift. Você habilita notificações ao criar uma assinatura de evento do AmazonRedshift. Na assinatura do Amazon Redshift, especifique um conjunto de filtros para eventos do Amazon

377

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-events.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeEvents.html


Redshift e um tópico do Amazon SNS. Sempre que um evento que corresponda aos critérios do filtroocorre, o Amazon Redshift publica uma mensagem de notificação no tópico do Amazon SNS. Em seguida,o Amazon SNS transmite a mensagem para todos os consumidores do Amazon SNS que possuem umaassinatura do Amazon SNS para o tópico. As mensagens enviadas aos consumidores do Amazon SNSpodem ser em qualquer formato compatível com o Amazon SNS em uma região da AWS, como um e-mail,uma mensagem de texto ou uma chamada para um endpoint HTTP. Por exemplo, todas as regiões sãocompatíveis com notificações por e-mail, mas notificações por SMS podem ser criadas apenas na regiãoLeste dos EUA (Norte da Virgínia) Região.

Ao criar uma assinatura de notificação de evento, você especifica um ou mais filtros de evento. O AmazonRedshift envia notificações através da assinatura sempre que um evento que corresponda a todos oscritérios do filtro ocorrer. Os critérios de filtro incluem tipo de origem (tal como cluster ou snapshot), ID deorigem (tal como o nome de um cluster ou snapshot), categoria do evento (tal como monitoramento ousegurança) e os problemas de segurança do evento (tal como INFO ou ERRO).

Você pode facilmente desativar as notificações sem excluir uma assinatura ao configurar o botão deopção Enabled (Habilitado) como No no Console de gerenciamento da AWS ou ao configurar o parâmetroEnabled como false usando a CLI ou API do Amazon Redshift.

O faturamento para a notificação de eventos do Amazon Redshift é feito por meio do Amazon SimpleNotification Service (Amazon SNS). As taxas do Amazon SNS se aplicam quando você usa as notificaçõesde eventos. Para obter mais informações sobre o faturamento do Amazon SNS, consulte Definição depreço do Amazon Simple Notification Service.

Você também pode visualizar eventos do Amazon Redshift que ocorreram usando o console degerenciamento. Para obter mais informações, consulte Eventos do Amazon Redshift (p. 374).

Tópicos• Assinatura de notificações de eventos do Amazon Redshift (p. 378)

Assinatura de notificações de eventos do Amazon RedshiftVocê pode criar uma assinatura de notificação de evento do Amazon Redshift para que possa sernotificado quando um evento ocorrer para determinado cluster, snapshot, security group ou parametergroup. A forma mais fácil de criar uma assinatura é com o console do Amazon SNS Para obterinformações sobre como criar um tópico do Amazon SNS e assiná-lo, consulte Conceitos básicos doAmazon SNS.

Você pode criar uma assinatura de notificação de evento do Amazon Redshift para que possa sernotificado quando um evento ocorrer para determinado cluster, snapshot, security group ou parametergroup. A forma mais fácil de criar uma assinatura é com o Console de gerenciamento da AWS. Se vocêpreferir criar assinaturas de notificações de eventos usando a CLI ou API, você deve criar um tópico doAmazon Simple Notification Service e fazer a assinatura desse tópico com o console do Amazon SNS oua API do Amazon SNS. Você também precisará reter o nome de recurso da Amazon (ARN) do tópico, poisele é usado ao enviar comandos da CLI ou ações da API. Para obter informações sobre como criar umtópico do Amazon SNS e assiná-lo, consulte Conceitos básicos do Amazon SNS.

Uma assinatura de evento do Amazon Redshift pode especificar estes critérios de evento:

• O tipo de origem, os valores são cluster, snapshot, parameter-groups e security-groups.• ID de origem de um recurso, tal como my-cluster-1 ou my-snapshot-20130823. O ID deve ser

para um recurso na mesma região da AWS que a assinatura do evento.• Categoria de evento, os valores são configuração, gerenciamento, monitoramento e segurança.• Problemas de segurança do evento, os valores são INFO ou ERRO.

Os critérios de evento podem ser especificados de forma independente, mas você deve especificar um tipode origem antes de poder especificar IDs de origem no console. Por exemplo, você pode especificar uma

378

https://aws.amazon.com/sns/#pricing

https://aws.amazon.com/sns/#pricing




Amazon Redshift Guia de gerenciamento de clustersCategorias de eventos e mensagens

de eventos do Amazon Redshift

categoria de evento sem ter que especificar um tipo de origem, ID de origem ou problemas de segurança.Embora você possa especificar IDs de origem para recursos que não são do tipo especificado no tipode origem, nenhuma notificação será enviada para eventos desses recursos. Por exemplo, se vocêespecificar um tipo de origem de cluster e o ID de um security group, nenhum dos eventos levantados poraquele security group corresponderia ao critério de filtro para tipo de origem, portanto nenhuma notificaçãoseria enviada para tais eventos.

O Amazon Redshift envia uma notificação para qualquer evento que corresponda a todos os critériosespecificados em uma assinatura. Alguns exemplos de conjuntos de eventos retornados:

• A assinatura especifica um tipo de origem de cluster, um ID de origem de my-cluster-1, uma categoria demonitoramento e um problema de segurança de ERRO. A assinatura enviará notificações somente paraeventos de monitoramento com um problema de segurança ERRO do my-cluster-1.

• A assinatura especifica um tipo de origem de cluster, uma categoria de configuração e um problema desegurança de INFO. A assinatura enviará notificações para eventos de configuração com um problemade segurança de INFO de qualquer cluster do Amazon Redshift na conta da AWS.

• A assinatura especifica uma categoria de configuração e um problema de segurança de INFO. Aassinatura enviará notificações para eventos de configuração com um problema de segurança de INFOa partir de qualquer recurso do Amazon Redshift na conta da AWS.

• A assinatura especifica um problema de segurança de ERRO. A assinatura enviará notificações paratodos os eventos com um problema de segurança de ERRO a partir de qualquer recurso do AmazonRedshift na conta da AWS.

Se você excluir ou renomear um objeto cujo o nome é mencionado como um ID de origem em umaassinatura existente, a assinatura permanecerá ativa, mas não terá eventos para enviar a partir desseobjeto. Se você mais tarde criar um novo objeto com o mesmo nome mencionado no ID de origem daassinatura, a assinatura começará a enviar notificações para eventos a partir do novo objeto.

O Amazon Redshift publica notificações de eventos em um tópico do Amazon SNS identificado por seunome de recurso da Amazon (ARN). Ao criar uma assinatura de evento usando o console do AmazonRedshift, você pode especificar um tópico do Amazon SNS existente ou solicitar que o console crie umtópico ao criar a assinatura. Todas as notificações de eventos do Amazon Redshift enviadas ao tópico doAmazon SNS são, por sua vez, transmitidas a todos os consumidores do Amazon SNS que assinam essetópico. Use o console do Amazon SNS para fazer alterações no tópico do Amazon SNS, como adicionarou remover assinaturas de consumidores do tópico. Para obter mais informações sobre a criação e aassinatura de tópicos do Amazon SNS, acesse Conceitos básicos do Amazon Simple Notification Service.

A seguinte seção lista todas as categorias e eventos sobre os quais você pode ser notificado. Ela tambémfornece informações sobre como assinar e trabalhar com assinaturas de eventos do Amazon Redshift.

Categorias de eventos e mensagens de eventos doAmazon RedshiftEsta seção mostra os IDs e as categorias de evento para cada tipo de origem do Amazon Redshift.

A tabela a seguir mostra a categoria de evento e uma lista de eventos quando um cluster é o tipo deorigem.

Categoriado AmazonRedshift

ID do evento Gravidadedo evento

Descrição

Configuração REDSHIFT-EVENT-1000

INFO O parameter group [nome do parameter group]foi atualizado às [hora]. Se você alterou apenasos parâmetros dinâmicos, os clusters associados

379






Descrição

estão sendo modificados agora. Se você alterouos parâmetros estáticos, todas as atualizações,incluindo parâmetros dinâmicos, serão aplicadasquando você reinicializar os clusters associados.


INFO Seu cluster do Amazon Redshift [nome do cluster]foi modificado para usar o parameter group [nomedo parameter group] às [horas].


ERROR A Amazon VPC [nome da VPC] não existe.Suas alterações de configuração para o cluster[nome do cluster] não foram aplicadas. Visite oConsole de gerenciamento da AWS para corrigiro problema.


ERROR As sub-redes de clientes [nome da sub-rede]que você especificou para a Amazon VPC[nome da VPC] não existem ou são inválidas.Suas alterações de configuração para o cluster[nome do cluster] não foram aplicadas. Visite oConsole de gerenciamento da AWS para corrigiro problema.


ERROR As sub-redes no grupo de sub-redes do cluster[nome do grupo de sub-redes] não possuemendereços IP disponíveis. O cluster [nome docluster] não pôde ser criado.


ERROR A Amazon VPC [nome da VPC] não tem umgateway de internet anexado a ela. Suasalterações de configuração para o cluster [nomedo cluster] não foram aplicadas. Visite o Consolede gerenciamento da AWS para corrigir oproblema.


ERROR O HSM para o cluster [nome do cluster] estáinacessível.


ERROR O HSM para o cluster [nome do cluster] não podeser registrado. Tente uma configuração diferente.


ERROR O Amazon Redshift excedeu o limite de interfacede rede elástica da sua conta. Exclua até [númeromáximo de interfaces de rede elásticas] interfacesde rede elásticas ou solicite um aumento de limitedo número de interfaces de rede por região daAWS com o EC2.

GerenciamentoREDSHIFT-EVENT-2000

INFO Seu cluster do Amazon Redshift: [nome docluster] foi criado e está pronto para uso.


INFO Seu cluster do Amazon Redshift [nome do cluster]foi excluído às [hora]. Um snapshot final [foi/nãofoi] salvo.

380





Descrição


INFO Seu security group de VPC [nome do securitygroup] foi atualizado às [hora].


INFO A manutenção começou em seu cluster doAmazon Redshift [nome do cluster] às [hora].O cluster pode não estar disponível durante amanutenção.


INFO A manutenção foi concluída em seu cluster doAmazon Redshift [nome do cluster] às [hora].


INFO Um redimensionamento para seu clusterdo Amazon Redshift [nome do cluster] foiiniciado às [hora]. Seu cluster ficará emmodo somente leitura durante a operação deredimensionamento.


INFO O redimensionamento para seu cluster doAmazon Redshift [nome de cluster] está emandamento. Seu cluster está em modo somenteleitura.


INFO Sua operação de restauração para criaçãode um novo snapshot [nome do snapshot] docluster do Amazon Redshift [nome do cluster] foiiniciada às [hora]. Para monitorar o progresso derestauração, acesse o Console de gerenciamentoda AWS.


INFO Seu cluster do Amazon Redshift [nome do cluster]foi renomeado às [hora].


INFO Uma solicitação de restauração de tabela para ocluster do Amazon Redshift [nome de cluster] foirecebida.


INFO A restauração da tabela foi cancelada para ocluster do Amazon Redshift [nome do cluster] às[hora].


INFO A substituição de seu cluster do Amazon Redshift[nome do cluster] foi iniciada às [hora].


INFO A manutenção iniciada pelo cliente começou emseu cluster [nome do cluster] do Amazon Redshiftàs [horário]. O cluster pode não estar disponíveldurante a manutenção.


INFO A manutenção iniciada pelo cliente foi concluídaem seu cluster [nome do cluster] do AmazonRedshift às [horário].

381





Descrição


ERROR A manutenção iniciada pelo cliente falhou em seucluster [nome do cluster] do Amazon Redshift às[horário]. Retornar o cluster de volta ao estadooriginal.


INFO A trilha do seu cluster [cluster name] do AmazonRedshift foi modificada de [de trilha] para [paratrilha].


ERROR A [operação] do cluster do Amazon Redshift[nome do cluster] não obteve êxito ao adquirircapacidade do nosso grupo de capacidade.Estamos trabalhando para adquirir capacidademas, por ora, cancelamos sua solicitação. Excluaeste cluster e tente novamente mais tarde.


ERROR A [operação] do cluster do Amazon Redshift[nome do cluster] não obteve êxito ao adquirircapacidade do nosso grupo de capacidade.Estamos trabalhando para adquirir capacidademas, por ora, cancelamos sua solicitação.A capacidade está disponível em [zonas dedisponibilidade alternativas]. Exclua esse cluster etente novamente em uma zona de disponibilidadealternativa.


ERROR Detectamos uma falha de hardware no cluster doAmazon Redshift de nó único [nome do cluster],que pode ter resultado em consultas com falhaou disponibilidade intermitente do cluster. Asubstituição do cluster não foi bem-sucedidadurante a aquisição de capacidade do nossogrupo de capacidade. Você precisará restaurarum novo cluster de um snapshot. Exclua estecluster, selecione o último snapshot disponível erestaure um novo cluster desse snapshot. Isso iráprovisioná-lo automaticamente em um hardwareíntegro.


ERROR Detectamos uma falha de hardware no clusterdo Amazon Redshift de nó único [nome docluster], que pode ter resultado em consultascom falha ou disponibilidade intermitente docluster. A substituição do cluster não foi bem-sucedida durante a aquisição de capacidade donosso grupo de capacidade. A capacidade estádisponível na zona de disponibilidade: [zonasde disponibilidade alternativas]. Exclua estecluster, selecione o último snapshot disponível erestaure um novo cluster desse snapshot. Isso iráprovisioná-lo automaticamente em um hardwareíntegro.

382





Descrição


INFO Redimensionamento elástico para o cluster doAmazon Redshift "[nome do cluster]" iniciado à(s)[hora]. Manteremos as conexões do banco dedados durante o redimensionamento. Algumasconsultas e conexões podem ser encerradas ouexpiradas durante essa operação.


INFO Recebemos uma solicitação deredimensionamento elástico para o cluster"[nome do cluster]" iniciado à(s) [hora].Forneceremos uma notificação de evento quandoo redimensionamento começar.

Pendente REDSHIFT-EVENT-2025

INFO Seu banco de dados para cluster <nome docluster> será atualizado entre <hora inicial> e<hora final>. Seu cluster não estará acessível.Planeje adequadamente.


INFO Seu cluster <nome do cluster> será atualizadoentre <hora inicial> e <hora final>. Seu clusternão estará acessível. Planeje adequadamente.

Monitoramento REDSHIFT-EVENT-2050

INFO Um problema de hardware for detectado nocluster [nome do cluster] do Amazon Redshift.Uma solicitação de substituição foi iniciada às[hora].


INFO Seu cluster do Amazon Redshift [nome do cluster]foi reinicializado às [hora].


INFO Um nó em seu cluster do Amazon Redshift:[nome do cluster] foi substituído automaticamenteàs [hora] e seu cluster está operandonormalmente.


INFO O redimensionamento para seu cluster doAmazon Redshift [nome do cluster] está concluídoe seu cluster está disponível para leituras egravações. O redimensionamento foi iniciado às[hora] e levou [horas] para ser concluído.


INFO O cluster do Amazon Redshift [nome de cluster]foi criado com êxito a partir do snapshot [nome dosnapshot] e está disponível para uso.


INFO O snapshot do Amazon Redshift [nome dosnapshot] foi copiado com êxito da [região daAWS de origem] para a [região da AWS dedestino] às [hora].


INFO A restauração da tabela foi iniciada para o clusterdo Amazon Redshift [nome do cluster] às [hora].

383





Descrição


INFO A restauração da tabela foi concluída com êxitopara o cluster do Amazon Redshift [nome docluster] às [hora].


ERROR A restauração da tabela falhou para o cluster doAmazon Redshift [nome do cluster] às [hora].


ERROR A operação de redimensionamento elásticosolicitada para o cluster [nome do cluster] doAmazon Redshift falhou em [hora] devido a[motivo].


INFO Amazon Redshift rebooted cluster [cluster name]em [time].


ERROR O redimensionamento para seu cluster doAmazon Redshift [nome de cluster] falhou. Umanova tentativa de redimensionamento serárealizada automaticamente em alguns minutos.


ERROR Sua operação de restauração para criação de umnovo cluster [nome do cluster] do snapshot doAmazon Redshift [nome do snapshot] falhou às[hora]. Tente sua operação novamente.


ERROR O bucket do Amazon S3 [nome do bucket] não éválido para registro do cluster [nome do cluster].


ERROR O bucket do Amazon S3 [nome do bucket] nãopossui as políticas corretas do IAM para o cluster[nome do cluster].


ERROR O bucket do Amazon S3 [nome do bucket] nãoexiste. O registro não pode continuar para ocluster [nome do cluster].


ERROR O cluster do Amazon Redshift [nome do cluster]não pode ser criado usando o EIP [endereço IP].Este EIP já está em uso.


ERROR O cluster do Amazon Redshift [nome do cluster]não pode ser criado usando o EIP [endereço IP].O EIP não pode ser encontrado.


ERROR A cópia de snapshots entre regiões não estáhabilitada para o cluster [nome do cluster].


ERROR A restauração da tabela falhou em começar parao cluster do Amazon Redshift [nome do cluster]às [hora]. Razão: [razão].


ERROR A restauração da tabela falhou para o cluster doAmazon Redshift [nome do cluster] às [hora].

384





Descrição


ERROR O cluster do Amazon Redshift [nome do cluster]falhou devido a um problema de hardware. Ocluster está sendo automaticamente restauradoa partir do último snapshot [nome do snapshot]criado às [hora].


ERROR O cluster do Amazon Redshift [nome do cluster]falhou devido a um problema de hardware. Ocluster está sendo automaticamente restauradoa partir do último snapshot [nome do snapshot]criado às [hora]. Todas as alterações no bancode dados realizadas após esta hora precisam serreenviadas.


ERROR O cluster do Amazon Redshift [nome do cluster]falhou devido a um problema de hardware. Ocluster está sendo colocado no status de falhade hardware. Exclua o cluster e restaure a partirdo último snapshot [nome do snapshot] criado às[hora].


ERROR O cluster do Amazon Redshift [nome do cluster]falhou devido a um problema de hardware. Ocluster está sendo colocado no status de falhade hardware. Exclua o cluster e restaure a partirdo último snapshot [nome do snapshot] criadoàs [hora]. Todas as alterações no banco dedados realizadas após esta hora precisam serreenviadas.


ERROR O cluster do Amazon Redshift [nome do cluster]falhou devido a um problema de hardware enão há backups do cluster. O cluster está sendocolocado no status de falha de hardware e podeser excluído.


INFO O cluster [nome do cluster] começou areinicialização às [hora].


INFO O cluster [nome do cluster] concluiu areinicialização às [hora].


INFO Detectamos um problema de conectividade nocluster “[nome do cluster]”. Uma verificação dediagnóstico automatizada foi iniciada às [hora].


INFO A ação de recuperação no cluster “[nome decluster]” falhou às [hora]. A equipe do AmazonRedshift está trabalhando em uma solução.


ERROR O redimensionamento de cluster em '[nome docluster]' foi cancelado às [hora]. A operação foicancelada porque [motivo]. [ação necessária].

385





Descrição


INFO O redimensionamento elástico para o cluster doAmazon Redshift "[nome do cluster]" concluídoà(s) [hora]. O cluster está agora disponívelpara operações de leitura e gravação enquantotransferimos dados. Algumas consultas podemlevar mais tempo para finalização até que atransferência de dados seja concluída.


INFO A operação de redimensionamento solicitadapara o cluster do Amazon Redshift '[nome docluster]' foi cancelada no passado. A reversão foiconcluída às [hora].


INFO Um nó em seu cluster <nome do cluster> serásubstituído entre <hora inicial> e <hora final>.Não é possível adiar essa manutenção. Planejeadequadamente.


INFO Um nó em seu cluster <nome do cluster> estáagendado para ser substituído entre <hora inicial>e <hora final>. Seu cluster não estará acessível.Planeje adequadamente.


INFO Falha na operação de restauração para criaçãode um cluster [nome do cluster] do snapshot[nome do snapshot] devido a um erro interno.O cluster está sendo colocado no status derestauração incompatível e pode ser excluído.Tente restaurar o snapshot em um cluster comuma configuração diferente.


INFO A ação agendada [nome da ação agendada] foicriada às [hora em UTC]. A primeira chamadaestá agendada para as [hora em UTC].


INFO A ação agendada [nome da ação agendada] foiagendada para as [hora em UTC].


INFO A ação agendada [nome da ação agendada]às [hora em UTC] foi encerrada com o status'SUCCEEDED'.


ERROR A ação agendada [nome da ação agendada] nãoocorreu às [hora em UTC] devido ao atraso.


INFO A ação agendada [nome da ação agendada]foi modificada às [hora em UTC]. A primeirachamada está agendada para as [hora em UTC].


INFO A ação agendada [nome da ação agendada] foiexcluída às [hora em UTC].


ERROR A ação agendada [nome da ação agendada]às [hora em UTC] foi encerrada com o status'FAILED'.

386





Descrição

Segurança REDSHIFT-EVENT-4000

INFO Suas credenciais principais para seu clusterdo Amazon Redshift: [nome do cluster] foramatualizadas às [hora].


INFO O security group [nome do security group] foimodificado às [hora]. As alterações ocorrerãoautomaticamente para todos os clustersassociados.


ERROR O security group [nome do security group] quevocê forneceu é inválido. Suas alterações deconfiguração para o cluster [nome do cluster]não foram aplicadas. Visite o Console degerenciamento da AWS para corrigir o problema.


ERROR O security group [nome do security group]especificado no security group de cluster[nome do security group de cluster] não pôdeser encontrado. A autorização não pode serconcluída.

A tabela a seguir mostra a categoria de evento e uma lista de eventos quando um parameter group é o tipode origem.

Categorias e eventos para o tipo de origem do grupo de parâmetros


ID do evento Gravidade doevento

Descrição


INFO O parâmetro [nome do parâmetro] foiatualizado de [valor] para [valor] às [hora].


INFO O parameter group de cluster [nome dogrupo] foi criado.


INFO O parameter group de cluster [nome dogrupo] foi excluído.


INFO O parameter group de cluster [nome ]foi atualizado às [hora]. Se você alterouapenas os parâmetros dinâmicos, os clustersassociados estão sendo modificados agora.Se você alterou os parâmetros estáticos,todas as atualizações, incluindo parâmetrosdinâmicos, serão aplicadas quando vocêreinicializar os clusters associados.

As tabelas a seguir mostram a categoria de evento e uma lista de eventos quando um security group é otipo de origem.

Categorias e eventos o tipo de origem do grupo de segurança

387





Descrição


INFO O security group de cluster [nome do grupo]foi criado.


INFO O security group de cluster [nome do grupo]foi excluído.


INFO O security group de cluster [nome do grupo]foi alterado às [hora]. As alterações serãoautomaticamente aplicadas para todos osclusters associados.

As tabelas a seguir mostram a categoria de evento e uma lista de eventos quando um snapshot é o tipo deorigem.

Categorias e eventos para o tipo de origem do snapshot



Descrição

Gerenciamento REDSHIFT-EVENT-2009

INFO Um snapshot de usuário [nome do snapshot]do cluster do Amazon Redshift [nome docluster] foi iniciado às [hora]. Para monitorar oprogresso do snapshot, acesse o Console degerenciamento da AWS.


INFO O snapshot de usuário [nome do snapshot]para seu cluster do Amazon Redshift [nomedo cluster] foi cancelado às [hora].


INFO O snapshot de usuário [nome do snapshot]do cluster do Amazon Redshift [nome docluster] foi excluído às [hora].


INFO O snapshot final [nome do snapshot] docluster do Amazon Redshift [nome do cluster]foi iniciado às [hora].


INFO O snapshot de usuário [nome do snapshot]para seu cluster do Amazon Redshift [nomedo cluster] foi concluído com êxito às [hora].


INFO O snapshot final [nome do snapshot] parao cluster do Amazon Redshift [nome] foiconcluído com êxito às [hora].


INFO O snapshot final [nome do snapshot] para ocluster do Amazon Redshift [nome do cluster]foi cancelado às [hora].


ERROR O snapshot final [nome do snapshot] para ocluster do Amazon Redshift [nome do cluster]falhou às [hora]. A equipe está investigando o

388

Amazon Redshift Guia de gerenciamento de clustersGerenciamento de notificações de evento

usando o console do Amazon Redshift



Descrição

problema. Visite o Console de gerenciamentoda AWS para tentar a operação novamente.


ERROR O snapshot de usuário [nome do snapshot]para seu cluster do Amazon Redshift [nomedo cluster] falhou às [hora]. A equipe estáinvestigando o problema. Visite o Consolede gerenciamento da AWS para tentar aoperação novamente.

Gerenciamento de notificações de evento usando oconsole do Amazon RedshiftTópicos

• Criação de uma assinatura de notificação de evento (p. 389)

Você pode criar uma assinatura de notificação de evento do Amazon Simple Notification Service (AmazonSNS) para enviar notificações quando um evento ocorre para determinado cluster, snapshot, securitygroup ou parameter group do Amazon Redshift. Essas notificações são enviadas para um tópico SNSque, por sua vez, transmite as mensagens para todos os consumidores do SNS inscritos no tópico. Asmensagens do SNS aos consumidores podem ser em qualquer formato de notificação compatível como Amazon SNS para uma região da AWS, como um e-mail, uma mensagem de texto ou uma chamadapara um endpoint HTTP. Por exemplo, todas as regiões são compatíveis com notificações por e-mail, masnotificações por SMS podem ser criadas apenas na região Leste dos EUA (Norte da Virgínia) Região. Paraobter mais informações, consulte Notificações de eventos do Amazon Redshift (p. 377).

Esta seção descreve como gerenciar assinaturas de notificações de eventos do Amazon Redshift a partirdo Console de gerenciamento da AWS.

Criação de uma assinatura de notificação de eventoNote


Novo console

Para criar uma assinatura de evento


2. No menu de navegação, escolha EVENTS (EVENTOS).3. Selecione a guia Event subscription (Assinatura de evento) e Create event subscriptions (Criar

assinaturas de eventos).4. Insira as propriedades de sua assinatura de evento, como nome, tipo de origem, categoria e

gravidade. Também é possível habilitar tópicos do Amazon SNS para ser notificado sobre eventos.

389





5. Escolha Create event subscriptions (Criar assinaturas de eventos) para criar sua assinatura.

Console original

Para criar uma assinatura de notificação de evento do Amazon Redshift


2. No painel de navegação, escolha Events (Eventos) e escolha a aba Subscriptions (Assinaturas).3. No painel Subscriptions (Assinaturas), escolha Create event subscription (Criar assinatura de evento).4. Na caixa de diálogo Create Event Subscription, faça o seguinte:

a. Use o painel Configurações de assinatura para especificar os critérios de filtro do evento. Àmedida que você seleciona os critérios, a lista Subscribed Events (Eventos inscritos) exibe oseventos do Amazon Redshift que correspondem aos critérios. Faça o seguinte:

i. Para Categories (Categorias), escolha uma ou mais categorias de evento. Para especificartodas as categorias, escolha Category (Categoria). Para escolher um subconjunto decategorias, escolha os botões para as categorias a serem incluídas.

ii. Para Severity (Gravidade), escolha uma gravidade de evento. Se você escolher Any(Qualquer), eventos com gravidades INFO ou ERROR serão publicados. Se você escolherError (Erro), apenas eventos com gravidade ERROR serão publicados.

iii. Em Source Type (Tipo de origem), escolha um tipo de origem. Somente eventos gerados porrecursos desse tipo de origem, como clusters ou parameter groups de cluster, são publicadospela assinatura do evento.

iv. Para Resources (Recursos), especifique se os eventos serão publicados de todos osrecursos que possuem o tipo de origem especificado ou apenas um subconjunto. EscolhaAny para publicar eventos de todos os recursos do tipo especificado. Selecione ChooseSpecific (Escolher específico) se quiser selecionar recursos específicos.

Note

O nome da caixa Recurso muda para corresponder ao valor especificado em Tipode origem. Por exemplo, se você escolher Cluster em Source Type (Tipo de origem),o nome da caixa Resources (Recursos) mudará para Clusters.

Se você selecionar Choose Specific (Escolher específico), poderá especificar os IDs dosrecursos específicos cujos eventos serão publicados pela assinatura do evento. Vocêespecifica um recurso por vez e os adiciona à assinatura do evento. Você pode especificarsomente os recursos que estejam na mesma região da AWS que a assinatura do evento. Oseventos que você especificou são listados abaixo da caixa Specify IDs (Especificar IDs).

A. Para especificar um recurso existente, localize o recurso na caixa Specify IDs(Especificar IDs) e escolha o botão + na coluna Add (Adicionar).

B. Para especificar o ID de um recurso antes de criá-lo, digite-o na caixa abaixo de SpecifyIDs (Especificar IDs) e escolha Add (Adicionar). Você pode fazer isso para adicionarrecursos que você planeja criar mais tarde.

C. Para remover um recurso da assinatura de evento, escolha a caixa X à direita dorecurso.

b. Na parte inferior do painel, insira um nome para a assinatura de notificação de evento em Name(Nome).

c. Escolha Yes para habilitar a assinatura. Se quiser criar a assinatura, mas ainda não tiverenviado notificações, escolha No (Não). Uma mensagem de confirmação será enviada quando aassinatura for criada, independente dessa configuração.

d. Selecione Next (Próximo) para prosseguir para a especificação do tópico do Amazon SNS.

390





e. Use uma das três abas para especificar o tópico do Amazon SNS que a assinatura usa parapublicar eventos.

i. Para escolher um tópico do Amazon SNS existente de uma lista, selecione a aba UseExisting Topic (Usar tópico existente) e escolha o tópico na lista.

ii. Para especificar um tópico do Amazon SNS existente por seu nome de recurso da Amazon(ARN), escolha a aba Provide Topic ARN (Fornecer ARN do tópico) e especifique o ARN nacaixa ARN:. Você pode localizar o ARN de um tópico do Amazon SNS usando o console doAmazon SNS:

A. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SNS emhttps://console.aws.amazon.com/sns/v3/home.

B. No painel de Navegação, expanda Tópicos.C. Clique no tópico a ser incluído na assinatura de evento do Amazon Redshift.D. No painel de Detalhes do tópico, copie o valor do campo ARN do tópico:.

iii. Para que a operação de criação de assinatura também crie um novo tópico do Amazon SNS,escolha a aba Create New Topic (Criar novo tópico) e faça o seguinte:

A. Digite um nome para o tópico para Name (Nome).B. Para cada destinatário de notificação, escolha o método de notificação na caixa de

listagem Send (Enviar), especifique um endereço válido na caixa to (para) e clique emAdd Recipient (Adicionar destinatário). Você pode criar entradas SMS somente no Lestedos EUA (Norte da Virgínia) Região.

C. Para remover um destinatário, clique no X vermelho na coluna Remove (Remover).

391

https://console.aws.amazon.com/sns/v3/home



5. Para criar a assinatura, escolha Create (Criar). Para excluir a definição sem criar uma assinatura,escolha Cancel (Cancelar). Para voltar para as configurações de assinatura, clique em Previous(Anterior).

(Console original) Gerenciar assinaturas de eventos

Listar suas assinaturas de notificações de eventos do Amazon Redshift

Você pode listar suas atuais assinaturas de notificações de eventos do Amazon Redshift.

Para listar suas atuais assinaturas de notificações de eventos do Amazon Redshift


2. No painel de navegação, selecione Events. A guia Assinaturas exibe todas as suas assinaturas denotificações de eventos atuais.

Modificar uma assinatura de notificação de evento do Amazon Redshift

Depois que você criar uma assinatura, é possível alterar o nome, identificador de origem, categorias ouARN do tópico da assinatura.

Para modificar uma assinatura de notificação de evento do Amazon Redshift


2. No painel de navegação, escolha Events (Eventos) e escolha a aba Subscriptions (Assinaturas).3. No painel Subscriptions (Assinaturas), escolha a assinatura que deseja modificar e depois escolha

Edit (Editar).4. Na caixa de diálogo Modificar assinatura de evento, faça o seguinte:

a. Use o painel Configurações de assinatura para alterar os critérios de filtro do evento. À medidaque você seleciona os critérios, a lista Subscribed Events (Eventos inscritos) exibe os eventos doAmazon Redshift que correspondem aos critérios. Faça o seguinte:

i. Para Categories (Categorias), escolha uma ou mais categorias de evento. Para especificartodas as categorias, escolha Category (Categoria). Para escolher um subconjunto decategorias, escolha os botões para as categorias a serem incluídas.

ii. Para Severity (Gravidade), escolha uma gravidade de evento.

392







iii. Em Source Type (Tipo de origem), escolha um tipo de origem.iv. Para Resources (Recursos), escolha os IDs dos recursos do tipo de origem fornecido.

Somente eventos levantados pelos recursos especificados são publicados pela assinatura.b. Para Enabled (Habilitada), escolha Yes (Sim) para habilitar a assinatura. Escolha No (Não) para

desabilitar a assinatura.c. Escolha Next (Próximo) para prosseguir para a alteração do tópico do Amazon SNS.d. Use uma das três abas para alterar o tópico do Amazon SNS que a assinatura usa para publicar

eventos.

i. Para escolher um tópico do Amazon SNS existente em uma lista, selecione a aba UseExisting Topic (Usar tópico existente) e escolha o tópico na lista.

ii. Para especificar um do Amazon SNS existente por seu nome de recurso da Amazon (ARN),escolha a aba Provide ARN (Fornecer ARN) e especifique o ARN na caixa ARN:.

iii. Para que a operação de modificação de assinatura também crie um novo tópico do AmazonSNS, escolha a aba Create New Topic (Criar novo tópico) e faça o seguinte:

A. Insira um nome para o tópico para Name (Nome).B. Para cada destinatário de notificação, escolha o método de notificação na caixa de

listagem Send (Enviar), especifique um endereço válido na caixa to (para) e clique emAdd Recipient (Adicionar destinatário). Você pode criar entradas SMS somente no Lestedos EUA (Norte da Virgínia) Região.

C. Para remover um destinatário, clique no X vermelho na coluna Remove (Remover).5. Para salvar suas alterações, escolha Modify (Modificar). Para excluir suas alterações sem modificar

a assinatura, escolha Cancel (Cancelar). Para voltar para as configurações de assinatura, clique emPrevious (Anterior).

Adicionar um identificador de origem a uma assinatura de notificação de evento do AmazonRedshift

Você pode adicionar um identificador de origem (a origem do Amazon Redshift que gera o evento) a umaassinatura existente.

Para adicionar um identificador de origem em uma assinatura de notificação de evento do AmazonRedshift

1. Você pode facilmente adicionar ou remover identificadores de origem usando o console doAmazon Redshift selecionando-os ou desmarcando-os ao modificar uma assinatura. Para obtermais informações, consulte Modificar uma assinatura de notificação de evento do AmazonRedshift (p. 392).

2. Para salvar suas alterações, escolha Modify (Modificar). Para excluir suas alterações sem modificara assinatura, escolha Cancel (Cancelar). Para voltar para as configurações de assinatura, clique emPrevious (Anterior).

Remover um identificador de origem de uma assinatura de notificação de eventos do AmazonRedshift

Você pode remover um identificador de origem (a origem do Amazon Redshift que gera o evento) de umaassinatura se não quiser mais ser notificado sobre eventos para aquela origem.

Para remover um identificador de origem de uma assinatura de notificação de evento do AmazonRedshift

• Você pode facilmente adicionar ou remover identificadores de origem usando o console doAmazon Redshift selecionando-os ou desmarcando-os ao modificar uma assinatura. Para obter

393

Amazon Redshift Guia de gerenciamento de clustersGerenciamento de notificações de eventousando a CLI e a API do Amazon Redshift

mais informações, consulte Modificar uma assinatura de notificação de evento do AmazonRedshift (p. 392).

Excluir uma assinatura de notificação de evento do Amazon Redshift

Você pode excluir uma assinatura quando não precisar mais dela. Todos os assinantes do tópico nãoreceberão mais notificações de evento especificadas pela assinatura.

Para excluir uma assinatura de notificação de evento do Amazon Redshift


2. No painel de navegação, escolha Events (Eventos) e escolha a aba Subscriptions (Assinaturas).3. No painel Subscriptions (Assinaturas), escolha a assinatura que você deseja excluir.4. Escolha Delete.

Gerenciamento de notificações de evento usando aCLI e a API do Amazon RedshiftVocê pode usar as seguintes operações da CLI do Amazon Redshift para gerenciar notificações de evento.

• create-event-subscription• delete-event-subscription• describe-event-categories• describe-event-subscriptions• describe-events• modify-event-subscription

Você pode usar as seguintes ações da API do Amazon Redshift para gerenciar notificações de evento.

• CreateEventSubscription• DeleteEventSubscription• DescribeEventCategories• DescribeEventSubscriptions• DescribeEvents• ModifyEventSubscription

Para obter mais informações sobre notificações de evento do Amazon Redshift, consulte Notificações deeventos do Amazon Redshift (p. 377).

394



https://docs.aws.amazon.com/cli/latest/reference/redshift/create-event-subscription.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-event-subscription.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-event-categories.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-event-subscriptions.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-events.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/modify-event-subscription.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateEventSubscription.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteEventSubscription.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeEventCategories.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeEventSubscriptions.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeEvents.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_ModifyEventSubscription.html

Amazon Redshift Guia de gerenciamento de clustersCotas do Amazon Redshift

Cotas e limites no Amazon RedshiftCotas do Amazon Redshift

O Amazon Redshift tem cotas que limitam o uso de vários recursos em sua conta da AWS por região daAWS. Há um valor padrão para cada cota, e algumas cotas são ajustáveis. Para cotas ajustáveis, vocêpode solicitar um aumento para sua conta da AWS em uma região da AWS enviando um Formulário deaumento de limite do Amazon Redshift.

Nome dacota

Valor padrãoda AWS

Ajustável Descrição

Contas daAWS quevocê podeautorizarpararestaurar umsnapshot porsnapshot

20 Não O número máximo de contas da AWS que você podeautorizar para restaurar um snapshot, por snapshot.

Contas daAWS quevocê podeautorizarpararestaurar umsnapshotpor chave doAWS KMS

100 Não O número máximo de contas da AWS que você podeautorizar para restaurar um snapshot, por chave do AWSKMS. Ou seja, se tiver 10 snapshots criptografados comuma única chave KMS, você poderá autorizar 10 contas daAWS para restaurar cada snapshot ou outras combinaçõesque totalizam até 100 contas e não excedem 20 contaspara cada snapshot.

Funçõesdo IAM decluster parao AmazonRedshiftacessaroutrosserviços daAWS

10 Não O número máximo de funções do IAM que podemser associadas a um cluster para autorizar o AmazonRedshift a acessar outros serviços da AWS para o usuárioproprietário do cluster e das funções do IAM.

Nível desimultaneidade(slots deconsulta)para todasas filasmanuaisdo WLMdefinidaspelo usuário

50 Não O máximo de slots de consulta para todas as filasdefinidas pelo usuário definidas pelo gerenciamentomanual da carga de trabalho.

395



Amazon Redshift Guia de gerenciamento de clustersCotas do Amazon Redshift

Nome dacota

Valor padrãoda AWS


Clusters deescalabilidadedesimultaneidade

10 Sim O número máximo de clusters de escalabilidade desimultaneidade.

Nós DC2 emum cluster

128 Sim O número máximo de nós DC2 que você pode alocar a umcluster. Para obter mais informações sobre os limites de nópara cada tipo de nó, consulte Clusters e nós no AmazonRedshift (p. 5).

Nós DS2 emum cluster

128 Sim O número máximo de nós DS2 que você pode alocar paraum cluster. Para obter mais informações sobre os limitesde nó para cada tipo de nó, consulte Clusters e nós noAmazon Redshift (p. 5).

Assinaturasde eventos

20 Sim O número máximo de assinaturas de eventos para estaconta na região atual da AWS.

Nós 200 Sim O número máximo de nós em todas as instâncias debanco de dados para esta conta na região atual da AWS.

Grupos deparâmetros

20 Não O número máximo de grupos de parâmetros para estaconta na região atual da AWS.

Nós RA3 emum cluster

128 Sim O número máximo de nós RA3 que você pode alocar paraum cluster. Para obter mais informações sobre os limitesde nó para cada tipo de nó, consulte Clusters e nós noAmazon Redshift (p. 5).

Nósreservados

200 Sim O número máximo de nós reservados para esta conta naregião atual da AWS.

Esquemasem cadabanco dedados porcluster

9.900 Não O número máximo de esquemas que você pode criarem cada banco de dados, por cluster. No entanto, osesquemas pg_temp_* não entram nessa cota.

Grupos desegurança

20 Sim O número máximo de grupos de segurança para estaconta na região atual da AWS.

Tamanho delinha únicaao carregarpor COPY

4 Não O tamanho máximo (em MB) de uma única linha aocarregar usando o comando COPY.

Snapshots 20 Sim O número máximo de snapshots de usuário para estaconta na região atual da AWS.

Grupos desub-rede

20 Sim O número máximo de grupos de sub-redes para esta contana região atual da AWS.

Sub-redesem umgrupo desub-redes

20 Sim O número máximo de sub-redes para um grupo de sub-redes.

396

Amazon Redshift Guia de gerenciamento de clustersCotas e limites do Amazon Redshift Spectrum

Nome dacota

Valor padrãoda AWS


Tabelas parao tipo de nóde clusterlarge

9.900 Não O número máximo de tabelas para o tipo de nó de clustergrande. Esse limite inclui tabelas temporárias. As tabelastemporárias incluem tabelas temporárias definidas pelousuário e tabelas temporárias criadas pelo AmazonRedshift durante o processamento de consultas ou amanutenção do sistema. As visualizações não estãoincluídas nesse limite.

Tabelas parao tipo de nóde clusterxlarge

9.900 Não O número máximo de tabelas para o tipo de nó de clusterxlarge. Esse limite inclui tabelas temporárias. As tabelastemporárias incluem tabelas temporárias definidas pelousuário e tabelas temporárias criadas pelo AmazonRedshift durante o processamento de consultas ou amanutenção do sistema. As visualizações não estãoincluídas nesse limite.

Tabelas parao tipo de nóde cluster4xlarge

20.000 Não O número máximo de tabelas para o tipo de nó de cluster4xlarge.


20.000 Não O número máximo de tabelas para o tipo de nó de cluster8xlarge. Esse limite inclui tabelas temporárias. As tabelastemporárias incluem tabelas temporárias definidas pelousuário e tabelas temporárias criadas pelo AmazonRedshift durante o processamento de consultas ou amanutenção do sistema. As visualizações não estãoincluídas nesse limite.


20.000 Não O número máximo de tabelas para o tipo de nó de cluster16xlarge. Esse limite inclui tabelas temporárias. As tabelastemporárias incluem tabelas temporárias definidas pelousuário e tabelas temporárias criadas pelo AmazonRedshift durante o processamento de consultas ou amanutenção do sistema. As visualizações não estãoincluídas nesse limite.

Bancosde dadosdefinidospelo usuárioem umcluster

60 Não O número máximo de bancos de dados definidos pelousuário que você pode criar por cluster.

Cotas e limites do Amazon Redshift SpectrumO Amazon Redshift Spectrum tem as seguintes cotas e limites:

• O número máximo de bancos de dados por conta da AWS ao usar um Catálogo de dados do AWSGlue. Para obter esse valor, consulte Cotas do serviço AWS Glue no Referência geral do Amazon WebServices.

• O número máximo de tabelas por banco de dados ao usar um Catálogo de dados do AWS Glue. Paraobter esse valor, consulte Cotas do serviço AWS Glue no Referência geral do Amazon Web Services.

397

https://docs.aws.amazon.com/general/latest/gr/glue.html#limits_glue


Amazon Redshift Guia de gerenciamento de clustersRestrições de nomenclatura

• O número máximo de partições por tabela ao usar um Catálogo de dados do AWS Glue. Para obter essevalor, consulte Cotas do serviço AWS Glue no Referência geral do Amazon Web Services.

• O número máximo de partições por conta da AWS ao usar um Catálogo de dados do AWS Glue. Paraobter esse valor, consulte Cotas do serviço AWS Glue no Referência geral do Amazon Web Services.

• O número máximo de colunas para tabelas externas ao usar um Catálogo de dados do AWS Glue, 1.598quando pseudocolunas estão habilitadas e 1.600 quando pseudocolunas não estão habilitadas.

• O tamanho máximo de um valor de string em um arquivo ION ou JSON ao usar um Catálogo de dadosdo AWS Glue é de 16 KB.

• É possível adicionar no máximo 100 partições usando uma única instrução ALTER TABLE.• Todos os dados do S3 devem estar localizados na mesma região da AWS que o cluster do Amazon

Redshift.• Os timestamps em Ion e JSON precisam ter formato ISO8601.• Não há suporte para a compactação externa de arquivos ORC.• Texto, OpenCSV e Regex SERDEs não são compatíveis com delimitadores octais maiores que '\177'.• Você deve especificar um predicado na coluna de partição para evitar leituras de todas as partições.

Por exemplo, o seguinte predicado filtra a coluna ship_dtm, mas não aplica o filtro à coluna de partiçãoship_yyyymm:

WHERE ship_dtm > '2018-04-01'.

Para ignorar partições desnecessárias, você precisa adicionar um predicado WHERE ship_yymmm ='201804'. Esse predicado limitará as operações de leitura à partição \ship_yyyymm=201804\.

Esses limites não se aplicam a uma metastore do Apache Hive.

Restrições de nomenclaturaA tabela a seguir descreve restrições de nomenclatura dentro do Amazon Redshift.

Identificador de cluster • Um identificador de cluster deve conter somente caracteresem minúsculas.

• Deve conter de 1 a 63 caracteres alfanuméricos ou hifens.• O primeiro caractere deve ser uma letra.• Não pode terminar com um hífen ou conter dois hifens

consecutivos.• Ele deve ser exclusivo para todos os clusters dentro de

uma conta da AWS.

Database name • Um nome de banco de dados deve conter 1 – 64 caracteresalfanuméricos.

• Ele deve conter somente letras minúsculas.• Ele não pode ser uma palavra reservada. Para obter uma

lista de palavras reservadas, consulte Palavras reservadasno Amazon Redshift Database Developer Guide.

Nome do usuário mestre • Um nome do usuário mestre deve conter somentecaracteres em minúsculas.

• Deve conter 1 – 128 caracteres alfanuméricos.• O primeiro caractere deve ser uma letra.

398



https://www.iso.org/iso-8601-date-and-time-format.html

https://docs.aws.amazon.com/redshift/latest/dg/r_pg_keywords.html

Amazon Redshift Guia de gerenciamento de clustersRestrições de nomenclatura

• Ele não pode ser uma palavra reservada. Para obter umalista de palavras reservadas, consulte Palavras reservadasno Amazon Redshift Database Developer Guide.

Senha mestre • Uma senha mestra deve conter 8 – 64 caracteres.• Ela deve conter pelo menos uma letra maiúscula.• Ela deve conter pelo menos uma letra minúscula.• Ela deve conter um número.• Pode conter qualquer caractere ASCII com códigos ASCII

de 33–126, exceto aspas simples ('), aspas duplas (“), \, / ou@.

Nome do parameter group • O nome de um grupo de parâmetros deve ter de 1 – 255caracteres alfanuméricos ou hifens.

• Ele deve conter somente caracteres minúsculos.• O primeiro caractere deve ser uma letra.• Não pode terminar com um hífen ou conter dois hífens

consecutivos.

Nome do security group do cluster • Um nome de security group do cluster não deve contermais de 255 caracteres alfanuméricos ou hifens.

• Ele deve conter somente caracteres minúsculos.• Ele não deve ser Default.• Ele deve ser exclusivo para todos os security groups

criados pela conta da AWS.

Nome do grupo de sub-redes • Um nome do grupo de sub-redes não deve conter mais de255 caracteres alfanuméricos ou hifens.



Identificador de snapshot do cluster • Um identificador de snapshot do cluster não deve contermais de 255 caracteres alfanuméricos ou hifens.



399

https://docs.aws.amazon.com/redshift/latest/dg/r_pg_keywords.html

Amazon Redshift Guia de gerenciamento de clustersVisão geral da marcação

Marcação de recursos no AmazonRedshift

Tópicos• Visão geral da marcação (p. 400)• Gerenciamento de tags de recursos usando o console (p. 401)• Gerenciar tags usando a API do Amazon Redshift (p. 404)

Visão geral da marcaçãoNo AWS, tags são rótulos definidos pelo usuário que consistem em valores de chave e valor. O AmazonRedshift oferece suporte para marcações para fornecer metadados sobre recursos rapidamente e paracategorizar seus relatórios de faturamento com base na alocação de custos. Para usar tags para alocaçãode custo, você deve primeiro ativar essas tags no serviço do AWS Billing and Cost Management. Paraobter mais informações sobre a configuração e o uso de tags para fins de faturamento, consulte Usartags de alocação de custos para relatórios de faturamento personalizados e Configuração do relatório dealocação de custo mensal.

Tags não são necessárias para recursos no Amazon Redshift, mas elas ajudam a fornecer o contexto.Talvez você queira marcar recursos com tags com metadados sobre centros de custo, nomes de projeto eoutras informações pertinentes relacionadas ao recurso. Por exemplo, suponha que você queira rastrearquais recursos pertencem a um ambiente de teste e a um ambiente de produção. Você poderia criar umachave chamada environment e fornecer o valor test ou production para identificar os recursosusados em cada ambiente. Se você usa marcação por tags em outros serviços da AWS ou tem categoriaspadrão para seus negócios, recomendamos que você crie os mesmos pares de valor de chave pararecursos no Amazon Redshift para manter a consistência.

As tags são retidas para recursos quando você redimensiona um cluster e quando restaura um snapshotde um cluster dentro da mesma região. No entanto, as tags não são retidas se você copiar um snapshotpara outra região, portanto você deve recriar as tags na nova região. Se você excluir um recurso, todas astags associadas serão excluídas.

Cada recurso tem um conjunto de tags, que é uma coleção de uma ou mais tags atribuídas ao recurso.Cada recurso pode ter até 50 tags por conjunto de tags. Você pode adicionar tags ao criar um recursoe após a criação de um recurso. Você pode adicionar tags aos seguintes tipos de recurso no AmazonRedshift:

• CIDR/IP• Cluster• Security group de cluster• Regra de entrada do security group de cluster• Grupo de segurança do Amazon EC2• Conexão do Hardware Security Module (HSM)• Certificado do cliente HSM• Parameter group• Snapshot• Grupo de sub-rede

400

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html

Amazon Redshift Guia de gerenciamento de clustersRequisitos de marcação

Requisitos de marcaçãoAs tags têm os seguintes requisitos:

• As chaves não podem ser prefixadas com aws:.• As chaves devem ser exclusivas por conjunto de tags.• Uma chave deve ter entre 1 e 128 caracteres permitidos.• Um valor deve ter entre 0 e 256 caracteres permitidos.• Os valores não precisam ser exclusivos por conjunto de tags.• Os caracteres permitidos para chaves e valores são letras Unicode, dígitos, espaço em branco e

qualquer um dos seguintes símbolos: _ . : / = + - @.• As chaves e os valores diferenciam letras maiúsculas de minúsculas.

Gerenciamento de tags de recursos usando oconsole

Note


Novo consolePara gerenciar tags em seus recursos do Amazon Redshift


2. No painel de navegação, escolha CONFIG e escolha Manage tags (Gerenciar tags).3. Insira suas opções para os recursos e escolha quais tags adicionar, modificar ou excluir. Depois,

escolha Manage tags of the resources that you chose (Gerenciar tags dos recursos escolhidos).

Os recursos que podem ser marcados incluem clusters, grupos de parâmetros, grupos de sub-redes,certificados de clientes HSM, conexões HSM e snapshots.

4. Na página de navegação Manage tags (Gerenciar tags), escolha Review and apply tag changes(Revisar e aplicar alterações de tags) e escolha Apply (Aplicar) para salvar suas alterações.

Console originalO seguinte é um exemplo da janela Manage Tags (Gerenciar tags) para um recurso do Amazon Redshift,como um cluster ou um parameter group.

401



Amazon Redshift Guia de gerenciamento de clustersGerenciamento de tags de recursos usando o console

Você usa a seção Add Tags (Adicionar tags) para adicionar pares de chave a um recurso do AmazonRedshift. Quando você começar a inserir um par de chaves na seção Adicionar tags, uma novalinha aparecerá para que você possa adicionar outro par de chaves e assim por diante. Para obtermais informações sobre os caracteres permitidos para chaves e valores, consulte Requisitos demarcação (p. 401).

Se decidir que não deseja adicionar determinada tag ao recurso, poderá removê-la da seção Add tags(Adicionar tags) escolhendo o X na linha. Assim que você tiver especificado os pares de chave que desejaadicionar, aplique as alterações para que eles sejam associados ao recurso.

Após adicionar pares de chaves a um recurso, eles são exibidos na seção Tags aplicados; este é oconjunto de tags para o recurso. Você pode modificar um valor de tag, mas não pode modificar o nome dachave. Você pode, contudo, excluir uma chave caso não precise mais dela para o recurso.

Você pode visualizar as tags para um recurso revisando a seção Tags aplicadas da janela Gerenciartags. Como alternativa, você pode rapidamente visualizar tags acessando um tipo de recurso no painel denavegação e, então, expandindo o recurso na lista para visualizar a seção Tags. A seguir, um exemplo deum cluster expandido para exibir várias propriedades, incluindo as tags associadas com o cluster.

402

Amazon Redshift Guia de gerenciamento de clustersGerenciamento de tags de recursos usando o console

Como abrir a janela de gerenciamento de tags

A tabela a seguir descreve como abrir a janela Manage Tags (Gerenciar tags) para cada um dos recursosdo Amazon Redshift compatíveis com tags.

Recurso Descrição

Cluster No painel de navegação, escolha Clusters e selecione um cluster da lista. SelecioneManage tags (Gerenciar tags).

Snapshot No painel de navegação, escolha Snapshots e selecione um snapshot da lista.Escolha Manage tags (Gerenciar tags) em Actions (Ações).

Security groupde cluster

No painel de navegação, escolha Security (Segurança). Na guia Security groups(Grupos de segurança), escolha um grupo de segurança na lista. Selecione Managetags (Gerenciar tags).

Regra deentrada dosecurity groupde cluster

No painel de navegação, escolha Security (Segurança). Na guia Security groups(Grupos de segurança), escolha um grupo de segurança na lista. Na página SecurityGroup Connections (Conexões de grupo de segurança), escolha uma regra deentrada e clique em Manage Tags (Gerenciar tags).

Grupo de sub-rede

No painel de navegação, escolha Security (Segurança). Na guia Subnet Groups(Grupos de sub-rede), escolha um grupo de sub-redes na lista. Selecione Managetags (Gerenciar tags).

conexão HSM No painel de navegação, escolha Security (Segurança). Na guia HSM Connections(Conexões HSM), escolha uma conexão na lista. Selecione Manage tags (Gerenciartags).

Certificado HSM No painel de navegação, escolha Security (Segurança). Na guia HSM Certificates(Certificados HSM) escolha um certificado na lista. Selecione Manage tags (Gerenciartags).

403

Amazon Redshift Guia de gerenciamento de clustersGerenciar tags usando a API do Amazon Redshift

Recurso Descrição

Grupo deparâmetros

No painel de navegação, clique em Parameter groups (Grupos de parâmetros) eescolha um grupo de parâmetros na lista. Selecione Manage tags (Gerenciar tags).

Como gerenciar tags no console do Amazon Redshift

Use a tabela na seção anterior para o recurso com o qual você deseja trabalhar. Use os procedimentosdessa seção para adicionar, modificar, excluir e visualizar tags para o recurso.

Para adicionar tags a um recurso

1. Navegue até o recurso para o qual deseja adicionar tags e abra a janela Gerenciar tags.2. Em Adicionar tags, digite um nome de chave na caixa Chave e o valor de chave na caixa Valor. Por

exemplo, digite environment na caixa Chave e production na caixa Valor. Repita esta etapa paraadicionar tags adicionais.

3. Selecione Apply Changes (Aplicar alterações).

Para modificar as tags associadas a um recurso

1. Navegue até o recurso para o qual deseja modificar tags e abra a janela Gerenciar tags.2. Em Tags aplicados, localize a chave que deseja modificar. Na caixa Valor, digite um novo valor de

chave. Repita para todas as outras tags que deseja modificar.3. Selecione Apply Changes (Aplicar alterações).

Para excluir tags associadas a um recurso

1. Navegue até o recurso do qual deseja excluir tags e abra a janela Gerenciar tags.2. Em Tags aplicados, localize a chave que deseja excluir. Marque a caixa de seleção Excluir. Repita

para todas as outras tags que deseja excluir.3. Selecione Apply Changes (Aplicar alterações).

Gerenciar tags usando a API do Amazon RedshiftVocê pode usar as seguintes operações da AWS CLI para gerenciar tags no Amazon Redshift.

• create-tags• delete-tags• describe-tags

Você pode usar as operações da API do Amazon Redshift a seguir para gerenciar tags:

• CreateTags• DeleteTags• DescribeTags• Tag• TaggedResource

404

https://docs.aws.amazon.com/cli/latest/reference/redshift/create-tags.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-tags.html

https://docs.aws.amazon.com/cli/latest/reference/redshift/describe-tags.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateTags.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DeleteTags.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeTags.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_Tag.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_TaggedResource.html

Amazon Redshift Guia de gerenciamento de clustersGerenciar tags usando a API do Amazon Redshift

Além disso, você pode usar as seguintes operações da API do Amazon Redshift para gerenciar evisualizar tags de um recurso específico:

• CreateCluster• CreateClusterParameterGroup• CreateClusterSecurityGroup• CreateClusterSnapshot• CreateClusterSubnetGroup• CreateHsmClientCertificate• CreateHsmConfiguration• DescribeClusters• DescribeClusterParameterGroups• DescribeClusterSecurityGroups• DescribeClusterSnapshots• DescribeClusterSubnetGroups• DescribeHsmClientCertificates• DescribeHsmConfigurations

405


https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateClusterParameterGroup.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateClusterSecurityGroup.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateClusterSnapshot.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateClusterSubnetGroup.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateHsmClientCertificate.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_CreateHsmConfiguration.html


https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeClusterParameterGroups.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeClusterSecurityGroups.html


https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeClusterSubnetGroups.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeHsmClientCertificates.html

https://docs.aws.amazon.com/redshift/latest/APIReference/API_DescribeHsmConfigurations.html


Histórico do documentoA tabela a seguir descreve as alterações importantes em cada versão do Amazon Redshift ClusterManagement Guide após junho de 2018. Para receber notificações sobre atualizações dessadocumentação, você pode se inscrever em um feed RSS.

Versão da API: 01/12/2012

Última atualização da documentação: 23 de abril de 2020

Para obter uma lista das alterações feitas no Amazon Redshift Database Developer Guide, consulteHistórico do documento do Amazon Redshift Database Developer Guide.

Para obter mais informações sobre os novos recursos, incluindo uma lista de correções e os números deversão do cluster associados a cada versão, consulte Histórico das versões de cluster.

update-history-change update-history-description update-history-date

Suporte para limites de uso Guia atualizado com a descriçãodos limites de uso.

April 23, 2020

Autenticação multifator Guia atualizado com a descriçãodo suporte à autenticaçãomultifator.

April 20, 2020

O redimensionamento elásticoagora é compatível comalterações de tipo de nó

Descrição atualizada doredimensionamento elástico.

April 6, 2020

Suporte para tipos de nóra3.4xlarge com armazenamentogerenciado

Guia atualizado para incluir tiposde nó ra3.4xlarge.

April 2, 2020

Suporte para pausa e retomada Atualização do guia de descriçãodas operações de pausa eretomada de clusters.

March 11, 2020

Suporte para o Microsoft AzureAD como um provedor deidentidade

Atualização do guia paradescrever as etapas para usaro Microsoft Azure AD como umprovedor de identidade.

February 10, 2020

Suporte para o tipo de nó RA3 O guia foi atualizado paradescrever o novo tipo de nó RA3.

December 3, 2019

Suporte ao novo console O guia foi atualizado paradescrever o novo console doAmazon Redshift.

November 11, 2019

Atualizações nas informações desegurança

Atualizações na documentaçãodas informações de segurança.

June 24, 2019

Aprimoramentos de snapshots O Amazon Redshift agoraoferece suporte a váriosaprimoramentos para gerenciar eprogramar snapshots.

April 4, 2019

406

https://docs.aws.amazon.com/redshift/latest/dg/doc-history.html

http://docs.aws.amazon.com/redshift/latest/mgmt/rs-mgmt-cluster-version-notes.html

https://docs.aws.amazon.com/redshift/latest/mgmt/managing-cluster-usage-limits.html

https://docs.aws.amazon.com/redshift/latest/mgmt/options-for-providing-iam-credentials.html

https://docs.aws.amazon.com/redshift/latest/mgmt/managing-cluster-operations.html#rs-resize-tutorial



https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html



https://docs.aws.amazon.com/redshift/latest/mgmt/managing-cluster-operations.html#rs-mgmt-pause-resume-cluster

https://docs.aws.amazon.com/redshift/latest/mgmt/options-for-providing-iam-credentials.html#setup-azure-ad-identity-provider




https://docs.aws.amazon.com/redshift/latest/mgmt/welcome.html

http://docs.aws.amazon.com/redshift/latest/mgmt/iam-redshift-user-mgmt.html

http://docs.aws.amazon.com/redshift/latest/mgmt/iam-redshift-user-mgmt.html

http://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html


Escalabilidade da simultaneidade É possível configurar ogerenciamento da carga detrabalho (WLM) para habilitaro modo de escalabilidade dasimultaneidade. Para obter maisinformações, consulte Configuraro gerenciamento da carga detrabalho.

March 21, 2019

Drivers JDBC e ODBCatualizados

Agora o Amazon Redshift écompatível com novas versõesdos drivers JDBC e ODBC. Paraobter mais informações, consulteConfigurar uma conexão JDBC eConfigurar uma conexão ODBC.

February 4, 2019

Notificação prévia O Amazon Redshift fornecenotificação antecipadamentepara alguns eventos. Esseseventos têm uma categoriade evento de pending. Porexemplo, enviamos umanotificação prévia se umaatualização de hardware fornecessária para um dos nósno cluster. Você pode assinareventos pendentes da mesmaforma que outros eventos doAmazon Redshift. Para obtermais informações, consulteAssinatura de notificações deeventos do Amazon Redshift.

November 20, 2018

Manutenção adiada Se precisar reprogramar a janelade manutenção do cluster,você terá a opção de adiar amanutenção em até 14 dias. Seprecisarmos atualizar o hardwareou fazer outras atualizaçõesobrigatórias durante o períodode adiamento, notificaremosvocê e faremos as alteraçõesnecessárias. O cluster nãoficará disponível durante essasatualizações. Para obter maisinformações, consulte Adiamentoda manutenção.

November 20, 2018

407

http://docs.aws.amazon.com/redshift/latest/mgmt/workload-mgmt-config.html




https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-to-cluster.html

https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-to-cluster.html


https://docs.aws.amazon.com/redshift/latest/mgmt/configure-odbc-connection.html

https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-events.html

https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-event-notifications.html#working-with-event-notifications-subscribe

https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-event-notifications.html#working-with-event-notifications-subscribe

https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html#rs-mgmt-defer-maintenance

https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#defer-maintenance-window

https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#defer-maintenance-window


Elastic resize(Redimensionamento elástico)

O redimensionamento elásticoé o método mais rápido pararedimensionar um cluster. Oredimensionamento elásticoadiciona ou remove nós emum cluster existente e depoisredistribui automaticamente osdados para os novos nós. Comonão cria um cluster, a operaçãode redimensionamento elásticoé concluída de forma rápida,geralmente em alguns minutos.Para obter mais informações,consulte Redimensionar clusters.

November 15, 2018

Novos drivers ODBC Os drivers ODBC do AmazonRedshift foram atualizados paraa versão 1.4.3.1000. Para obtermais informações, consulteConfiguração de uma conexãoODBC.

November 8, 2018

Cancelar operação deredimensionamento

Agora é possível cancelar umaoperação de redimensionamentoem andamento. Para obtermais informações, consulteVisão geral da operação deredimensionamento.

November 2, 2018

Modificar o cluster para alterar acriptografia

Você pode modificar um clusternão criptografado para usara criptografia do AWS KeyManagement Service (AWSKMS), usando uma chavegerenciada pela AWS ou umachave gerenciada pelo cliente(CMK). Quando você modifica ocluster para ativar a criptografiaKMS, o Amazon Redshift migraautomaticamente os dados paraum novo cluster criptografado.Você também pode migrar umcluster não criptografado para umcluster criptografado, modificandoo cluster.

October 16, 2018

O Amazon Redshift Spectrumé compatível com o roteamentoaprimorado de VPC

Agora é possível usar o RedshiftSpectrum com o roteamentoaprimorado de VPC habilitadopara o cluster. Pode sernecessário executar etapasde configuração adicionais.Para obter mais informações,consulte Usar o Amazon RedshiftSpectrum com o roteamentoaprimorado de VPC.

October 10, 2018

408

https://docs.aws.amazon.com/redshift/latest/mgmt/rs-resize-tutorial.html#elastic-resize

https://docs.aws.amazon.com/redshift/latest/mgmt/rs-resize-tutorial.html#elastic-resize

https://docs.aws.amazon.com/redshift/latest/mgmt/rs-resize-tutorial.html

http://docs.aws.amazon.com/redshift/latest/mgmt/configure-odbc-connection.html



http://docs.aws.amazon.com/redshift/latest/mgmt/rs-resize-tutorial.html#rs-tutorial-resize-operation-overview




http://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html

http://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html

https://docs.aws.amazon.com/redshift/latest/mgmt/spectrum-enhanced-vpc.html







Editor de consultas Agora você pode executarconsultas SQL no Console deGerenciamento do AmazonRedshift.

October 4, 2018

Gráfico de análise de execuçãoda carga de trabalho

Agora, você pode obter umavisualização detalhada dodesempenho de sua carga detrabalho observando o gráfico deanálise de execução da cargade trabalho no console. Paraobter mais informações, consulteAnalisar o desempenho da cargade trabalho.

July 30, 2018

Acompanhamentos demanutenção

Agora é possível determinar seo cluster será sempre atualizadopara a versão mais recente doAmazon Redshift ou para umaversão anterior selecionandoum acompanhamento demanutenção. Para obtermais informações, consulteSelecionar acompanhamentos demanutenção do cluster.

July 26, 2018

Drivers JDBC e ODBCatualizados

Agora o Amazon Redshift écompatível com novas versõesdos drivers JDBC e ODBC. Paraobter mais informações, consulteConfigurar uma conexão JDBC eConfigurar uma conexão ODBC.

July 13, 2018

Versões de clusters sobdemanda

Agora, você pode atualizarseu cluster para a versão maisrecente assim que estiverdisponível. Para obter maisinformações, consulte Gerenciarversões de clusters.

June 29, 2018

A tabela a seguir descreve alterações importantes feitas no Amazon Redshift Cluster Management Guideantes de julho de 2018.

Alteração Descrição Data de lançamento

Novas métricas doCloudWatch

Novas métricas de CloudWatch adicionadas paramonitoramento de desempenho de consulta. Para obtermais informações, consulte Dados de desempenho doAmazon Redshift (p. 327)

17 de maio de 2018

Novos drivers JDBCe ODBC

Os drivers JDBC do Amazon Redshift foram atualizadospara a versão 1.2.12.1017. Para obter mais informações,consulte Configurar uma conexão JDBC (p. 82).

7 de março de 2018

409

https://docs.aws.amazon.com/redshift/latest/mgmt/query-editor.html

https://docs.aws.amazon.com/redshift/latest/mgmt/analyze-workload-performance.html




https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html#rs-mgmt-maintenance-tracks








http://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html#rs-mgmt-cluster-version





Alteração Descrição Data de lançamentoOs drivers ODBC do Amazon Redshift foram atualizadospara a versão 1.4.1.1001. Para obter mais informações,consulte Configurar uma conexão ODBC (p. 90).

Criptografia de HSM O Amazon Redshift só oferece suporte ao AWSCloudHSM para o gerenciamento de chave do módulode segurança de hardware (HSM). Para obter maisinformações, consulte Criptografia do banco de dados doAmazon Redshift (p. 203).

6 de março de 2018

Encadeamento defunções do IAM

Se uma função do IAM anexada ao cluster não tiveracesso aos recursos necessários, você poderá encadearoutra função, possivelmente pertencente a outra conta. Ocluster assumirá a função encadeada temporariamentepara acessar os dados. Você também pode concederacesso entre contas com o encadeamento de funções.Cada função em cadeia assume a próxima função nacadeia, até que o cluster assuma a função no final dacadeia. Você pode encadear um máximo de 10 funções.Para obter mais informações, consulte Encadeamento defunções do IAM no Amazon Redshift (p. 278).

23 de fevereiro de2018

Novos tipos de nóDC2

A nova geração de tipos de nó de computação densa(dense compute, DC) oferece desempenho muitomelhor pelo mesmo preço do DC1. Para aproveitar asmelhorias de desempenho, você pode migrar seu clusterDC1 para os tipos de nó DC2 mais novos. Para obtermais informações, consulte Clusters e nós no AmazonRedshift (p. 5).

17 de outubro de2017

Novos drivers JDBC Os drivers JDBC do Amazon Redshift foram atualizadospara a versão 1.2.10.1009. Além disso, agora hásuporte para drivers JDBC versão 4.2. Para obtermais informações, consulte Configurar uma conexãoJDBC (p. 82).


Certificados ACM O Amazon Redshift está substituindo os certificadosSSL nos clusters pelos certificados emitidos pelo AWSCertificate Manager (ACM). O ACM é uma autoridade decertificação pública confiável pela maioria dos sistemasatuais. Talvez seja necessário atualizar os certificadosCA raiz confiáveis atuais para continuar se conectandoaos clusters usando o SSL. Para obter mais informações,consulte Transição para certificados ACM das conexõesSSL (p. 105).

18 de setembro de2017

Funções vinculadasao serviço

A função vinculada ao serviço é um tipo exclusivo defunção do IAM vinculada diretamente ao Amazon Redshift.As funções vinculadas ao serviço são predefinidaspelo Amazon Redshift e incluem todas as permissõesexigidas pelo serviço para chamar os serviços da AWSem nome do cluster do Amazon Redshift. Para obter maisinformações, consulte Usar funções vinculadas ao serviçopara o Amazon Redshift (p. 235).


410



Autenticação dousuário do banco dedados do IAM

Você pode configurar o sistema para permitir que osusuários criem credenciais de usuário e façam logonno banco de dados com base em suas credenciais doIAM. Você também pode configurar o sistema parapermitir que os usuários façam logon usando o logonúnico (SSO) federado por meio de um provedor deidentidade compatível com o SAML 2.0. Para obter maisinformações, consulte Usar a autenticação do IAM paragerar credenciais do usuário do banco de dados (p. 237).

11 de agosto de2017


Os novos drivers JDBC e ODBC oferecem suporte àautenticação do usuário do banco de dados do IAM. Osdrivers JDBC do Amazon Redshift foram atualizadospara a versão 1.2.7.1003. Para obter mais informações,consulte Configurar uma conexão JDBC (p. 82).

Os drivers ODBC do Amazon Redshift foram atualizadospara a versão 1.3.6.1000. Para obter mais informações,consulte Configurar uma conexão ODBC (p. 90).

11 de agosto de2017

Restauração nonível da tabelaoferece suporteao roteamentoaprimorado de VPC

Agora a restauração no nível da tabela é compatível emclusters que usem Enhanced VPC routing (p. 124). Paraobter mais informações, consulte Restaurar uma tabela deum snapshot (p. 165).

19 de julho de 2017

Regras demonitoramento deconsulta

Usando as regras de monitoramento de consultas doWLM, você pode definir limites de desempenho baseadosem métricas para filas do WLM e especificar qual açãotomar quando uma consulta vai além desses limites —registrar em log, saltar ou anular. Você define regras demonitoramento de consultas como parte da configuraçãodo Workload Management (WLM – Gerenciamento dacarga de trabalho). Para obter mais informações, consulteConfigurar o gerenciamento da carga de trabalho (p. 135).

21 de abril de 2017


Os drivers JDBC do Amazon Redshift foram atualizadospara a versão 1.2.1.1001. Além disso, agora hásuporte para drivers JDBC versão 4.2. Para obtermais informações, consulte Configurar uma conexãoJDBC (p. 82).


18 de novembro de2016

Enhanced VPCrouting

Quando você usa o roteamento aprimorado de VPC doAmazon Redshift, o Amazon Redshift força todo o tráfegode COPY e UNLOAD entre o cluster e os repositóriosde dados por meio da Amazon VPC. Para obter maisinformações, consulte Roteamento aprimorado de VPC doAmazon Redshift (p. 124).


411





Novos drivers JDBC Os drivers JDBC do Amazon Redshift foram atualizadospara a versão 1.1.17.1017. Além disso, agora hásuporte para drivers JDBC versão 4.2. Para obtermais informações, consulte Configurar uma conexãoJDBC (p. 82).

5 de julho de 2016

Novos campos delog de conexão

A tabela de auditoria Log de conexão (p. 286) tem doiscampos novos para acompanhar conexões SSL. Sesempre carregar logs de auditoria em uma tabela doAmazon Redshift, você precisará adicionar as novascolunas a seguir à tabela de destino: sslcompression esslexpansion.

5 de maio de 2016

Novos drivers ODBC Os drivers ODBC do Amazon Redshift foram atualizadospara a versão 1.2.7.1007. Para obter mais informações,consulte Configurar uma conexão ODBC (p. 90).

30 de março de2016

Funções do IAM paraCOPY e UNLOAD

Agora você pode especificar uma ou mais funções doAWS Identity and Access Management (IAM) que o clusterpode usar na autenticação para acessar outros serviçosAWS. As funções do IAM oferecem uma alternativa maissegura para fornecer autenticação com os comandosCOPY, UNLOAD ou CREATE LIBRARY. Para obter maisinformações, consulte Autorizar o Amazon Redshift aacessar outros serviços da AWS em seu nome (p. 275) eAutorização das operações COPY, UNLOAD e CREATEEXTERNAL SCHEMA usando funções do IAM (p. 280).

29 de março de2016

Restaurar da tabela Você pode restaurar uma tabela de um snapshot decluster para uma nova tabela em um cluster ativo. Paraobter mais informações, consulte Restaurar uma tabela deum snapshot (p. 165).

10 de março de2016

Novos drivers JDBC Os drivers JDBC do Amazon Redshift foram atualizadospara a versão 1.1.10.1013. Para obter mais informações,consulte Configurar uma conexão JDBC (p. 82).

Agora você pode definir a propriedade SSLMode paraespecificar se o driver verifica nomes de host ao validarcertificados TLS/SSL. Para obter mais informações,consulte Configurar as opções do driver JDBC (p. 87).


Usar condição doIAM em políticas

Você pode restringir ainda mais o acesso a recursosusando o elemento Condition em políticas do IAM. Paraobter mais informações, consulte Uso de condições depolítica do IAM para controle de acesso refinado (p. 225).

10 de dezembro de2015

Modificar acessívelpublicamente

Você pode modificar um cluster existente em uma VPCpara alterar se isso é acessível publicamente. Para obtermais informações, consulte Modificar um cluster (p. 47).


412



Novos drivers JDBC Os drivers JDBC do Amazon Redshift foram atualizadospara a versão 1.1.10.1010. Para obter mais informações,consulte Configurar uma conexão JDBC (p. 82).



Correções nadocumentação

Diversas correções na documentação publicadas. 28 de agosto de2015

Atualização dadocumentação

Atualizada a orientação para solução de problemas sobrecomo definir configurações de rede para garantir que hostscom tamanhos de Maximum Transmission Unit (MTU– Unidade de transmissão máxima) diferentes possamdeterminar o tamanho do pacote para uma conexão.Para obter mais informações, consulte As consultasparecem travar e, às vezes, não se comunicam com ocluster (p. 121).

25 de agosto de2015


Revisada toda a seção sobre grupos de parâmetros tendoem vista uma melhor organização e mais clareza. Paraobter mais informações, consulte Grupos de parâmetrosdo Amazon Redshift (p. 132).

17 de agosto de2015

Novos drivers JDBC Os drivers JDBC do Amazon Redshift foram atualizadospara a versão 1.1.7. Para obter mais informações, consulteConfigurar uma conexão JDBC (p. 82).

14 de agosto de2015

Propriedadesdinâmicas do WLM

O parâmetro de configuração do WLM agora dá suporteà aplicação de algumas propriedades dinamicamente.Outras propriedades permanecem alterações estáticase exigem que clusters associados sejam reiniciados, demaneira que as alterações feitas na configuração possamser aplicadas. Para obter mais informações, consultePropriedades dinâmicas e estáticas do WLM (p. 135) eGrupos de parâmetros do Amazon Redshift (p. 132).

3 de agosto de2015

Copiar clusterscriptografados doKMS para outraregião da AWS

Adicionado conteúdo sobre como configurar concessõesde cópia do snapshot a fim de permitir a cópia de clusterscriptografados do AWS KMS para outra região da AWS.Para obter mais informações, consulte Copiar snapshotscriptografados pelo AWS KMS para outra região daAWS (p. 204).

28 de julho de 2015


Atualizada a seção de criptografia do banco de dadospara explicar melhor como o Amazon Redshift usa oAWS KMS ou HSMs para gerenciar chaves de acessoe como o processo de criptografia funciona com cadauma dessas opções. Para obter mais informações,consulte Criptografia do banco de dados do AmazonRedshift (p. 203).

28 de julho de 2015

Novos drivers JDBC Os drivers JDBC do Amazon Redshift foram atualizadospara a versão 1.1.7. Para obter mais informações, consulteConfigurar uma conexão JDBC (p. 82).

2 de julho de 2015

413



Novo tipo de nó Agora o Amazon Redshift oferece um novo tipo de nó,DS2. Atualizadas referências de documentação para tiposde nó existentes a fim de usar novos nomes introduzidosnesta versão. Também revisada a seção para explicarmelhor as combinações do tipo de nó e esclarecer limitesde cota padrão. Para obter mais informações, consulteClusters e nós no Amazon Redshift (p. 5).

9 de junho de 2015

Ofertas de nóreservado

Adicionado conteúdo sobre novas ofertas de nó reservado.Também revisada a seção para explicar e compararmelhor as opções disponíveis e fornecidos exemplos parademonstrar como a definição de preço do nó reservadoe sob demanda afeta a cobrança. Para obter maisinformações, consulte Visão geral (p. 189).

9 de junho de 2015

Novos drivers ODBC O driver ODBC do Amazon Redshift foi atualizado.Adicionados uma seção para versões anteriores dessesdrivers e um link para notas de release dos drivers. Paraobter mais informações, consulte Configurar uma conexãoODBC (p. 90).

5 de junho de 2015


Diversas correções na documentação publicadas. 30 de abril de 2015


Atualizados os links de download para novas versõesdos drivers JDBC do Amazon Redshift e adicionada umaseção para versões anteriores desses drivers. Adicionadotambém um link para notas de release dos drivers. Paraobter mais informações, consulte Configurar uma conexãoJDBC (p. 82).

1 de abril de 2015


Adicionados downloads para novas versões dos driversJDBC do Amazon Redshift. Atualizado também oformato do URL JDBC do Amazon Redshift. Para obtermais informações, consulte Configurar uma conexãoJDBC (p. 82).

Adicionadas regras de entrada do security group docluster como um recurso identificável. Para obter maisinformações, consulte Marcação de recursos no AmazonRedshift (p. 400).

Atualizadas as instruções para adicionar uma regrade entrada do security group de cluster e adicionadasinstruções para identificar uma regra de entrada dosecurity group de cluster. Para obter mais informações,consulte Gerenciar grupos de segurança do cluster usandoo console (p. 302).

16 de março de2015

Novo recurso Esta versão do Amazon Redshift apresenta novos driversODBC e JDBC otimizados para serem usados com oAmazon Redshift. Para obter mais informações, consulteConectar-se a um cluster do Amazon Redshift usando asferramentas do cliente SQL (p. 80).


414



Novo recurso Esta versão do Amazon Redshift apresenta métricasde desempenho do cluster que permitem exibir eanalisar detalhes de execução da consulta. Para obtermais informações, consulte Visualizar consultas ecargas (p. 352).



Adicionada uma nova política de exemplo que demonstracomo conceder permissão para ações de serviço daAWS comuns e recursos nos quais o Amazon Redshiftconfia. Para obter mais informações, consulte Exemplosde política gerenciada pelo cliente (p. 230).

16 de janeiro de2015


Atualizada orientação sobre como definir a MTU paradesativar quadros jumbo TCP/IP. Para obter maisinformações, consulte Uso do EC2-VPC ao criar ocluster (p. 9) e As consultas parecem travar e, às vezes,não se comunicam com o cluster (p. 121).



Revisado o conteúdo sobre o parâmetrowlm_json_configuration e fornecida uma sintaxede exemplo para configurar esse parâmetro usando aAWS CLI nos sistemas operacionais Linux, Mac OS X eMicrosoft Windows. Para obter mais informações, consulteConfigurar o gerenciamento da carga de trabalho (p. 135).



Adicionadas notificações e descrições de evento nãoencontradas. Para obter mais informações, consulteCategorias de eventos e mensagens de eventos doAmazon Redshift (p. 379).

8 de janeiro de2015


Atualizada orientação sobre políticas do IAM para açõese recursos do Amazon Redshift. Revisada a seçãopara melhorar a organização e a clareza. Para obtermais informações, consulte Segurança no AmazonRedshift (p. 201).


Novo recurso Este release do Amazon Redshift introduz a capacidadede criptografar clusters usando chaves de criptografiado AWS Key Management Service (AWS KMS). OAWS KMS combina hardware e software seguros ealtamente disponíveis para fornecer um sistema degerenciamento de chaves escalado para a nuvem. Paraobter mais informações sobre o AWS KMS e as opçõesde criptografia do Amazon Redshift, consulte Criptografiado banco de dados do Amazon Redshift (p. 203) eGerenciamento de clusters usando o console (p. 35).


Novo recurso Esta versão do Amazon Redshift apresenta a possibilidadede identificar recursos, como clusters e snapshots.As tags permitem fornecer metadados definidos pelousuário para categorizar os relatórios de cobrançacom base na alocação de custo, além de ajudar aidentificar melhor recursos rapidamente. Para obter maisinformações, consulte Marcação de recursos no AmazonRedshift (p. 400).


415



Novo recurso Aumentado o limite máximo de nó para 128 nós detamanhos de nó dw1.8xlarge e dw2.8xlarge. Para obtermais informações, consulte Clusters e nós no AmazonRedshift (p. 5).



Adicionados links adicionados aos pacotes redistribuíveisdo Microsoft Visual C++ 2010 necessários para o AmazonRedshift usar drivers ODBC PostgreSQL. Para obter maisinformações, consulte Instalar e configurar o driver ODBCdo Amazon Redshift no Microsoft Windows (p. 91).


Novo recurso Adicionada a capacidade de encerrar consultas ecargas no Amazon Redshift console. Para obtermais informações, consulte Visualizar consultas ecargas (p. 352) e Visualizar métricas do cluster durante asoperações de carga (p. 364).



Diversas correções na documentação publicadas. 17 de outubro de2014

Novo conteúdo Adicionado conteúdo sobre como encerrar e excluirclusters. Para obter mais informações, consulteDesativação e exclusão de clusters (p. 33) e Excluir umcluster (p. 50).

14 de agosto de2014


Esclarecido o comportamento da configuração AllowVersion Upgrade para clusters. Para obter maisinformações, consulte Visão geral de clusters do AmazonRedshift (p. 5).

14 de agosto de2014


Revisados procedimentos, capturas de tela e organizaçãodo tópico sobre como trabalhar com clusters no AmazonRedshift console. Para obter mais informações, consulteGerenciamento de clusters usando o console (p. 35).

11 de julho de 2014

Novo conteúdo Adicionado um novo tutorial sobre como redimensionarclusters do Amazon Redshift, inclusive comoredimensionar um cluster enquanto se minimiza ovalor de tempo em que o cluster permanece em modosomente leitura. Para obter mais informações, consulteRedimensionar clusters no Amazon Redshift (p. 22).

27 de junho de2014

Novo recurso Adicionada a possibilidade de renomear clusters. Paraobter mais informações, consulte Renomeação declusters (p. 32) e Modificar um cluster (p. 47).

2 de junho de 2014


Atualizado o exemplo de código do .NET para usar oprovedor de dados ODBC durante a conexão com umcluster de maneira programática usando o .NET. Paraobter mais informações, consulte Conexão com o clusterusando .NET (p. 116).

15 de maio de 2014

Novo recurso Foram adicionadas opções para selecionar um parametergroup e um security group diferentes quando vocêrestaurar um cluster de um snapshot. Para obter maisinformações, consulte Restauração de um cluster usandoum snapshot (p. 178).

12 de maio de 2014

416



Novo recurso Adicionada nova seção para descrever como configurarum alarme do Amazon CloudWatch padrão para monitorara porcentagem de espaço em disco usado em um clusterdo Amazon Redshift. Esse alarme é uma nova opçãono processo de criação do cluster. Para obter maisinformações, consulte Alarme padrão de espaço emdisco (p. 20).

28 de abril de 2014


Esclarecidas informações sobre suporte a Diffie—HellmanExchange (ECDHE) no Amazon Redshift. Para obter maisinformações, consulte Conexão usando SSL (p. 102).

22 de abril de 2014

Novo recurso Adicionada afirmação sobre suporte do Amazon Redshiftpara o protocolo de acordo de chaves Elliptic curve Diffie—Hellman (ECDH). Para obter mais informações, consulteConexão usando SSL (p. 102).

18 de abril de 2014


Revisados e reorganizados os tópicos na seçãoConectar-se a um cluster do Amazon Redshift usandoas ferramentas do cliente SQL (p. 80). Adicionadas maisinformações sobre conexões JDBC e ODBC, e uma novaseção para solução de problemas de conexão.

15 de abril de 2014


Adicionada versão em exemplos de política do IAM emtodo o guia.

3 de abril de 2014


Adicionadas informações sobre como a definição de preçofunciona quando você redimensiona um cluster. Para obtermais informações, consulte Compra de nós reservados doAmazon Redshift (p. 189).

2 de abril de 2014

Novo recurso Adicionada uma seção sobre um novo parâmetro,max_cursor_result_set_size, que define o tamanhomáximo do conjunto de resultados, em megabytes,que pode ser armazenado por cursor individual. Essevalor de parâmetro também afeta o número de cursoresativos simultaneamente para o cluster. Para obter maisinformações, consulte Grupos de parâmetros do AmazonRedshift (p. 132).

28 de março de2014

Novo recurso Adicionada explicação sobre o campo Cluster Versionagora incluindo a versão do mecanismo do cluster e onúmero de revisão do banco de dados. Para obter maisinformações, consulte Clusters do Amazon Redshift (p. 5).

21 de março de2014

Novo recurso Atualizado o procedimento de redimensionamentopara mostrar as novas informações de andamento doredimensionamento na guia Status do cluster. Para obtermais informações, consulte Redimensionamento de umcluster (p. 52).

21 de março de2014


Reorganizado e atualizado O que é o AmazonRedshift? (p. 1) e revisado Visão geral de gerenciamentodo Amazon Redshift (p. 1). Diversas correções nadocumentação publicadas.


417



Novo recurso Adicionados novos tipos de nó e tamanhos para clustersdo Amazon Redshift, além de reescrito o tópico de visãogeral do cluster relacionado tendo em vista uma melhororganização e mais clareza nos comentários. Paraobter mais informações, consulte Clusters do AmazonRedshift (p. 5).


Novo recurso Adicionadas informações sobre endereços Elastic IP (EIP– IP elástico) para clusters do Amazon Redshift acessíveispublicamente em nuvens privadas virtuais. Para obtermais informações sobre EIP no Amazon Redshift, consulteGerenciamento de clusters em uma VPC (p. 63) e Criarum cluster em uma VPC (p. 65).


Novo recurso Adicionadas informações sobre os logs do AWS CloudTrailpara o Amazon Redshift. Para obter mais informaçõessobre o suporte do Amazon Redshift para CloudTrail,consulte Registrar em log chamadas de API do AmazonRedshift com o AWS CloudTrail (p. 292).


Novo recurso Adicionadas informações sobre o novo log deatividade do usuário e o parâmetro do base de dadosenable_user_activity_logging do recurso deregistro em log de auditoria do banco de dados no AmazonRedshift. Para obter mais informações sobre o registroem log de auditoria do banco de dados, consulte Registroem log da auditoria de banco de dados (p. 285). Paraobter mais informações sobre parâmetros de bancode dados, consulte Grupos de parâmetros do AmazonRedshift (p. 132).


Novo recurso Atualizado para descrever como configurar o AmazonRedshift para copiar automaticamente snapshotsautomatizados e manuais para uma região da AWSsecundária. Para obter mais informações sobre comoconfigurar uma cópia do snapshot em várias regiões,consulte Copiar snapshots para outra região daAWS (p. 163).


Novo recurso Adicionada a seção para descrever o registro em log deauditoria do Amazon Redshift para conexão e atividadedo usuário, além de armazenar esses logs no Amazon S3.Para obter mais informações sobre o registro em log deauditoria do banco de dados, consulte Registro em log daauditoria de banco de dados (p. 285).


418



Novo recurso Adicionada seção para descrever a criptografia doAmazon Redshift com novos recursos para gerenciarchaves de criptografia em um hardware securitymodule (HSM – Módulo de segurança de hardware) eem chaves de criptografia rotatória. Para obter maisinformações sobre criptografia, HSM e rodízio de chaves,consulte Criptografia do banco de dados do AmazonRedshift (p. 203), Criptografia para o Amazon Redshiftusando módulos de segurança de hardware (p. 205)e Rotação de chave de criptografia no AmazonRedshift (p. 206).


Novo recurso Atualizado para descrever como publicar notificações deeventos do Amazon Redshift usando o Amazon SNS. Paraobter mais informações sobre notificações de eventos doAmazon Redshift, consulte Notificações de eventos doAmazon Redshift (p. 377).


Novo recurso Atualizado para descrever permissões no nível derecursos do IAM. Para obter mais informações sobrepermissões do Amazon Redshift IAM, consulte Segurançano Amazon Redshift (p. 201).

9 de agosto de2013

Novo recurso Atualizado para descrever métricas de progresso darestauração. Para obter mais informações, consulteRestauração de um cluster usando um snapshot (p. 163).

9 de agosto de2013

Novo recurso Atualizado para descrever as métricas decompartilhamento de snapshot do cluster e criar métricasde andamento do snapshot. Para obter mais informações,consulte Compartilhar snapshots (p. 169).

17 de julho de 2013


Diversas correções na documentação publicadas. 8 de julho de 2013

Novas telas deconsole

Atualização do Amazon Redshift Cluster ManagementGuide para comparar alterações no console do AmazonRedshift.

22 de abril de 2013

Novo guia Este é o primeiro release do Guia de Gerenciamento doAmazon Redshift.


419

amazon redshift - guia de gerenciamento de clusters€¦ · amazon redshift guia de gerenciamento...

Documents