Teradata QueryGridセキュリティ - Teradata QueryGrid

Teradata® QueryGrid™ インストールとユーザー ガイド
Product
Teradata QueryGrid
Release Number
2.11
Published
2019年12月
Language
日本語
Last Update
2020-04-13
dita:mapPath
ja-JP/fya1571089961130.ditamap
dita:ditavalPath
ft:empty
dita:id
lfq1484661135852

QueryGridマネージャ ルート認証局

QueryGridマネージャ インスタンスは、1つ以上のTMS、VM、またはサーバーにインストールできます。最初のQueryGridマネージャ インスタンスがインストールされると、QueryGridマネージャはルート認証局(CA)を生成します。追加のQueryGridマネージャ インスタンスがインストールされ、すべてのインスタンスがクラスタ化されると、最初のQueryGridマネージャ インスタンスによって生成されたルートCAがクラスタ全体で使用されます。

ルートCAは、Teradata QueryGridのインストール中に、Viewpointで登録する必要があります。

ルートCAは、各QueryGridマネージャ インスタンスのSSL証明書に署名します。

QueryGridマネージャSSL証明書

各QueryGridマネージャ インスタンスは、以下のような自身と他のすべてのクライアント間のセキュリティで保護された通信用のSSL証明書を生成します。
  • 同じクラスタ内の追加のQueryGridマネージャ インスタンス
  • システム内のデータ ソース ノード
  • Viewpoint
  • Swagger APIドキュメントへのブラウザ
  • RESTクライアント
ポート9433への外部アクセスは、Viewpoint、Swagger UIアクセス、およびRESTクライアントで許可されます。このポートのSSL証明書はカスタマイズ可能です。詳細については、カスタム サーバー証明書のインストール/アンインストールを参照してください。

QueryGridのデータ ソース システムにデータ ソース ノードを追加すると、QueryGridマネージャ インスタンスはノード ソフトウェアのインストール中にノードにSSL証明書を提供します。ルートCAによって署名されたSSL証明書により、データ ソース ノードは信頼されたQueryGridマネージャ インスタンスと通信していることを確認できます。

ファブリック内のTeradata QueryGridマネージャ インスタンスとデータ ソース ノード間のすべての通信は、ポート9444を介してHTTPSを使用します。

QueryGrid Managerサービス アカウント

QueryGrid Managerが最初に起動されたときに、viewpointsupportという名前のサービス アカウントがデフォルトのパスワードを使用して自動的に作成されます。これらのアカウントのデフォルトのパスワードを変更することを強く推奨します。パスワードの変更の詳細については、サービス アカウント パスワードの変更を参照してください。

データ ソース ノードの認証と登録

QueryGridのデータ ソースにデータ ソース ノードを追加すると、ノード ソフトウェアがノードにインストールされ、ノード サービスはノードをQueryGridマネージャ インスタンスに登録します。ノード サービスは、次のものを提供します。
アイテム 説明
UUID ノードがQueryGridマネージャ インスタンスに対して自身を認証するときに、ノードのユーザー名として機能します。
時間制限付きアクセス トークン ノードをデータ ソースに初めて追加する前に、ノードを認証します。
認証用に生成されたパスワード ノードが初めてデータ ソースに参加した後、ノードがQueryGridマネージャ インスタンスに対して自身を認証できるようにします。

IPアドレスとホスト名の確認

最初のTeradata QueryGridマネージャ インスタンスが起動すると、生成されたSSL証明書には、QueryGridマネージャTMS、VM、またはサーバーのIPアドレスとTeradata QueryGridマネージャで認識されているホスト名が含まれているため、クライアントがホストの検証を実行できます。

Teradata QueryGridマネージャが未知のホスト名またはIPアドレスによってアクセスされる場合、ホスト名またはIPアドレスのカンマ区切りのリストを含めることができるエイリアスのプロパティを設定して、SSL証明書にそれらのホスト名またはIPアドレスを追加できます。エイリアスを追加する手順は、このガイドのインストール手順に記載されています。

ファブリック内でのデータ転送のための通信ポリシー

コネクタは、ファブリック内のデータ ソース ノードとの間でデータの送受信を可能にします。Teradata QueryGridを構成する場合、開始コネクタとターゲット コネクタに関連付けられたリンク ペアに対して、通信ポリシーを設定できます。データ転送に使用する認証、整合性および暗号化チェックのさまざまな組み合わせを定義し、各リンクに使用するものを指定できます。

通信ポリシーには、次のいずれかのセキュリティ レベルを含めることができます。
セキュリティ レベル 使用

IPベースの認証、整合性チェックなし、暗号化なし

 デフォルト。最小レベルのセキュリティを指定します。信頼度の高い環境でのみ使用することが推奨されます。
IPベースの認証、チェックサム整合性チェック、暗号化なし 以前のレベルよりも高いセキュリティを提供しますが、それでも信頼された環境でのみ使用することをお勧めします。
キーベースの認証、セキュリティで保護された整合性チェック、暗号化された資格情報 以前のレベルよりも高いセキュリティを提供するため、信頼されていない環境での使用が推奨されます。
キーベースの認証、セキュリティで保護された整合性チェック、すべてのデータの暗号化 最高レベルのセキュリティを提供するため、信頼されていない環境での使用が推奨されます。利用できる暗号化および整合性アルゴリズムは、AES-CRC32、AES-GCM(デフォルト)、AES-SHA256、またはAES-SHA512です。

OSユーザー

セキュリティは、コネクタ ソフトウェアが使用するOSユーザーによっても異なります。各コネクタのOSユーザーを指定できます。このユーザーは通常、データ ソース ユーザーと同じです。

データ ソース ユーザー
Teradata Database teradataユーザー
Presto prestoユーザー
Hive クエリーを実行するユーザー(hiveなど)、yarnユーザー、およびKerberosプリンシパル ユーザーまたはその他の承認されたユーザー
Spark SQL クエリーを実行するユーザー(hiveなど)、yarnユーザー、およびKerberosプリンシパル ユーザーまたはその他の承認されたユーザー

LDAPとKerberos

ターゲット コネクタに対してサポートされているセキュリティ メカニズムは、Teradata Database、Presto、およびHiveコネクタによって異なります。データ ソースに固有のセキュリティ メカニズムの詳細については、該当するコネクタのセキュリティのセクションを参照してください。

Teradata QueryGridの一般的なセキュリティ ガイドライン

次のガイドラインは、Teradata QueryGridのセキュリティを維持するためのベスト プラクティスを表わしています。
  • インストール時にTeradata QueryGridマネージャ サービス アカウントのデフォルトのパスワードを変更してください。手順は、このガイドで提供されています。
  • Viewpointで適切なアクセス権限を設定し、Teradata QueryGrid構成を編集できるユーザーを制限します。
  • セキュリティ保護された環境で実行されているイニシエータ データ ソースのみを使用してリンクを作成します。
  • リンクの通信ポリシーを指定する場合は、環境に適したセキュリティ オプションを使用します。