Swisscom 如何利用 AWS CDK 实现 Amazon Redshift 的自动化管理

关键要点

Swisscom 是瑞士领先的电信服务提供商，其数据、分析和 AI 部门正在构建一款 One Data Platform (ODP) 解决方案，以使每位 Swisscom 员工、流程和产品都能从公司数据中获得巨大价值。

在本文中，我们将深入探讨 Swisscom 如何使用 AWS 云开发工具包AWS CDK来自动化 Amazon Redshift 的配置，同时提供代码片段及其他实用参考。

本文将详细介绍如何利用 AWS CDK 配置一个安全且合规的 Redshift 群集，并讨论最佳实践，如秘密轮换等。同时，我们还将解释 Swisscom 如何使用 AWS CDK 的自定义资源来实现与不同职能相匹配的 IAM 角色的动态用户组创建。

在 第二部分 中，我们将探讨如何利用 AWS CDK 和一些关键主题为最终用户提供自助服务，以便使用现有的 Redshift 群集以及其他托管服务和应用程序。

One Data Platform

ODP 架构基于 AWS 良好架构框架分析镜头，采用原始、标准化、一致化和丰富化的层次结构。通过使用 基础设施即代码 (IaC) 工具，ODP 实现了统一的数据管理和自助数据访问。

以下是 ODP 的高层架构图，展示了不同层次的现代数据架构。本系列文章将专注于与 Amazon Redshift 相关的组件以红色高亮显示。

利用 Amazon Redshift 构建 ODP

在数据仓库迁移过程中，一项关键决策是在“提升和转移”与“重新架构”之间进行权衡。Amazon Redshift 作为一个云中心数据仓库解决方案，因其与现代数据架构的简便无缝集成而脱颖而出。

在确保数据摄取、转化和产品共享便捷顺畅的同时，Swisscom 通过个性化的 Redshift 群集配置，实现了数据领域和用例特定的资源在一个统一的数据环境中的整合。用户可根据具体需求自定义群集配置，涵盖节点类型、大小、子网类型及其他关键参数。

管理用户秘密轮换

作为群集部署的一部分，Swisscom 使用 AWS Secrets Manager 来存储管理数据库所需的管理员用户凭证。所有用来处理 Amazon Redshift 的用户都通过 AWS KMS 对相应的秘密进行加密，以确保安全性。

AWS CDK 自定义资源的一个关键挑战是自动创建与特定 IAM 角色绑定的动态用户组。在这里，Swisscom 创建了一个 AWS CDK 自定义资源，利用管理员用户提交和执行 SQL 语句，以实现所需的用户组配置，确保这些关键步骤在群集部署时得到自动处理。

结论

Swisscom 正在构建其数据即服务平台，而 Amazon Redshift 在这个解决方案中扮演着重要角色。我们讨论了使用 AWS CDK 部署安全且可维护的 Redshift 群集时需要遵循的最佳实践。

后续的 第二部分 中，我们将深入探讨增强最终用户的自助服务能力。

在开始之前，我们建议与 Amazon Redshift 专家 进行沟通。

关于作者

Asad bin Imtiaz 是 Swisscom 的数据工程专家，拥有超过 17 年的企业级数据解决方案架构与实施经验。

Jess Montelongo Hernndez 是 Swisscom 的云数据工程专家，拥有超过 20 年的 IT 系统、数据仓库和数据工程经验。

Samuel Bucheli 是 Zhlke Engineering AG 的首席云架构师，拥有超过 20 年的软件工程、软件架构和云架构经验。

Srikanth Potu 是 EMEA 的高级顾问，隶属于 AWS 的专业服务组织，拥有超过 25 年的企业数据架构、数据库和数据仓库方面的经验。