Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Automatisches Erstellen von Amazon Redshift Redshift-Rollen für AWS IAM Identity Center
Bei dieser Funktion handelt es sich um eine Integration AWS IAM Identity Center , mit der Sie automatisch Rollen in Redshift basierend auf der Gruppenmitgliedschaft erstellen können.
Die automatische Erstellung von Rollen bietet mehrere Vorteile. Wenn Sie eine Rolle automatisch erstellen, erstellt Redshift die Rolle mit Gruppenmitgliedschaft in Ihrem IdP, sodass Sie die mühsame manuelle Erstellung und Wartung von Rollen vermeiden können. Sie haben auch die Möglichkeit, anhand von Ein- und Ausschlussmustern zu filtern, welche Gruppen Redshift-Rollen zugeordnet sind.
Funktionsweise
Wenn Sie sich als IdP-Benutzer bei Redshift anmelden, passiert die folgende Abfolge von Ereignissen:
-
Redshift ruft Ihre Gruppenmitgliedschaften vom IdP ab.
-
Redshift erstellt automatisch Rollen, die diesen Gruppen zugeordnet sind, mit dem Rollenformat
idp_namespace:rolename -
Redshift gewährt Ihnen Berechtigungen für die zugewiesenen Rollen.
Bei jeder Benutzeranmeldung wird jede Gruppe, die nicht im Katalog vorhanden ist, zu der der Benutzer jedoch gehört, automatisch erstellt. Sie können optional Einschluss- und Ausschlussfilter festlegen, um zu steuern, für welche IdP-Gruppen Redshift-Rollen erstellt wurden.
Konfiguration automatisch erstellter Rollen
Verwenden Sie die ALTER IDENTITY PROVIDER Befehle CREATE IDENTITY PROVIDER und, um die automatische Rollenerstellung zu aktivieren und zu konfigurieren.
-- Create a new IdP with auto role creation enabled CREATE IDENTITY PROVIDER <idp_name> TYPE AWSIDC NAMESPACE '<namespace>' APPLICATION_ARN 'app_arn' IAM_ROLE 'role_arn' AUTO_CREATE_ROLES TRUE; -- Enable on existing IdP ALTER IDENTITY PROVIDER <idp_name> AUTO_CREATE_ROLES TRUE; -- Disable ALTER IDENTITY PROVIDER <idp_name> AUTO_CREATE_ROLES FALSE;
Gruppen filtern
Sie können optional mithilfe INCLUDE von and-Mustern filtern, welche IdP-Gruppen Redshift-Rollen zugeordnet sind. EXCLUDE Wenn Muster miteinander in Konflikt geraten, EXCLUDE hat dies Vorrang vor. INCLUDE
-- Only create roles for groups with 'dev' CREATE IDENTITY PROVIDER <idp_name> TYPE AWSIDC ... AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%'; -- Exclude 'test' groups ALTER IDENTITY PROVIDER <idp_name> AUTO_CREATE_ROLES TRUE EXCLUDE GROUPS LIKE '%test%';
Beispiele
Das folgende Beispiel zeigt, wie Sie die automatische Erstellung von Rollen ohne Filterung aktivieren.
CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC ...
AUTO_CREATE_ROLES TRUE;Das folgende Beispiel umfasst Entwicklungsgruppen und schließt Testgruppen aus.
ALTER IDENTITY PROVIDER prod_idc
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%'
EXCLUDE GROUPS LIKE '%test%';Bewährte Methoden
Beachten Sie die folgenden bewährten Methoden, wenn Sie die automatische Erstellung für Rollen aktivieren:
-
Steuern Sie mithilfe
INCLUDEvonEXCLUDEFiltern, welche Gruppen Rollen erhalten. -
Prüfen Sie regelmäßig Rollen und bereinigen Sie ungenutzte.
-
Nutzen Sie Redshift-Rollenhierarchien, um die Rechteverwaltung zu vereinfachen.
