Conexión de Redshift con AWS IAM Identity Center para una experiencia de inicio de sesión único - Amazon Redshift

Conexión de Redshift con AWS IAM Identity Center para una experiencia de inicio de sesión único

Puede administrar el acceso de usuarios y grupos a los almacenamientos de datos de Amazon Redshift mediante la propagación de identidades de confianza. Esto funciona mediante una conexión entre Redshift y AWS IAM Identity Center, que ofrece a los usuarios una experiencia de inicio de sesión único. De este modo puede incorporar usuarios y grupos de su directorio y asignarles permisos directamente. Posteriormente, esta conexión permite vincular herramientas y servicios adicionales. Para ilustrar un caso integral, puede utilizar un panel de Amazon QuickSight o el editor de consultas v2 de Amazon Redshift para acceder a Redshift. En este caso, el acceso se basa en grupos de AWS IAM Identity Center. Redshift puede determinar quién es un usuario y a qué grupos pertenece. AWS IAM Identity Center también permite conectar y administrar identidades mediante un proveedor de identidades (IdP) externo como Okta o PingOne.

Una vez que el administrador haya configurado la conexión entre Redshift y AWS IAM Identity Center, podrá configurar un acceso detallado en función de los grupos de proveedores de identidad para autorizar el acceso de los usuarios a los datos.

importante

Al eliminar un usuario de un AWS IAM Identity Center o de un directorio de proveedor de identidades (IdP) conectado, el usuario no se elimina automáticamente del catálogo de Amazon Redshift. Para eliminar manualmente el usuario del catálogo de Amazon Redshift, ejecute el comando DROP USER para eliminar por completo el usuario que se eliminó de un AWS IAM Identity Center o IdP. Para obtener más información acerca de cómo eliminar a un usuario, consulte ELIMINAR A UN USUARIO en la Guía para desarrolladores de bases de datos de Amazon Redshift.

Las ventajas de la integración de Redshift con AWS IAM Identity Center

Usar AWS IAM Identity Center con Redshift puede beneficiar a su organización de las siguientes maneras:

  • Los autores de los paneles en Amazon QuickSight pueden conectarse a los orígenes de datos de Redshift sin tener que volver a introducir las contraseñas ni requerir que un administrador configure roles de IAM con permisos complejos.

  • AWS IAM Identity Center proporciona una ubicación central para sus usuarios en AWS. Puede crear usuarios y grupos directamente en AWS IAM Identity Center o conectar los usuarios y grupos existentes que administra en un proveedor de identidades basado en estándares, como Okta, PingOne o Microsoft Entra ID (Azure AD). AWS El IAM Identity Center dirige la autenticación hacia el origen de confianza elegido para los usuarios y grupos, y mantiene un directorio de usuarios y grupos al que puede acceder Redshift. Para obtener más información, consulte Administre su fuente de identidad y los Proveedores de identidades compatibles en la Guía del usuario del AWS IAM Identity Center.

  • Puede compartir una instancia de AWS IAM Identity Center con varios clústeres y grupos de trabajo de Redshift con una sencilla función de conexión y detección automática. Esto agiliza la adición de clústeres sin el esfuerzo adicional que supone configurar la conexión de AWS IAM Identity Center para cada uno de ellos, y garantiza que todos los clústeres y grupos de trabajo tengan una visión coherente de los usuarios, sus atributos y grupos. Tenga en cuenta que la instancia de AWS IAM Identity Center de su organización debe estar en la misma región que cualquier recurso compartido de datos de Redshift al que se conecte.

  • Como las identidades de los usuarios son conocidas y se registran junto con el acceso a los datos, le resulta más fácil cumplir con las normas de conformidad auditando el acceso de los usuarios en AWS CloudTrail.

Personas con el rol de administrador para conectar aplicaciones

A continuación se indican las personas clave para conectar las aplicaciones de análisis a la aplicación administrada por AWS IAM Identity Center para Redshift:

  • Administrador de aplicaciones: crea una aplicación y configura los servicios con los que permitirá el intercambio de tokens de identidad. Este administrador también especifica qué usuarios o grupos tienen acceso a la aplicación.

  • Administrador de datos: configura el acceso detallado a los datos. Los usuarios y grupos de AWS IAM Identity Center pueden asignarse a permisos específicos.

Conexión a Amazon Redshift con AWS IAM Identity Center mediante Amazon QuickSight

A continuación, se muestra cómo utilizar Amazon QuickSight para autenticarse con Redshift cuando está conectado y el acceso se administra a través de AWS IAM Identity Center: Autorización de conexiones desde Amazon QuickSight a clústeres de Amazon Redshift. Estos pasos también se aplican a Amazon Redshift sin servidor.

Conexión a Amazon Redshift con AWS IAM Identity Center mediante el editor de consultas v2 de Amazon Redshift

Al completar los pasos para configurar una conexión de AWS IAM Identity Center con Redshift, el usuario puede acceder a la base de datos y a los objetos correspondientes de la base de datos a través de su identidad basada en AWS IAM Identity Center y con el prefijo de espacio de nombres. Para obtener más información sobre la conexión a bases de datos de Redshift con el editor de consultas v2, consulte Trabajo con el editor de consultas v2.