Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Création automatique de rôles Amazon Redshift pour AWS IAM Identity Center - Amazon Redshift
Comment ça marcheConfiguration des rôles de création automatiqueGroupes de filtrageExemplesBonnes pratiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création automatique de rôles Amazon Redshift pour AWS IAM Identity Center

PDFRSS

Cette fonctionnalité est une intégration AWS IAM Identity Center qui vous permet de créer automatiquement des rôles dans Redshift en fonction de l'appartenance à un groupe.

La création automatique de rôles présente plusieurs avantages. Lorsque vous créez automatiquement un rôle, Redshift le crée avec l'appartenance à un groupe dans votre IdP, ce qui vous permet d'éviter la création et la maintenance manuelles fastidieuses des rôles. Vous avez également la possibilité de filtrer les groupes mappés aux rôles Redshift avec des modèles d'inclusion et d'exclusion.

Comment ça marche

Lorsque vous, en tant qu'utilisateur IdP, vous connectez à Redshift, la séquence d'événements suivante se produit :

  1. Redshift récupère les adhésions à vos groupes auprès de l'IdP.

  2. Redshift crée automatiquement des rôles correspondant à ces groupes, selon le format des rôles. idp_namespace:rolename

  3. Redshift vous accorde des autorisations pour les rôles mappés.

À chaque connexion utilisateur, chaque groupe qui n'est pas présent dans le catalogue mais dont l'utilisateur fait partie est créé automatiquement. Vous pouvez éventuellement définir des filtres d'inclusion et d'exclusion pour contrôler les groupes IdP pour lesquels des rôles Redshift ont été créés.

Configuration des rôles de création automatique

Utilisez les ALTER IDENTITY PROVIDER commandes CREATE IDENTITY PROVIDER et pour activer et configurer la création automatique de rôles.

-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER <idp_name> TYPE AWSIDC
  NAMESPACE '<namespace>' 
  APPLICATION_ARN 'app_arn'
  IAM_ROLE 'role_arn'
  AUTO_CREATE_ROLES TRUE; 

-- Enable on existing IdP 
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES TRUE;

-- Disable  
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES FALSE;

Groupes de filtrage

Vous pouvez éventuellement filtrer les groupes IdP mappés aux rôles Redshift à l'aide de modèles et de modèles. INCLUDE EXCLUDE En cas de conflit entre les modèles, EXCLUDE prend le pas sur. INCLUDE

-- Only create roles for groups with 'dev' 
CREATE IDENTITY PROVIDER <idp_name> TYPE AWSIDC
  ...
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%';
    
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER <idp_name>  
  AUTO_CREATE_ROLES TRUE
  EXCLUDE GROUPS LIKE '%test%';

Exemples

L'exemple suivant montre comment activer la création automatique de rôles sans filtrage.

CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC  ...
  AUTO_CREATE_ROLES TRUE;

L'exemple suivant inclut les groupes de développement et exclut les groupes de test.

ALTER IDENTITY PROVIDER prod_idc
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%'
  EXCLUDE GROUPS LIKE '%test%';

Bonnes pratiques

Tenez compte des meilleures pratiques suivantes lorsque vous activez la création automatique pour les rôles :

  • Utilisez INCLUDE des EXCLUDE filtres pour contrôler quels groupes obtiennent des rôles.

  • Auditez régulièrement les rôles et nettoyez ceux qui ne sont pas utilisés.

  • Tirez parti des hiérarchies de rôles Redshift pour simplifier la gestion des autorisations.

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.