Menggunakan IAM otentikasi untuk menghasilkan kredensyal pengguna database - Amazon Redshift

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan IAM otentikasi untuk menghasilkan kredensyal pengguna database

Anda dapat membuat kredenal database sementara berdasarkan izin yang diberikan melalui kebijakan izin AWS Identity and Access Management (IAM) untuk mengelola akses yang dimiliki pengguna ke database Amazon Redshift Anda.

Umumnya, pengguna database Amazon Redshift masuk ke database dengan memberikan nama pengguna dan kata sandi database. Namun, Anda tidak perlu mempertahankan nama pengguna dan kata sandi di database Amazon Redshift Anda. Sebagai alternatif, Anda dapat mengonfigurasi sistem Anda untuk mengizinkan pengguna membuat kredensi pengguna dan masuk ke database berdasarkan kredensialnyaIAM.

Amazon Redshift menyediakan GetClusterCredentialsAPIoperasi untuk menghasilkan kredenal pengguna database sementara. Anda dapat mengonfigurasi SQL klien Anda dengan Amazon Redshift JDBC atau ODBC driver yang mengelola proses pemanggilan operasi. GetClusterCredentials Mereka melakukannya dengan mengambil kredensi pengguna database, dan membuat koneksi antara SQL klien Anda dan database Amazon Redshift Anda. Anda juga dapat menggunakan aplikasi database Anda untuk memanggil GetClusterCredentials operasi secara terprogram, mengambil kredensi pengguna database, dan terhubung ke database.

Jika Anda sudah mengelola identitas pengguna di luar AWS, Anda dapat menggunakan penyedia identitas (iDP) yang sesuai dengan Security Assertion Markup Language SAML () 2.0 untuk mengelola akses ke sumber daya Amazon Redshift. Anda mengonfigurasi IDP Anda untuk mengizinkan pengguna federasi Anda mengakses peran. IAM Dengan IAM peran itu, Anda dapat menghasilkan kredensi database sementara dan masuk ke database Amazon Redshift.

SQLKlien Anda memerlukan izin untuk memanggil GetClusterCredentials operasi untuk Anda. Anda mengelola izin tersebut dengan membuat IAM peran dan melampirkan kebijakan IAM izin yang memberikan atau membatasi akses ke operasi dan tindakan terkait. GetClusterCredentials Sebagai praktik terbaik, kami sarankan untuk melampirkan kebijakan izin ke IAM peran dan kemudian menetapkannya ke pengguna dan grup sesuai kebutuhan. Untuk informasi selengkapnya, lihat Identitas dan manajemen akses di Amazon Redshift.

Kebijakan ini juga memberikan atau membatasi akses ke sumber daya tertentu, seperti klaster Amazon Redshift, database, nama pengguna database, dan nama grup pengguna.

catatan

Sebaiknya gunakan Amazon Redshift JDBC atau ODBC driver untuk mengelola proses panggilan GetClusterCredentials operasi dan masuk ke database. Untuk kesederhanaan, kami berasumsi bahwa Anda menggunakan SQL klien dengan JDBC atau ODBC driver di seluruh topik ini.

Untuk detail spesifik dan contoh penggunaan GetClusterCredentials operasi atau get-cluster-credentials CLI perintah parallel, lihat GetClusterCredentialsdan get-cluster-credentials.

Untuk mengelola otentikasi dan otorisasi secara terpusat, Amazon Redshift mendukung otentikasi database denganIAM, memungkinkan otentikasi pengguna melalui federasi perusahaan. Alih-alih membuat pengguna, Anda dapat menggunakan identitas yang ada dari AWS Directory Service, direktori pengguna perusahaan Anda, atau penyedia identitas web. Ini dikenal sebagai pengguna federasi. AWS menetapkan peran untuk pengguna federasi ketika akses diminta melalui iDP.

Untuk menyediakan akses gabungan ke aplikasi pengguna atau klien di organisasi Anda untuk memanggil operasi Amazon API Redshift, Anda juga dapat menggunakan JDBC driver ODBC atau SAML dengan dukungan 2.0 untuk meminta autentikasi dari IDP organisasi Anda. Dalam hal ini, pengguna organisasi Anda tidak memiliki akses langsung ke Amazon Redshift.

Untuk informasi selengkapnya, lihat Penyedia Identitas dan Federasi di Panduan IAM Pengguna.