Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Connect Redshift dengan AWS IAMPusat Identitas untuk pengalaman masuk tunggal
Anda dapat mengelola akses pengguna dan grup ke gudang data Amazon Redshift melalui propagasi identitas terpercaya. Ini bekerja melalui koneksi antara Redshift dan AWS IAMIdentity Center, yang memberi pengguna Anda pengalaman masuk tunggal. Ini membuatnya sehingga Anda dapat membawa pengguna dan grup dari direktori Anda dan menetapkan izin langsung kepada mereka. Selanjutnya, koneksi ini mendukung pengikatan alat dan layanan tambahan. Untuk mengilustrasikan satu end-to-end kasus, Anda dapat menggunakan Amazon QuickSight dasbor atau editor kueri Amazon Redshift v2 untuk mengakses Redshift. Akses dalam hal ini didasarkan pada AWS IAMGrup Pusat Identitas. Redshift dapat menentukan siapa pengguna dan keanggotaan grup mereka. AWS IAMIdentity Center juga memungkinkan untuk menghubungkan dan mengelola identitas melalui penyedia identitas pihak ketiga (iDP) seperti Okta atau. PingOne
Setelah administrator Anda mengatur koneksi antara Redshift dan AWS IAMPusat Identitas, mereka dapat mengonfigurasi akses berbutir halus berdasarkan grup penyedia identitas untuk mengotorisasi akses pengguna ke data.
Manfaat integrasi Redshift dengan AWS IAMPusat Identitas
Penggunaan AWS IAMPusat Identitas dengan Redshift dapat menguntungkan organisasi Anda dengan cara berikut:
-
Penulis dasbor di Amazon QuickSight dapat terhubung ke sumber data Redshift tanpa harus memasukkan kembali kata sandi atau mengharuskan administrator untuk mengatur IAM peran dengan izin yang kompleks.
-
AWS IAMPusat Identitas menyediakan lokasi terpusat bagi pengguna tenaga kerja Anda di AWS. Anda dapat membuat pengguna dan grup secara langsung AWS IAMPusat Identitas atau sambungkan pengguna dan grup yang ada yang Anda kelola di penyedia identitas berbasis standar seperti Okta,, PingOne atau Microsoft Entra ID (Azure AD). AWS IAMIdentity Center mengarahkan otentikasi ke sumber kebenaran yang Anda pilih untuk pengguna dan grup, dan memelihara direktori pengguna dan grup untuk diakses oleh Redshift. Untuk informasi selengkapnya, lihat Mengelola sumber identitas Anda dan Penyedia identitas yang didukung di AWS IAMPanduan Pengguna Pusat Identitas.
-
Anda dapat berbagi satu AWS IAMInstance Identity Center dengan beberapa cluster Redshift dan workgroup dengan kemampuan penemuan otomatis dan koneksi yang sederhana. Ini membuatnya cepat untuk menambahkan cluster tanpa upaya ekstra untuk mengonfigurasi AWS IAMKoneksi Pusat Identitas untuk masing-masing, dan memastikan bahwa semua cluster dan kelompok kerja memiliki pandangan yang konsisten dari pengguna, atribut mereka, dan grup. Perhatikan bahwa organisasi Anda AWS IAMInstance Identity Center harus berada di wilayah yang sama dengan datashares Redshift mana pun yang Anda sambungkan.
-
Karena identitas pengguna diketahui dan dicatat bersama dengan akses data, lebih mudah bagi Anda untuk memenuhi peraturan kepatuhan melalui audit akses pengguna di AWS CloudTrail.
Pengaturan AWS IAMIntegrasi Pusat Identitas dengan Amazon Redshift
Administrator klaster Amazon Redshift atau administrator Amazon Redshift Serverless Anda harus melakukan beberapa langkah untuk mengonfigurasi Redshift sebagai AWS IAMAplikasi diaktifkan Pusat Identitas. Ini membuatnya sehingga Redshift dapat menemukan dan terhubung AWS IAMPusat Identitas secara otomatis untuk menerima layanan masuk dan direktori pengguna. Setelah ini, ketika administrator Redshift Anda membuat klaster atau grup kerja, mereka dapat mengaktifkan gudang data baru untuk digunakan AWS IAMPusat Identitas untuk mengelola akses basis data.
Inti dari mengaktifkan Redshift sebagai AWS IAMAplikasi terkelola Pusat Identitas adalah agar Anda dapat mengontrol izin pengguna dan grup dari dalam AWS IAMIdentity Center, atau dari penyedia identitas pihak ketiga yang terintegrasi dengannya. Ketika pengguna database Anda masuk ke database Redshift, misalnya analis atau ilmuwan data, ia memeriksa grup mereka AWS IAMPusat Identitas dan ini cocok dengan nama peran di Redshift. Dengan cara ini, grup yang mendefinisikan nama untuk peran database Redshift dapat mengakses satu set tabel untuk analisis penjualan, misalnya. Bagian berikut menunjukkan cara mengatur ini.
Prasyarat
Ini adalah prasyarat untuk mengintegrasikan AWS IAMPusat Identitas dengan Amazon Redshift:
-
Konfigurasi akun - Anda harus mengkonfigurasi AWS IAMPusat Identitas di AWS akun manajemen organisasi jika Anda berencana untuk memiliki kasus penggunaan lintas akun, atau jika Anda menggunakan klaster Redshift di akun yang berbeda dengan yang sama AWS IAMContoh Pusat Identitas. Ini termasuk mengonfigurasi sumber identitas Anda. Untuk informasi selengkapnya, lihat Memulai, identitas tenaga kerja, dan penyedia identitas yang didukung di AWS IAMPanduan Pengguna Pusat Identitas. Anda harus memastikan bahwa Anda telah membuat pengguna atau grup AWS IAMPusat Identitas, atau pengguna dan grup yang disinkronkan dari sumber identitas Anda sebelum Anda dapat menetapkannya ke data di Redshift.
catatan
Anda memiliki opsi untuk menggunakan instance akun AWS IAMPusat Identitas, asalkan Redshift dan AWS IAMIdentity Center berada di akun yang sama. Anda dapat membuat instance ini menggunakan widget saat membuat dan mengonfigurasi cluster atau workgroup Redshift.
-
Mengonfigurasi penerbit token tepercaya — Dalam beberapa kasus, Anda mungkin perlu menggunakan penerbit token tepercaya, yang merupakan entitas yang dapat mengeluarkan dan memverifikasi token kepercayaan. Sebelum Anda dapat melakukannya, langkah-langkah awal diperlukan sebelum administrator Redshift yang mengonfigurasi AWS IAMIntegrasi Identity Center dapat memilih penerbit token tepercaya dan menambahkan atribut yang diperlukan untuk menyelesaikan konfigurasi. Ini dapat mencakup mengonfigurasi penyedia identitas eksternal untuk berfungsi sebagai penerbit token tepercaya dan menambahkan atributnya di AWS IAMKonsol Pusat Identitas. Untuk menyelesaikan langkah-langkah ini, lihat Menggunakan aplikasi dengan penerbit token tepercaya.
catatan
Menyiapkan penerbit token tepercaya tidak diperlukan untuk semua koneksi eksternal. Menyambungkan ke database Redshift Anda dengan editor kueri Amazon Redshift v2 tidak memerlukan konfigurasi penerbit token tepercaya. Tetapi itu dapat berlaku untuk aplikasi pihak ketiga seperti dasbor atau aplikasi khusus yang mengautentikasi dengan penyedia identitas Anda.
-
Mengkonfigurasi IAM peran atau peran — Bagian yang mengikuti menyebutkan izin yang harus dikonfigurasi. Anda harus menambahkan izin per praktik IAM terbaik. Izin khusus dirinci dalam prosedur berikut.
Untuk informasi selengkapnya, lihat Memulai AWS IAMPusat Identitas.
Mengkonfigurasi penyedia identitas Anda untuk bekerja dengan AWS IAMPusat Identitas
Langkah pertama dalam mengendalikan manajemen identitas pengguna dan grup adalah terhubung AWS IAMPusat Identitas dan konfigurasikan penyedia identitas Anda. Anda dapat menggunakan AWS IAMIdentity Center sendiri sebagai penyedia identitas Anda, atau Anda dapat menghubungkan toko identitas pihak ketiga, seperti Okta, misalnya. Untuk informasi selengkapnya tentang menyiapkan sambungan ke dan mengonfigurasi penyedia identitas Anda, lihat Connect ke penyedia identitas eksternal di AWS IAMPanduan pengguna Pusat Identitas. Pastikan pada akhir proses ini bahwa Anda memiliki koleksi kecil pengguna dan grup yang ditambahkan AWS IAMPusat Identitas, untuk tujuan pengujian.
Izin Administratif
Izin diperlukan untuk Redshift/AWS IAMManajemen siklus hidup aplikasi Pusat Identitas
Anda harus membuat IAM identitas, yang digunakan administrator Redshift untuk mengonfigurasi Redshift untuk digunakan AWS IAMPusat Identitas. Paling umum, Anda akan membuat IAM peran dengan izin dan menetapkannya ke identitas lain sesuai kebutuhan. Itu harus memiliki izin yang terdaftar untuk melakukan tindakan berikut.
Membuat Pergeseran Merah/AWS IAMAplikasi Pusat Identitas
-
sso:PutApplicationAssignmentConfiguration- Untuk keamanan. -
sso:CreateApplication— Digunakan untuk membuat AWS IAMAplikasi Pusat Identitas. -
sso:PutApplicationAuthenticationMethod— Memberikan akses otentikasi Redshift. -
sso:PutApplicationGrant— Digunakan untuk mengubah informasi penerbit token tepercaya. -
sso:PutApplicationAccessScope— Untuk Redshift AWS IAMPengaturan aplikasi Pusat Identitas. Ini termasuk untuk AWS Lake Formation dan untuk Hibah Akses Amazon S3. -
redshift:CreateRedshiftIdcApplication— Digunakan untuk membuat Redshift AWS IAMAplikasi Pusat Identitas.
Menggambarkan Pergeseran Merah/AWS IAMAplikasi Pusat Identitas
-
sso:GetApplicationGrant— Digunakan untuk mencantumkan informasi penerbit token tepercaya. -
sso:ListApplicationAccessScopes— Untuk Redshift AWS IAMPengaturan aplikasi Pusat Identitas untuk mencantumkan integrasi hilir, seperti untuk AWS Lake Formation dan Hibah Akses S3. -
redshift:DescribeRedshiftIdcApplications— Digunakan untuk menggambarkan yang ada AWS IAMAplikasi Pusat Identitas.
Mengubah Pergeseran Merah/AWS IAMAplikasi Pusat Identitas
-
redshift:ModifyRedshiftIdcApplication— Digunakan untuk mengubah aplikasi Redshift yang ada. -
sso:UpdateApplication— Digunakan untuk memperbarui AWS IAMAplikasi Pusat Identitas. -
sso:GetApplicationGrant— Mendapatkan informasi penerbit token kepercayaan. -
sso:ListApplicationAccessScopes— Untuk Redshift AWS IAMPengaturan aplikasi Pusat Identitas. -
sso:DeleteApplicationGrant— Menghapus informasi penerbit token kepercayaan. -
sso:PutApplicationGrant— Digunakan untuk mengubah informasi penerbit token tepercaya. -
sso:PutApplicationAccessScope— Untuk Redshift AWS IAMPengaturan aplikasi Pusat Identitas. Ini termasuk untuk AWS Lake Formation dan untuk Hibah Akses Amazon S3. -
sso:DeleteApplicationAccessScope— Untuk menghapus Redshift AWS IAMPengaturan aplikasi Pusat Identitas. Ini termasuk untuk AWS Lake Formation dan untuk Hibah Akses Amazon S3.
Menghapus Pergeseran Merah/AWS IAMAplikasi Pusat Identitas
-
sso:DeleteApplication— Digunakan untuk menghapus AWS IAMAplikasi Pusat Identitas. -
redshift:DeleteRedshiftIdcApplication— Memberikan kemampuan untuk menghapus Redshift yang ada AWS IAMAplikasi Pusat Identitas.
Izin diperlukan untuk manajemen siklus hidup aplikasi RedShift/editor kueri v2
Anda harus membuat IAM identitas, yang digunakan administrator Redshift untuk mengonfigurasi Redshift untuk digunakan AWS IAMPusat Identitas. Paling umum, Anda akan membuat IAM peran dengan izin dan menetapkannya ke identitas lain sesuai kebutuhan. Itu harus memiliki izin yang terdaftar untuk melakukan tindakan berikut.
Membuat aplikasi query editor v2
-
redshift:CreateQev2IdcApplication— Digunakan untuk membuat QEV2 aplikasi. -
sso:CreateApplication— Memberikan kemampuan untuk membuat AWS IAMAplikasi Pusat Identitas. -
sso:PutApplicationAuthenticationMethod— Memberikan akses otentikasi Redshift. -
sso:PutApplicationGrant— Digunakan untuk mengubah informasi penerbit token tepercaya. -
sso:PutApplicationAccessScope— Untuk Redshift AWS IAMPengaturan aplikasi Pusat Identitas. Ini termasuk editor kueri v2. -
sso:PutApplicationAssignmentConfiguration- Untuk keamanan.
Jelaskan aplikasi editor kueri v2
-
redshift:DescribeQev2IdcApplicationsDigunakan untuk menggambarkan AWS IAMQEV2Aplikasi Pusat Identitas.
Ubah aplikasi editor kueri v2
-
redshift:ModifyQev2IdcApplication— Digunakan untuk mengubah AWS IAMQEV2Aplikasi Pusat Identitas. -
sso:UpdateApplication— Digunakan untuk mengubah AWS IAMQEV2Aplikasi Pusat Identitas.
Hapus aplikasi editor kueri v2
-
redshift:DeleteQev2IdcApplication— Digunakan untuk menghapus QEV2 aplikasi. -
sso:DeleteApplication— Digunakan untuk menghapus QEV2 aplikasi.
catatan
Di Amazon RedshiftSDK, berikut ini APIs tidak tersedia:
-
CreateQev2 IdcApplication
-
DescribeQev2 IdcApplications
-
ModifyQev2 IdcApplication
-
DeleteQev2 IdcApplication
Tindakan ini khusus untuk melakukan AWS IAMIntegrasi Pusat Identitas dengan Redshift QEV2 di AWS konsol. Untuk informasi selengkapnya, lihat Tindakan yang ditentukan oleh Amazon Redshift.
Izin yang diperlukan bagi administrator database untuk menghubungkan sumber daya baru di konsol
Izin ini diperlukan untuk menghubungkan kluster baru yang disediakan atau grup kerja Amazon Redshift Tanpa Server selama proses pembuatan. Jika Anda memiliki izin ini, pilihan muncul di konsol untuk memilih untuk terhubung ke AWS IAMAplikasi terkelola Pusat Identitas untuk Redshift.
-
redshift:DescribeRedshiftIdcApplications -
sso:ListApplicationAccessScopes -
sso:GetApplicationAccessScope -
sso:GetApplicationGrant
Sebagai praktik terbaik, kami sarankan untuk melampirkan kebijakan izin ke IAM peran dan kemudian menetapkannya ke pengguna dan grup sesuai kebutuhan. Untuk informasi selengkapnya, lihat Manajemen identitas dan akses di Amazon Redshift.
Menyiapkan Redshift sebagai AWS aplikasi terkelola dengan AWS IAMPusat Identitas
Sebelum AWS IAMPusat Identitas dapat mengelola identitas untuk klaster yang disediakan Amazon Redshift atau grup kerja Tanpa Server Amazon Redshift, administrator Redshift harus menyelesaikan langkah-langkah untuk membuat Redshift menjadi AWS IAMAplikasi terkelola Pusat Identitas:
-
Pilih AWS IAMIntegrasi Pusat Identitas di menu konsol Amazon Redshift atau Amazon Redshift Tanpa Server, lalu pilih Connect to AWS IAMPusat Identitas. Dari sana Anda melangkah melalui serangkaian pilihan untuk mengisi properti untuk AWS IAMIntegrasi Pusat Identitas.
-
Pilih nama tampilan dan nama unik untuk Redshift AWS IAMAplikasi yang dikelola Pusat Identitas.
-
Tentukan namespace untuk organisasi Anda. Ini biasanya merupakan versi singkat dari nama organisasi Anda. Ini ditambahkan sebagai awalan untuk Anda AWS IAMPengguna dan peran yang dikelola Pusat Identitas dalam database Redshift.
-
Pilih IAM peran yang akan digunakan. IAMPeran ini harus terpisah dari peran lain yang digunakan untuk Redshift, dan kami menyarankan agar tidak digunakan untuk tujuan lain. Izin kebijakan khusus yang diperlukan adalah sebagai berikut:
-
sso:DescribeApplication— Diperlukan untuk membuat entri penyedia identitas (iDP) di katalog. -
sso:DescribeInstance— Digunakan untuk membuat peran atau pengguna federasi IDP secara manual.
-
-
Konfigurasikan koneksi klien dan penerbit token tepercaya. Mengkonfigurasi penerbit token tepercaya memfasilitasi propagasi identitas tepercaya dengan mengatur hubungan dengan penyedia identitas eksternal. Propagasi identitas memungkinkan pengguna, misalnya, untuk masuk ke satu aplikasi dan mengakses data tertentu di aplikasi lain. Hal ini memungkinkan pengguna untuk mengumpulkan data dari lokasi yang berbeda dengan lebih mulus. Pada langkah ini, di konsol, Anda menetapkan atribut untuk setiap penerbit token tepercaya. Atribut termasuk nama dan klaim audiens (atau klaim aud), yang mungkin harus Anda dapatkan dari atribut konfigurasi alat atau layanan. Anda mungkin juga perlu memberikan nama aplikasi dari JSON Web Token (JWT) alat pihak ketiga.
catatan
Yang
aud claimdiperlukan dari setiap alat atau layanan pihak ketiga dapat bervariasi, berdasarkan jenis token, yang dapat berupa token akses yang dikeluarkan oleh penyedia identitas, atau jenis lain, seperti token ID. Setiap vendor bisa berbeda. Saat Anda menerapkan propagasi identitas tepercaya dan mengintegrasikan dengan Redshift, diperlukan untuk memberikan nilai aud yang benar untuk jenis token yang dikirimkan oleh alat pihak ketiga AWS. Periksa rekomendasi dari vendor alat atau layanan Anda.Untuk informasi terperinci mengenai propagasi identitas terpercaya, lihat Cara kerja propagasi identitas tepercaya. Juga, lihat dokumentasi beta untuk AWS IAMPusat Identitas yang menyertai dokumentasi ini.
Setelah administrator Redshift menyelesaikan langkah-langkah dan menyimpan konfigurasi, AWS IAMProperti Pusat Identitas muncul di konsol Redshift. Anda juga dapat menanyakan tampilan sistem SVVIDENTITY_ _ PROVIDERS untuk memverifikasi properti aplikasi. Ini termasuk nama aplikasi dan namespace. Anda menggunakan namespace sebagai awalan untuk objek database Redshift yang terkait dengan aplikasi. Menyelesaikan tugas-tugas ini membuat Redshift menjadi AWS IAMAplikasi diaktifkan Pusat Identitas. Properti di konsol termasuk status integrasi. Dikatakan Diaktifkan ketika integrasi selesai. Setelah proses ini, AWS IAMIntegrasi Pusat Identitas dapat diaktifkan pada setiap cluster baru.
Setelah konfigurasi, Anda dapat menyertakan pengguna dan grup dari AWS IAMPusat Identitas di Redshift dengan memilih tab Pengguna atau Grup dan memilih Tetapkan.
Mengaktifkan AWS IAMIntegrasi Pusat Identitas untuk cluster Amazon Redshift baru atau grup kerja Amazon Redshift Serverless
Administrator database Anda mengonfigurasi sumber daya Redshift baru agar berfungsi sejajar dengan AWS IAMPusat Identitas untuk mempermudah proses masuk dan akses data. Ini dilakukan sebagai bagian dari langkah-langkah untuk membuat klaster yang disediakan atau grup kerja Tanpa Server. Siapa pun yang memiliki izin untuk membuat sumber daya Redshift dapat melakukan ini AWS IAMTugas integrasi Pusat Identitas.Saat Anda membuat klaster yang disediakan, Anda mulai dengan memilih Buat Cluster di konsol Amazon Redshift. Langkah-langkah berikut menunjukkan cara mengaktifkan AWS IAMManajemen Pusat Identitas untuk database. (Itu tidak termasuk semua langkah untuk membuat cluster.)
-
Pilih Aktifkan untuk <your cluster name>di bagian integrasi Pusat IAM Identitas dalam langkah-langkah create-cluster.
-
Ada langkah dalam proses ketika Anda mengaktifkan integrasi. Anda melakukan ini dengan memilih Aktifkan integrasi Pusat IAM Identitas di konsol.
-
Untuk cluster atau workgroup baru, buat peran database di Redshift menggunakan perintahSQL. Berikut ini adalah perintahnya:
CREATE ROLE <idcnamespace:rolename>;Namespace dan nama peran adalah sebagai berikut:
-
IAMAwalan namespace Pusat Identitas — Ini adalah namespace yang Anda tentukan saat Anda mengatur koneksi antara AWS IAMPusat Identitas dan Pergeseran Merah.
-
Nama peran - Peran database Redshift ini harus cocok dengan nama grup AWS IAMPusat Identitas.
Redshift terhubung dengan AWS IAMPusat Identitas dan mengambil informasi yang diperlukan untuk membuat dan memetakan peran database ke AWS IAMGrup Pusat Identitas.
-
Perhatikan bahwa ketika gudang data baru dibuat, IAM peran ditentukan untuk AWS IAMIntegrasi Pusat Identitas secara otomatis dilampirkan ke klaster yang disediakan atau grup kerja Amazon Redshift Tanpa Server. Setelah Anda selesai memasukkan metadata cluster yang diperlukan dan membuat sumber daya, Anda dapat memeriksa statusnya AWS IAMIntegrasi Pusat Identitas di properti. Jika nama grup Anda di AWS IAMPusat Identitas memiliki spasi, diperlukan untuk menggunakan tanda kutip SQL saat Anda membuat peran yang cocok.
Setelah mengaktifkan database Redshift dan membuat peran, Anda siap untuk terhubung ke database dengan editor kueri Amazon Redshift v2 atau Amazon QuickSight. Rinciannya dijelaskan lebih lanjut di bagian berikutnya.
Menyiapkan default RedshiftIdcApplication menggunakan API
Pengaturan dilakukan oleh administrator identitas Anda. MenggunakanAPI, Anda membuat dan mengisiRedshiftIdcApplication, yang mewakili aplikasi Redshift di dalamnya AWS IAMPusat Identitas.
-
Untuk memulai, Anda dapat membuat pengguna dan menambahkannya ke grup AWS IAMPusat Identitas. Anda melakukan ini di AWS konsol untuk AWS IAMPusat Identitas.
-
Panggilan
create-redshift-idc-applicationuntuk membuat AWS IAMAplikasi Identity Center dan membuatnya kompatibel dengan penggunaan Redshift. Anda membuat aplikasi dengan mengisi nilai yang diperlukan. Nama tampilan adalah nama yang akan ditampilkan pada AWS IAMDasbor Pusat Identitas. IAMPeran ARN adalah ARN yang memiliki izin untuk AWS IAMPusat Identitas dan juga dapat diasumsikan oleh Redshift.aws redshift create-redshift-idc-application ––idc-instance-arn 'arn:aws:sso:::instance/ssoins-1234a01a1b12345d' ––identity-namespace 'MYCO' ––idc-display-name 'TEST-NEW-APPLICATION' ––iam-role-arn 'arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole' ––redshift-idc-application-name 'myredshiftidcapplication'Contoh berikut menunjukkan
RedshiftIdcApplicationrespons sampel yang dikembalikan dari panggilan kecreate-redshift-idc-application."RedshiftIdcApplication": { "IdcInstanceArn": "arn:aws:sso:::instance/ssoins-1234a01a1b12345d", "RedshiftIdcApplicationName": "test-application-1", "RedshiftIdcApplicationArn": "arn:aws:redshift:us-east-1:012345678901:redshiftidcapplication:12aaa111-3ab2-3ab1-8e90-b2d72aea588b", "IdentityNamespace": "MYCO", "IdcDisplayName": "Redshift-Idc-Application", "IamRoleArn": "arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole", "IdcManagedApplicationArn": "arn:aws:sso::012345678901:application/ssoins-1234a01a1b12345d/apl-12345678910", "IdcOnboardStatus": "arn:aws:redshift:us-east-1:123461817589:redshiftidcapplication", "RedshiftIdcApplicationArn": "Completed", "AuthorizedTokenIssuerList": [ "TrustedTokenIssuerArn": ..., "AuthorizedAudiencesList": [...]... ]} -
Anda dapat menggunakan
create-application-assignmentuntuk menetapkan grup tertentu atau pengguna individu ke aplikasi terkelola AWS IAMPusat Identitas. Dengan melakukan ini, Anda dapat menentukan grup untuk dikelola AWS IAMPusat Identitas. Jika administrator database membuat peran database di Redshift, nama grup di AWS IAMPeta Pusat Identitas ke nama peran di Redshift. Peran mengontrol izin dalam database. Untuk informasi selengkapnya, lihat Menetapkan akses pengguna ke aplikasi di AWS IAMKonsol Pusat Identitas. -
Setelah Anda mengaktifkan aplikasi, panggil
create-clusterdan sertakan aplikasi terkelola Redshift dari ARN AWS IAMPusat Identitas. Melakukan hal ini mengaitkan cluster dengan aplikasi terkelola di AWS IAMPusat Identitas.
Mengasosiasikan sebuah AWS IAMAplikasi Identity Center dengan cluster atau workgroup yang ada
Jika Anda memiliki klaster atau grup kerja yang ingin Anda aktifkan AWS IAMIntegrasi Pusat Identitas, dimungkinkan untuk melakukannya, menjalankan SQL perintah. Anda juga dapat menjalankan SQL perintah untuk mengubah pengaturan untuk integrasi. Untuk informasi lebih lanjut, lihat ALTERIDENTITYPROVIDER.
Dimungkinkan juga untuk menjatuhkan penyedia identitas yang ada. Contoh berikut menunjukkan cara CASCADE menghapus pengguna dan peran yang dilampirkan ke penyedia identitas.
DROP IDENTITY PROVIDER <provider_name> [ CASCADE ]
Menyiapkan izin pengguna
Administrator mengonfigurasi izin ke berbagai sumber daya, berdasarkan atribut identitas pengguna dan keanggotaan grup, di dalam penyedia identitas mereka atau di dalamnya AWS IAMPusat Identitas secara langsung.Misalnya, administrator penyedia identitas dapat menambahkan insinyur database ke grup yang sesuai dengan peran mereka. Nama grup ini dipetakan ke nama peran database Redshift. Peran menyediakan atau membatasi akses ke tabel atau tampilan tertentu di Redshift.
Persona administrator untuk menghubungkan aplikasi
Berikut ini adalah persona yang merupakan kunci untuk menghubungkan aplikasi analitik ke AWS IAMAplikasi terkelola Pusat Identitas untuk Redshift:
-
Administrator aplikasi — Membuat aplikasi dan mengonfigurasi layanan mana yang akan memungkinkan pertukaran token identitas. Administrator ini juga menentukan pengguna atau grup mana yang memiliki akses ke aplikasi.
-
Administrator data — Mengkonfigurasi akses halus ke data. Pengguna dan grup di AWS IAMPusat Identitas dapat memetakan ke izin tertentu.
Menghubungkan ke Amazon Redshift dengan AWS IAMPusat Identitas melalui Amazon QuickSight
Berikut ini menunjukkan cara menggunakan Amazon QuickSight untuk mengautentikasi dengan Redshift saat terhubung dan akses dikelola melalui AWS IAMPusat Identitas: Mengotorisasi koneksi dari Amazon QuickSight ke cluster Amazon Redshift. Langkah-langkah ini berlaku untuk Amazon Redshift Serverless juga.
Menghubungkan ke Amazon Redshift dengan AWS IAMPusat Identitas melalui editor kueri Amazon Redshift v2
Setelah menyelesaikan langkah-langkah untuk mengatur AWS IAMKoneksi Pusat Identitas dengan Redshift, pengguna dapat mengakses database dan objek yang sesuai dalam database melalui AWS IAMIdentitas berbasis Pusat Identitas, identitas awalan ruang nama. Untuk informasi selengkapnya tentang menghubungkan ke database Redshift dengan login editor kueri v2, lihat Bekerja dengan editor kueri v2.
Memeriksa data melalui AWS Lake Formation
Penggunaan AWS Lake Formation membuatnya lebih mudah untuk mengatur dan mengamankan data lake Anda secara terpusat, dan untuk menyediakan akses data. Mengkonfigurasi propagasi identitas ke Lake Formation melalui AWS IAMIdentity Center dan Redshift membuatnya sehingga administrator dapat mengizinkan akses halus ke data lake Amazon S3, berdasarkan grup penyedia identitas (iDP) organisasi. Kelompok-kelompok ini dikelola melalui AWS IAMPusat Identitas. Bagian ini menunjukkan cara mengonfigurasi beberapa kasus penggunaan, kueri dari danau data dan kueri dari berbagi data, yang menunjukkan cara memanfaatkan AWS IAMPusat Identitas dengan Redshift untuk terhubung ke sumber daya yang diatur oleh Lake Formation.
Menggunakan sebuah AWS IAMPusat Identitas dan koneksi Redshift untuk menanyakan data lake
Langkah-langkah ini mencakup kasus penggunaan di mana Anda menggunakan AWS IAMIdentity Center terhubung ke Redshift untuk menanyakan data lake yang diatur oleh Lake Formation.
Prasyarat
Prosedur ini memiliki beberapa langkah prasyarat:
-
AWS IAMPusat Identitas harus disiapkan untuk mendukung otentikasi dan manajemen identitas dengan Redshift. Anda dapat mengaktifkan AWS IAMPusat Identitas dari konsol dan pilih sumber penyedia identitas (iDP). Setelah ini, sinkronkan satu set pengguna iDP Anda dengan AWS IAMPusat Identitas. Anda juga harus mengatur koneksi antara AWS IAMPusat Identitas dan Redshift, mengikuti langkah-langkah yang dirinci sebelumnya dalam dokumen ini.
-
Buat klaster Amazon Redshift baru dan aktifkan manajemen identitas AWS IAMPusat Identitas dalam langkah-langkah konfigurasi.
-
Buat terkelola AWS IAMAplikasi Pusat Identitas untuk Lake Formation dan mengkonfigurasinya. Ini mengikuti pengaturan koneksi antara AWS IAMPusat Identitas dan Pergeseran Merah. Langkah-langkahnya adalah sebagai berikut:
-
Dalam AWS CLI, gunakan
modify-redshift-idc-applicationperintah untuk mengaktifkan integrasi layanan Lake Formation dengan AWS IAMAplikasi terkelola Pusat Identitas untuk Redshift. Panggilan ini mencakupservice-integrationsparameter, yang diatur ke nilai string konfigurasi yang memungkinkan otorisasi ke Lake Formation. -
Konfigurasikan Lake Formation dengan menggunakan
create-lake-formation-identity-center-configurationperintah. Ini menciptakan sebuah AWS IAMAplikasi Pusat Identitas untuk Lake Formation, yang terlihat di AWS IAMPortal Pusat Identitas. Administrator harus mengatur––cli-input-jsonargumen, yang nilainya adalah jalur ke JSON file yang menggunakan format standar untuk semua AWS CLIAPIpanggilan. Anda harus menyertakan nilai untuk hal-hal berikut:-
CatalogId— ID katalog Lake Formation. -
InstanceArn— AWS IAMARNNilai instance Pusat Identitas.
-
-
Setelah administrator menyelesaikan konfigurasi prasyarat, administrator database dapat membuat skema eksternal untuk tujuan kueri data lake.
-
Administrator membuat skema eksternal — Administrator database Redshift terhubung ke database dan membuat skema eksternal, menggunakan pernyataan berikut: SQL
CREATE EXTERNAL SCHEMA if not exists my_external_schema from DATA CATALOG database 'my_lf_integrated_db' catalog_id '12345678901234';Perhatikan bahwa menentukan IAM peran tidak diperlukan dalam kasus ini, karena akses dikelola melalui AWS IAMPusat Identitas.
-
Administrator memberikan izin — Administrator memberikan penggunaan ke AWS IAMGrup Pusat Identitas, yang memberikan izin pada sumber daya Redshift. Ini dilakukan dengan menjalankan SQL pernyataan seperti berikut:
GRANT USAGE ON SCHEMA "my_external_schema" to "MYCO:sales";Selanjutnya, administrator memberikan izin Lake Formation pada objek, berdasarkan persyaratan untuk organisasi, menggunakan AWS CLI:
aws lakeformation grant-permissions ... -
Pengguna menjalankan kueri — Pada titik ini, AWS IAMPengguna Pusat Identitas yang merupakan bagian dari grup penjualan, untuk tujuan ilustrasi, dapat masuk melalui editor kueri v2 ke database Redshift. Kemudian mereka dapat menjalankan kueri yang mengakses tabel dalam skema eksternal, seperti contoh berikut:
SELECT * from my_external_schema.table1;
Menggunakan sebuah AWS IAMPusat Identitas dan koneksi Redshift untuk terhubung ke datashare
Anda dapat mengakses datashare dari gudang data Redshift yang berbeda saat akses dikelola AWS IAMPusat Identitas. Untuk melakukan ini, Anda menjalankan kueri untuk menyiapkan database eksternal. Sebelum menyelesaikan langkah-langkah ini, diasumsikan bahwa Anda memiliki koneksi yang diatur antara Redshift dan AWS IAMPusat Identitas, dan Anda telah membuat AWS Lake Formation aplikasi, sebagaimana dirinci dalam prosedur sebelumnya.
-
Membuat database eksternal — Administrator membuat database eksternal untuk berbagi data, mereferensikannya ARN melalui database. Berikut ini adalah contoh yang menunjukkan cara melakukannya:
CREATE DATABASE "redshift_external_db" FROM ARN 'arn:aws:glue:us-east-1:123456789012:database/redshift_external_db-iad' WITH NO DATA CATALOG SCHEMA;Dalam kasus penggunaan ini, di mana Anda menggunakan AWS IAMPusat Identitas dengan Redshift untuk manajemen identitas, IAM peran tidak disertakan.
-
Admin menyiapkan izin — Setelah membuat database, administrator memberikan penggunaan ke AWS IAMGrup Pusat Identitas. Ini memberikan izin pada sumber daya Redshift:
GRANT USAGE ON DATABASE "my_external_db" to "MYCO:sales";Administrator juga memberikan izin Lake Formation pada objek, menggunakan AWS CLI:
aws lakeformation grant-permissions ... -
Pengguna menjalankan kueri — Pengguna dari grup penjualan dapat melakukan kueri tabel di database, berdasarkan izin yang ditetapkan:
select * from redshift_external_db.public.employees;
Untuk informasi selengkapnya tentang pemberian izin di data lake dan pemberian izin pada pembagian data, lihat Memberikan izin kepada pengguna dan grup. Untuk informasi selengkapnya tentang pemberian penggunaan skema atau database, lihat. GRANT
Mengintegrasikan aplikasi atau alat Anda dengan OAuth menggunakan penerbit token tepercaya
Anda dapat menambahkan fungsionalitas ke alat klien yang Anda buat untuk terhubung ke Redshift melalui AWS IAMKoneksi Pusat Identitas. Jika Anda sudah mengonfigurasi integrasi Redshift ke AWS IAMPusat Identitas, gunakan properti yang dirinci di bagian ini untuk mengatur koneksi.
Plugin otentikasi untuk menghubungkan ke Redshift menggunakan AWS IAMPusat Identitas
Anda dapat menggunakan AWS IAMPusat Identitas untuk terhubung ke Amazon Redshift menggunakan plugin driver berikut:
-
BrowserIdcAuthPlugin- Plugin ini memfasilitasi single-sign-on integrasi yang mulus dengan AWS IAMPusat Identitas. Ini menciptakan jendela browser bagi pengguna untuk masuk dengan kredensi pengguna yang ditentukan dalam penyedia identitas perusahaan mereka. -
IdpTokenAuthPlugin- Plugin ini harus digunakan oleh aplikasi yang ingin mengelola aliran otentikasi sendiri, alih-alih membiarkan driver Amazon Redshift membuka jendela browser untuk AWS IAMOtentikasi Pusat Identitas. Ia menerima sebuah AWS IAMIdentity Center menjual token Access atau OpenID OIDC Connect JSON () web JWT token () dari penyedia identitas web mana pun yang terhubung dengan AWS IAMIdentity Center, seperti Okta PingOne, dan Microsoft Entra ID (Azure AD). Aplikasi klien bertanggung jawab untuk menghasilkan token akses yang diperlukan ini/JWT.
Autentikasi dengan BrowserIdcAuthPlugin
Gunakan nama plugin berikut untuk terhubung menggunakanBrowserIdcAuthPlugin, tergantung pada driver Amazon Redshift Anda.
| Driver | Kunci opsi koneksi | Nilai | Catatan |
|---|---|---|---|
JDBC |
|
com.amazon.redshift.plugin. BrowserIdcAuthPlugin |
Anda harus memasukkan nama kelas plugin yang sepenuhnya memenuhi syarat saat Anda terhubung. |
ODBC |
|
BrowserIdcAuthPlugin |
|
Python |
|
BrowserIdcAuthPlugin |
Tidak ada |
BrowserIdcAuthPluginPlugin ini memiliki opsi koneksi tambahan berikut:
| Nama opsi | Wajib? | Deskripsi | Contoh |
|---|---|---|---|
idc_region |
Diperlukan |
Bagian Wilayah AWS dimana AWS IAMInstance Pusat Identitas berada. |
us-east-1 |
issuer_url |
Diperlukan |
Bagian AWS IAMTitik akhir instance server Pusat Identitas. Anda dapat menemukan nilai ini menggunakan AWS IAMKonsol Pusat Identitas. |
https://identitycenter.amazonaws.com/ssoins-g5j2k6yc5nsc |
listen_port |
Opsional |
Port yang digunakan driver Amazon Redshift untuk menerima respons |
7890 |
idc_client_display_name |
Opsional |
Nama yang AWS IAMKlien Pusat Identitas menggunakan untuk aplikasi di AWS IAMPopup persetujuan masuk tunggal Identity Center. |
Pengemudi Amazon Redshift |
idp_response_timeout |
Opsional |
Jumlah waktu, dalam hitungan detik, driver Redshift menunggu aliran autentikasi selesai. |
60 |
Anda harus memasukkan nilai-nilai ini di properti koneksi alat yang Anda buat dan hubungkan. Untuk informasi selengkapnya, lihat dokumentasi opsi koneksi untuk masing-masing driver:
Autentikasi dengan IdpTokenAuthPlugin
Gunakan nama plugin berikut untuk terhubung menggunakanIdpTokenAuthPlugin, tergantung pada driver Amazon Redshift Anda.
| Driver | Kunci opsi koneksi | Nilai | Catatan |
|---|---|---|---|
JDBC |
|
com.amazon.redshift.plugin. IdpTokenAuthPlugin |
Anda harus memasukkan nama kelas plugin yang sepenuhnya memenuhi syarat saat Anda terhubung. |
ODBC |
|
IdpTokenAuthPlugin |
|
Python |
|
IdpTokenAuthPlugin |
Tidak ada |
IdpTokenAuthPluginPlugin ini memiliki opsi koneksi tambahan berikut:
| Nama opsi | Wajib? | Deskripsi |
|---|---|---|
token |
Diperlukan |
Sesi AWS IAMIdentity Center menjual token akses atau OpenID OIDC Connect JSON () Web JWT Token () yang disediakan oleh penyedia identitas web yang terhubung dengan AWS IAMPusat Identitas. Aplikasi Anda harus menghasilkan token ini dengan mengautentikasi pengguna aplikasi Anda AWS IAMPusat Identitas atau penyedia identitas yang terhubung dengan AWS IAMPusat Identitas. |
token_type |
Diperlukan |
Jenis token yang digunakan untuk
|
Anda harus memasukkan nilai-nilai ini di properti koneksi alat yang Anda buat dan hubungkan. Untuk informasi selengkapnya, lihat dokumentasi opsi koneksi untuk masing-masing driver:
Memecahkan masalah koneksi dari editor kueri Amazon Redshift v2
Daftar ini merinci kesalahan yang biasanya terjadi dan dapat membantu Anda terhubung ke database Redshift Anda dengan editor kueri v2, menggunakan AWS IAMIdentitas Pusat Identitas.
-
Kesalahan: Masalah Koneksi: Tidak ada informasi sesi pusat identitas yang tersedia. — Ketika kesalahan ini terjadi, periksa pengaturan keamanan dan privasi browser Anda. Pengaturan browser ini, terutama untuk cookie aman, seperti fitur Perlindungan Cookie Total Firefox, dapat mengakibatkan upaya koneksi yang diblokir dari editor kueri Amazon Redshift v2 ke database Redshift. Ikuti langkah-langkah remediasi yang dirinci untuk browser Anda:
-
Firefox — Saat ini, cookie pihak ketiga diblokir secara default. Klik perisai di bilah alamat browser dan alihkan sakelar untuk mematikan perlindungan pelacakan yang disempurnakan untuk editor kueri v2.
-
Mode penyamaran Chrome — Secara default, mode Penyamaran Chrome memblokir cookie pihak ketiga. Klik ikon mata di bilah alamat untuk mengizinkan cookie pihak ketiga untuk editor kueri v2. Setelah Anda mengubah pengaturan untuk mengizinkan cookie, Anda mungkin tidak melihat ikon mata di bilah alamat.
-
Safari — Di Mac, buka aplikasi Safari. Pilih Pengaturan, lalu pilih Advanced. Beralih untuk mematikan: Blokir semua cookie.
-
Edge — Pilih Pengaturan, lalu pilih Cookie dan izin situs. Kemudian pilih Kelola dan hapus cookie dan data situs dan matikan Blokir cookie pihak ketiga.
Jika Anda mencoba menghubungkan setelah mengubah pengaturan dan terus menerima pesan kesalahan Masalah Koneksi: Tidak ada informasi sesi pusat identitas yang tersedia, kami sarankan Anda menyegarkan koneksi Anda dengan AWS IAMPusat Identitas. Untuk melakukan ini, klik kanan instance database Redshift Anda dan pilih Refresh. Jendela baru muncul, yang dapat Anda gunakan untuk mengautentikasi.
-
-
Kesalahan: Masalah koneksi: Sesi pusat identitas kedaluwarsa atau tidak valid. — Mengikuti integrasi cluster yang disediakan Redshift atau grup kerja Tanpa Server dengan AWS IAMPusat Identitas, pengguna mungkin menerima kesalahan ini ketika mereka mencoba untuk terhubung ke database Redshift dari editor kueri v2. Ini dapat mengikuti upaya koneksi yang berhasil. Dalam hal ini, kami sarankan Anda mengautentikasi ulang. Untuk melakukan ini, klik kanan instance database Redshift Anda dan pilih Refresh. Jendela baru muncul, yang dapat Anda gunakan untuk mengautentikasi.
-
Kesalahan: Cakupan tidak valid. Kredensi pengguna tidak diizinkan untuk terhubung ke Redshift. — Mengikuti integrasi cluster yang disediakan Redshift atau grup kerja Tanpa Server dengan AWS IAMPusat Identitas untuk manajemen identitas, pengguna mungkin menerima kesalahan ini ketika mereka mencoba untuk terhubung ke database Redshift dari editor kueri v2. Dalam hal ini, agar editor kueri v2 berhasil menghubungkan dan mengautentikasi pengguna melalui AWS IAMPusat Identitas untuk mengakses sumber daya yang benar, administrator harus menetapkan pengguna ke Redshift AWS IAMAplikasi Pusat Identitas melalui konsol Redshift. Ini diselesaikan di bawah koneksi Pusat IAM Identitas. Setelah ini, pengguna dapat membuat koneksi yang sukses setelah satu jam, yang merupakan batas AWS IAMCaching sesi Pusat Identitas.
-
Kesalahan: Database tidak dapat dicantumkan. FATAL: Kueri gagal saat cluster dijeda secara otomatis. — Saat database Amazon Redshift Tanpa Server dalam keadaan idle, tidak memproses beban kerja apa pun, database tersebut dapat tetap dijeda saat Anda terhubung dengan AWS IAMIdentitas Pusat Identitas. Untuk memperbaiki ini, masuk dengan metode otentikasi lain untuk melanjutkan workgroup Tanpa Server. Kemudian sambungkan ke database dengan AWS IAMIdentitas Pusat Identitas.
-
Kesalahan: Terjadi kesalahan selama upaya untuk berfederasi AWS IAMPusat Identitas. Administrator Amazon Redshift harus menghapus dan membuat ulang AWS IAMQEV2Aplikasi Pusat Identitas, menggunakan konsol Redshift. Kesalahan ini biasanya terjadi ketika AWS IAMInstance aplikasi Pusat Identitas yang terkait dengan editor kueri v2 dihapus. Untuk mengatasinya, administrator Amazon Redshift harus menghapus dan membuat ulang aplikasi Redshift dan query editor v2 untuk AWS IAMPusat Identitas. Ini dapat dilakukan pada konsol Redshift atau menggunakan perintah. https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-redshift-idc-application.html CLI
Batasan
Keterbatasan ini berlaku:
-
Dukungan driver Amazon Redshift
BrowserIdcAuthPluginmulai dari versi berikut:-
Driver Amazon Redshift JDBC v2.1.0.30
-
Driver Amazon Redshift v2.1.3 ODBC
-
Driver Amazon Redshift Python v2.1.3
-
-
Dukungan driver Amazon Redshift
IdpTokenAuthPluginmulai dari versi berikut:-
Driver Amazon Redshift JDBC v2.1.0.19
-
Driver Amazon Redshift ODBC v2.0.0.9
-
Driver Amazon Redshift Python v2.0.914
-
-
Tidak ada dukungan untuk disempurnakan VPC — Enhanced VPC tidak didukung saat Anda mengonfigurasi propagasi identitas tepercaya Redshift dengan AWS IAMPusat Identitas. Untuk informasi selengkapnya tentang peningkatanVPC, lihat VPCPerutean yang disempurnakan di Amazon Redshift.
-
AWS IAMCaching Pusat Identitas — AWS IAMPusat Identitas menyimpan informasi sesi. Ini dapat menyebabkan masalah akses yang tidak dapat diprediksi saat Anda mencoba terhubung ke database Redshift Anda melalui editor kueri Redshift v2. Hal ini karena yang terkait AWS IAMSesi Pusat Identitas di editor kueri v2 tetap valid, bahkan dalam kasus di mana pengguna database keluar dari AWS konsol. Cache kedaluwarsa setelah satu jam, yang biasanya memperbaiki masalah apa pun.
