Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat peran Amazon Redshift secara otomatis untuk penyedia identitas
Fitur ini memungkinkan Anda untuk secara otomatis membuat peran di Redshift berdasarkan keanggotaan grup dari Penyedia Identitas (iDP) Anda. Peran pembuatan otomatis mendukung Azure Active Directory dengan integrasi iDP asli.
Ada beberapa manfaat untuk membuat peran secara otomatis. Saat Anda membuat peran secara otomatis, Redshift membuat peran dengan keanggotaan grup di IDP Anda, sehingga Anda dapat menghindari pembuatan dan pemeliharaan peran manual yang membosankan. Anda juga memiliki opsi untuk memfilter grup mana yang dipetakan ke peran Redshift.
Cara kerjanya
Saat Anda, sebagai pengguna iDP, masuk ke Redshift, urutan peristiwa berikut terjadi:
-
Redshift mengambil keanggotaan grup Anda dari IDP.
-
Redshift secara otomatis membuat pemetaan peran ke grup tersebut, dengan format peran.
idp_namespace:rolename -
Redshift memberi Anda izin dengan peran yang dipetakan.
Setelah setiap login pengguna, setiap grup yang tidak ada dalam katalog tetapi pengguna adalah bagian darinya, dibuat secara otomatis. Anda dapat mengatur filter include dan exclude secara opsional untuk mengontrol grup IDP mana yang memiliki peran Redshift yang dibuat.
Mengkonfigurasi peran buat otomatis
Gunakan ALTER IDENTITY PROVIDER perintah CREATE IDENTITY PROVIDER and untuk mengaktifkan dan mengkonfigurasi pembuatan peran otomatis.
-- Create a new IdP with auto role creation enabled CREATE IDENTITY PROVIDER <idp_name> TYPE azure NAMESPACE '<namespace>' APPLICATION_ARN 'app_arn' IAM_ROLE 'role_arn' AUTO_CREATE_ROLES TRUE; -- Enable on existing IdP ALTER IDENTITY PROVIDER <idp_name> AUTO_CREATE_ROLES TRUE; -- Disable ALTER IDENTITY PROVIDER <idp_name> AUTO_CREATE_ROLES FALSE;
Grup penyaringan
Anda dapat secara opsional memfilter grup IDP mana yang dipetakan ke peran INCLUDE Redshift menggunakan dan pola. EXCLUDE Ketika pola konflik, EXCLUDE diutamakan. INCLUDE
-- Only create roles for groups with 'dev' CREATE IDENTITY PROVIDER <idp_name> TYPE azure ... AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%'; -- Exclude 'test' groups ALTER IDENTITY PROVIDER <idp_name> AUTO_CREATE_ROLES TRUE EXCLUDE GROUPS LIKE '%test%';
Contoh
Contoh berikut menunjukkan cara mengaktifkan peran buat otomatis tanpa pemfilteran.
CREATE IDENTITY PROVIDER prod_idc TYPE azure ... AUTO_CREATE_ROLES TRUE;
Contoh berikut mencakup kelompok pengembangan dan tidak termasuk kelompok uji.
ALTER IDENTITY PROVIDER prod_idc AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%' EXCLUDE GROUPS LIKE '%test%';
Praktik terbaik
Pertimbangkan praktik terbaik berikut saat Anda mengaktifkan pembuatan otomatis untuk peran:
-
Gunakan
INCLUDEdanEXCLUDEfilter untuk mengontrol grup mana yang mendapatkan peran. -
Secara berkala mengaudit peran dan membersihkan yang tidak terpakai.
-
Manfaatkan hierarki peran Redshift untuk menyederhanakan manajemen izin.
