Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dell'integrazione di AWS IAM Identity Center con Amazon Redshift
L'amministratore del cluster Amazon Redshift o l'amministratore di Amazon Redshift Serverless deve eseguire diversi passaggi per configurare Redshift come applicazione abilitata per Identity Center. AWS IAM In questo modo Redshift può rilevare e connettersi automaticamente a AWS IAM Identity Center per ricevere i servizi di accesso e di elenco utenti. Dopodiché, quando l'amministratore di Redshift crea un cluster o un gruppo di lavoro, può consentire al nuovo data warehouse di utilizzare AWS IAM Identity Center per gestire l'accesso al database.
Lo scopo dell'abilitazione di Redshift come applicazione gestita da AWS IAM Identity Center è la possibilità di controllare le autorizzazioni di utenti e gruppi dall'interno di AWS IAM Identity Center o da un provider di identità di terze parti integrato con esso. Quando gli utenti del tuo database accedono a un database Redshift, ad esempio un analista o un data scientist, controlla i loro gruppi in AWS IAM Identity Center e questi corrispondono ai nomi dei ruoli in Redshift. In questo modo, un gruppo che definisce il nome per un ruolo del database Redshift può accedere, ad esempio, a un set di tabelle per l'analisi delle vendite. Nelle seguenti sezioni viene mostrato come si configura.
Prerequisiti
Questi sono i prerequisiti per l'integrazione di AWS IAM Identity Center con Amazon Redshift:
-
Configurazione dell'account: è necessario configurare AWS IAM Identity Center nell'account di gestione AWS dell'organizzazione se si prevede di utilizzare casi d'uso tra account o se si utilizzano cluster Redshift in account diversi con la AWS IAM stessa istanza di Identity Center. È inclusa la configurazione dell'origine di identità. Per ulteriori informazioni, consulta Getting Started, Workforce Identities e Identity Provider supportati nella Guida per l'AWS IAMutente di Identity Center. Devi assicurarti di aver creato utenti o gruppi in AWS IAM Identity Center o di aver sincronizzato utenti e gruppi dalla tua fonte di identità prima di poterli assegnare ai dati in Redshift.
Nota
È possibile utilizzare un'istanza di account di AWS IAM Identity Center, a condizione che Redshift e AWS IAM Identity Center si trovino nello stesso account. Puoi creare questa istanza utilizzando un widget al momento della creazione e configurazione di un cluster o un gruppo di lavoro Redshift.
-
Configurazione di un emittente di token attendibile: in alcuni casi, potrebbe essere necessario utilizzare un emittente di token attendibile, ovvero un'entità in grado di emettere e verificare token attendibili. Prima di eseguire questa operazione, sono necessari passaggi preliminari prima che l'amministratore di Redshift che configura l'integrazione con AWS IAM Identity Center possa selezionare l'emittente affidabile del token e aggiungere gli attributi necessari per completare la configurazione. Ciò può includere la configurazione di un provider di identità esterno che funga da emittente di token affidabile e l'aggiunta dei relativi attributi nella console di Identity Center. AWS IAM Per completare questi passaggi, vedi Utilizzo di applicazioni con un emittente di token affidabile.
Nota
La configurazione di un emittente di token attendibile non è richiesta per tutte le connessioni esterne. La connessione al database Redshift con l'Editor di query Amazon Redshift v2 non richiede la configurazione di un emittente di token attendibile. Può invece essere eseguita per applicazioni di terze parti come pannelli di controllo o applicazioni personalizzate che si autenticano con il tuo gestore dell'identità digitale.
-
Configurazione di uno IAM o più ruoli: le sezioni che seguono menzionano le autorizzazioni che devono essere configurate. Dovrai aggiungere le autorizzazioni secondo le migliori pratiche. IAM Le autorizzazioni specifiche sono illustrate nelle procedure che seguono.
Per ulteriori informazioni, vedi Guida introduttiva a AWS IAM Identity Center.
Configurazione del provider di identità per l'utilizzo con AWS IAM Identity Center
Il primo passaggio per controllare la gestione delle identità di utenti e gruppi consiste nel connettersi a AWS IAM Identity Center e configurare il provider di identità. Puoi utilizzare AWS IAM Identity Center stesso come provider di identità oppure puoi connettere un archivio di identità di terze parti, come Okta, ad esempio. Per ulteriori informazioni sulla configurazione della connessione e della configurazione del provider di identità, consulta Connettiti a un provider di identità esterno nella guida per l'utente di AWS IAM Identity Center. Assicurati che alla fine di questo processo sia stata aggiunta una piccola raccolta di utenti e gruppi a AWS IAM Identity Center, a scopo di test.
Autorizzazioni di amministrazione
Autorizzazioni richieste per la gestione del ciclo di vita delle applicazioni AWS IAM Redshift/Identity Center
È necessario creare un'IAMidentità, che un amministratore di Redshift utilizza per configurare Redshift da utilizzare con Identity Center. AWS IAM In genere, si crea un IAM ruolo con autorizzazioni e lo si assegna ad altre identità in base alle esigenze. Deve disporre delle autorizzazioni elencate per eseguire le seguenti azioni.
Creazione dell'applicazione Redshift/ Identity Center AWS IAM
-
sso:PutApplicationAssignmentConfiguration: utilizzato per la sicurezza. -
sso:CreateApplication— Utilizzato per creare un'applicazione AWS IAM Identity Center. -
sso:PutApplicationAuthenticationMethod: fornisce l'accesso all'autenticazione Redshift. -
sso:PutApplicationGrant: utilizzato per modificare le informazioni sull'emittente di token attendibile. -
sso:PutApplicationAccessScope— Per la configurazione dell'applicazione Redshift AWS IAM Identity Center. Ciò include per AWS Lake Formation e per Amazon S3 Access Grants. -
redshift:CreateRedshiftIdcApplication— Utilizzato per creare l'applicazione Redshift AWS IAM Identity Center.
Descrizione dell'applicazione AWS IAM Redshift/ Identity Center
-
sso:GetApplicationGrant: utilizzato per elencare informazioni sull'emittente di token attendibile. -
sso:ListApplicationAccessScopes— Per la configurazione dell'applicazione Redshift AWS IAM Identity Center per elencare le integrazioni downstream, come for AWS Lake Formation e S3 Access Grants. -
redshift:DescribeRedshiftIdcApplications— Utilizzato per descrivere le applicazioni Identity Center esistenti. AWS IAM
Modifica dell'applicazione Redshift/ Identity Center AWS IAM
-
redshift:ModifyRedshiftIdcApplication: utilizzato per modificare un'applicazione Redshift esistente. -
sso:UpdateApplication— Utilizzato per aggiornare un'applicazione AWS IAM Identity Center. -
sso:GetApplicationGrant— Ottiene le informazioni sull'emittente del token di fiducia. -
sso:ListApplicationAccessScopes— Per la configurazione dell'applicazione Redshift AWS IAM Identity Center. -
sso:DeleteApplicationGrant: elimina le informazioni sull'emittente di token attendibile. -
sso:PutApplicationGrant: utilizzato per modificare le informazioni sull'emittente di token attendibile. -
sso:PutApplicationAccessScope— Per la configurazione dell'applicazione Redshift AWS IAM Identity Center. Ciò include per AWS Lake Formation e per Amazon S3 Access Grants. -
sso:DeleteApplicationAccessScope— Per eliminare la configurazione dell'applicazione AWS IAM Redshift Identity Center. Ciò include per AWS Lake Formation e per Amazon S3 Access Grants.
Eliminazione dell'applicazione AWS IAM Redshift/ Identity Center
-
sso:DeleteApplication— Utilizzato per eliminare un' AWS IAMapplicazione Identity Center. -
redshift:DeleteRedshiftIdcApplication— Offre la possibilità di eliminare un'applicazione Redshift AWS IAM Identity Center esistente.
Autorizzazioni richieste per la gestione del ciclo di vita delle applicazioni RedShift/Query Editor v2
È necessario creare un'IAMidentità, che un amministratore di Redshift utilizza per configurare Redshift da utilizzare con Identity Center. AWS IAM In genere, si crea un IAM ruolo con autorizzazioni e lo si assegna ad altre identità in base alle esigenze. Deve disporre delle autorizzazioni elencate per eseguire le seguenti azioni.
Creazione dell'applicazione Query Editor v2
-
redshift:CreateQev2IdcApplication— Utilizzato per creare l'QEV2applicazione. -
sso:CreateApplication— Offre la possibilità di creare un'applicazione AWS IAM Identity Center. -
sso:PutApplicationAuthenticationMethod: fornisce l'accesso all'autenticazione Redshift. -
sso:PutApplicationGrant: utilizzato per modificare le informazioni sull'emittente di token attendibile. -
sso:PutApplicationAccessScope— Per la configurazione dell'applicazione Redshift AWS IAM Identity Center. È incluso l'editor di query v2. -
sso:PutApplicationAssignmentConfiguration: utilizzato per la sicurezza.
Descrivi l'applicazione Query Editor v2
-
redshift:DescribeQev2IdcApplications— Utilizzato per descrivere l'QEV2applicazione AWS IAM Identity Center.
Modificare l'applicazione Query Editor v2
-
redshift:ModifyQev2IdcApplication— Utilizzato per modificare l'QEV2applicazione AWS IAM Identity Center. -
sso:UpdateApplication— Utilizzato per modificare l'QEV2applicazione AWS IAM Identity Center.
Eliminare l'applicazione Query Editor v2
-
redshift:DeleteQev2IdcApplication— Utilizzato per eliminare l'QEV2applicazione. -
sso:DeleteApplication— Utilizzato per eliminare l'QEV2applicazione.
Nota
In Amazon RedshiftSDK, APIs non sono disponibili:
-
CreateQev2 IdcApplication
-
DescribeQev2 IdcApplications
-
ModifyQev2 IdcApplication
-
DeleteQev2 IdcApplication
Queste azioni sono specifiche per eseguire AWS IAM l'integrazione di Identity Center con Redshift QEV2 nella AWS console. Per ulteriori informazioni, consulta Azioni definite da Amazon Redshift.
Autorizzazioni richieste all'amministratore del database per connettere nuove risorse nella console
Le seguenti autorizzazioni sono necessarie per connettere nuovi cluster con provisioning o gruppi di lavoro Amazon Redshift serverless durante il processo di creazione. Se disponi di queste autorizzazioni, nella console viene visualizzata una selezione per scegliere di connettersi all'applicazione gestita da AWS IAM Identity Center per Redshift.
-
redshift:DescribeRedshiftIdcApplications -
sso:ListApplicationAccessScopes -
sso:GetApplicationAccessScope -
sso:GetApplicationGrant
Come procedura consigliata, consigliamo di allegare criteri di autorizzazione a un IAM ruolo e quindi di assegnarlo a utenti e gruppi in base alle esigenze. Per ulteriori informazioni, consulta Identity and access management in Amazon Redshift.
Configurazione di Redshift come applicazione AWS gestita con AWS IAM Identity Center
Prima che AWS IAM Identity Center possa gestire le identità per un cluster con provisioning di Amazon Redshift o un gruppo di lavoro Serverless Amazon Redshift, l'amministratore di Redshift deve completare i passaggi per rendere Redshift un'applicazione gestita da Identity Center: AWS IAM
-
Seleziona AWS IAMIdentity Center integration nel menu della console Amazon Redshift o Amazon Redshift Serverless, quindi seleziona Connect to Identity Center. AWS IAM Da lì, esegui una serie di selezioni per compilare le proprietà per l'integrazione con Identity Center. AWS IAM
-
Scegliete un nome visualizzato e un nome univoco per l'applicazione gestita da AWS IAM Identity Center di Redshift.
-
Specifica lo spazio dei nomi dell'organizzazione. In genere è una versione abbreviata del nome dell'organizzazione che Viene aggiunto come prefisso per gli utenti e i ruoli gestiti da AWS IAM Identity Center nel database Redshift.
-
Seleziona un IAM ruolo da usare. Questo IAM ruolo deve essere separato dagli altri utilizzati per Redshift e consigliamo di non utilizzarlo per altri scopi. Le specifiche autorizzazioni policy richieste sono riportate di seguito:
-
sso:DescribeApplication: necessario per creare una voce del gestore dell'identità digitale nel catalogo. -
sso:DescribeInstance: utilizzato per creare manualmente ruoli o utenti federati del gestore dell'identità digitale.
-
-
Configura le connessioni client e gli emittenti di token attendibili. La configurazione di emittenti di token attendibili facilita la propagazione delle identità attendibili impostando una relazione con un gestore dell'identità digitale esterno. La propagazione dell'identità consente a un utente, ad esempio, di accedere a un'applicazione e a dati specifici in un'altra applicazione. In tal modo gli utenti possono raccogliere dati da diverse postazioni in modo più semplice. In questa fase, si impostano nella console gli attributi per ogni emittente di token attendibile. Gli attributi includono il nome e l'attestazione del pubblico (o aud claim), che potresti dover ricavare dagli attributi di configurazione dello strumento o del servizio. Potrebbe inoltre essere necessario fornire il nome dell'applicazione contenuto nel JSON Web Token (JWT) dello strumento di terze parti.
Nota
L'attributo
aud claimrichiesto da ogni strumento o servizio di terze parti può variare in base al tipo di token, che può essere un token di accesso emesso da un gestore dell'identità digitale o un altro tipo, come un token ID. Ogni fornitore può essere diverso. Quando si implementa la propagazione di identità attendibili e si integra con Redshift, è necessario fornire il valore aud corretto per il tipo di token che lo strumento di terze parti invia ad AWS. Consulta i suggerimenti del provider di strumenti o servizi.Per informazioni dettagliate sulla propagazione delle identità attendibili, consulta How trusted identity propagation works. Inoltre, fate riferimento alla documentazione beta di AWS IAM Identity Center che accompagna questa documentazione.
Dopo che l'amministratore di Redshift ha completato i passaggi e salvato la configurazione, le proprietà di AWS IAM Identity Center vengono visualizzate nella console Redshift. Puoi anche interrogare la vista del sistema SVV_ IDENTITY _ PROVIDERS per verificare le proprietà dell'applicazione. che includono il nome dell'applicazione e lo spazio dei nomi. Lo spazio dei nomi viene utilizzato come prefisso per gli oggetti del database Redshift associati all'applicazione. Il completamento di queste attività rende Redshift un'applicazione compatibile con AWS IAM Identity Center. Le proprietà della console includono lo stato dell'integrazione. Quando l'integrazione è completata, lo stato è Abilitato. Dopo questo processo, AWS IAM l'integrazione di Identity Center può essere abilitata su ogni nuovo cluster.
Dopo la configurazione, puoi includere utenti e gruppi da AWS IAM Identity Center in Redshift scegliendo la scheda Utenti o Gruppi e scegliendo Assegna.
Abilitazione AWS IAM dell'integrazione con Identity Center per un nuovo cluster Amazon Redshift o un gruppo di lavoro Serverless Amazon Redshift
L'amministratore del database configura le nuove risorse Redshift in modo che funzionino in linea AWS IAM con Identity Center per semplificare l'accesso e l'accesso ai dati. Questa operazione viene eseguita come parte dei passaggi per creare un cluster con provisioning o un gruppo di lavoro serverless. Chiunque disponga delle autorizzazioni necessarie per creare risorse Redshift può eseguire AWS IAM queste attività di integrazione con Identity Center. Quando crei un cluster con provisioning, scegli Create Cluster nella console Amazon Redshift. I passaggi seguenti mostrano come abilitare la gestione di Identity Center per un database. AWS IAM ma non sono inclusi tutti i passaggi per creare un cluster.
-
Scegli Abilita per <your cluster name>nella sezione relativa all'integrazione di IAM Identity Center nei passaggi di creazione del cluster.
-
C'è un passaggio del processo in cui abiliti l'integrazione. A tale scopo, scegli Abilita IAM l'integrazione di Identity Center nella console.
-
Per il nuovo cluster o gruppo di lavoro, crea ruoli di database in Redshift SQL utilizzando i comandi. Il comando è il seguente:
CREATE ROLE <idcnamespace:rolename>;Lo spazio dei nomi e il nome del ruolo sono i seguenti:
-
IAMPrefisso dello spazio dei nomi di Identity Center: questo è lo spazio dei nomi definito durante la configurazione della connessione tra Identity AWS IAM Center e Redshift.
-
Nome ruolo: questo ruolo del database Redshift deve corrispondere al nome del gruppo in AWS IAM Identity Center.
Redshift si connette a AWS IAM Identity Center e recupera le informazioni necessarie per creare e mappare il ruolo del database al gruppo AWS IAM Identity Center.
-
Tieni presente che quando viene creato un nuovo data warehouse, il IAM ruolo specificato per l'integrazione con AWS IAM Identity Center viene automaticamente collegato al cluster o al gruppo di lavoro Amazon Redshift Serverless fornito. Dopo aver inserito i metadati del cluster richiesti e aver creato la risorsa, puoi verificare lo stato dell'integrazione di AWS IAM Identity Center nelle proprietà. Se i nomi dei gruppi in AWS IAM Identity Center contengono spazi, è necessario utilizzare le virgolette SQL quando si crea il ruolo corrispondente.
Dopo aver abilitato il database Redshift e creato i ruoli, puoi connetterti al database con l'Editor di query Amazon Redshift v2 o Amazon QuickSight. I dettagli sono spiegati ampiamente nelle sezioni che seguono.
Impostazione del valore predefinito RedshiftIdcApplication utilizzando API
La configurazione viene eseguita dall'amministratore delle identità. UtilizzandoAPI, si crea e si compila unRedshiftIdcApplication, che rappresenta l'applicazione Redshift all' AWS IAMinterno di Identity Center.
-
Per iniziare, puoi creare utenti e aggiungerli ai gruppi in AWS IAM Identity Center. Puoi farlo nella AWS console di AWS IAM Identity Center.
-
Chiama
create-redshift-idc-applicationper creare un'applicazione AWS IAM Identity Center e renderla compatibile con l'utilizzo di Redshift. L'applicazione viene creata inserendo i valori richiesti. Il nome visualizzato è il nome da visualizzare nella dashboard di AWS IAM Identity Center. Il IAM ruolo ARN è un utente ARN che dispone delle autorizzazioni per AWS IAM Identity Center ed è assunto anche da Redshift.aws redshift create-redshift-idc-application ––idc-instance-arn 'arn:aws:sso:::instance/ssoins-1234a01a1b12345d' ––identity-namespace 'MYCO' ––idc-display-name 'TEST-NEW-APPLICATION' ––iam-role-arn 'arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole' ––redshift-idc-application-name 'myredshiftidcapplication'L'esempio seguente mostra la risposta
RedshiftIdcApplicationrestituita dalla chiamata acreate-redshift-idc-application."RedshiftIdcApplication": { "IdcInstanceArn": "arn:aws:sso:::instance/ssoins-1234a01a1b12345d", "RedshiftIdcApplicationName": "test-application-1", "RedshiftIdcApplicationArn": "arn:aws:redshift:us-east-1:012345678901:redshiftidcapplication:12aaa111-3ab2-3ab1-8e90-b2d72aea588b", "IdentityNamespace": "MYCO", "IdcDisplayName": "Redshift-Idc-Application", "IamRoleArn": "arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole", "IdcManagedApplicationArn": "arn:aws:sso::012345678901:application/ssoins-1234a01a1b12345d/apl-12345678910", "IdcOnboardStatus": "arn:aws:redshift:us-east-1:123461817589:redshiftidcapplication", "RedshiftIdcApplicationArn": "Completed", "AuthorizedTokenIssuerList": [ "TrustedTokenIssuerArn": ..., "AuthorizedAudiencesList": [...]... ]} -
È possibile utilizzarlo
create-application-assignmentper assegnare gruppi particolari o singoli utenti all'applicazione gestita in Identity Center. AWS IAM In questo modo, è possibile specificare i gruppi da gestire tramite AWS IAM Identity Center. Se l'amministratore del database crea ruoli del database in Redshift, i nomi dei gruppi in AWS IAM Identity Center vengono mappati ai nomi dei ruoli in Redshift. I ruoli controllano le autorizzazioni nel database. Per ulteriori informazioni, consulta Assegnare l'accesso utente alle applicazioni nella console di AWS IAM Identity Center. -
Dopo aver abilitato l'applicazione, chiama
create-clustere includi l'applicazione gestita Redshift ARN da AWS IAM Identity Center. In questo modo il cluster viene associato all'applicazione gestita in AWS IAM Identity Center.
Associazione di un'applicazione AWS IAM Identity Center a un cluster o gruppo di lavoro esistente
Se disponi di un cluster o di un gruppo di lavoro esistente che desideri abilitare per l'integrazione con AWS IAM Identity Center, è possibile farlo eseguendo i comandi. SQL È inoltre possibile eseguire SQL comandi per modificare le impostazioni per l'integrazione. Per ulteriori informazioni, vedere ALTERIDENTITYPROVIDER.
È anche possibile eliminare un provider di identità esistente. L'esempio seguente mostra come CASCADE eliminare gli utenti e i ruoli associati al provider di identità.
DROP IDENTITY PROVIDER <provider_name> [ CASCADE ]
Impostazione delle autorizzazioni degli utenti
Un amministratore configura le autorizzazioni per varie risorse, in base agli attributi di identità degli utenti e all'appartenenza ai gruppi, all'interno del proprio provider di identità o direttamente all'interno di AWS IAM Identity Center. Ad esempio, l'amministratore del provider di identità può aggiungere un ingegnere di database a un gruppo appropriato al proprio ruolo. Questo nome di gruppo corrisponde a un nome di ruolo del database Redshift. Il ruolo fornisce o limita l'accesso a tabelle o viste specifiche in Redshift.
