Creazione automatica di ruoli Amazon Redshift per provider di identità - Amazon Redshift
Come funzionaConfigurazione dei ruoli di creazione automaticaGruppi di filtraggioEsempiBest practice

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione automatica di ruoli Amazon Redshift per provider di identità

Questa funzionalità ti consente di creare automaticamente ruoli in Redshift in base all'appartenenza al gruppo del tuo Identity Provider (IdP). La creazione automatica di ruoli supporta Azure Active Directory con l'integrazione IdP nativa.

La creazione automatica dei ruoli offre diversi vantaggi. Quando crei automaticamente un ruolo, Redshift crea il ruolo con l'appartenenza al gruppo nel tuo IdP, in modo da evitare noiose operazioni manuali di creazione e manutenzione dei ruoli. Hai anche la possibilità di filtrare quali gruppi sono mappati ai ruoli Redshift.

Come funziona

Quando, come utente IdP, accedi a Redshift, si verifica la seguente sequenza di eventi:

  1. Redshift recupera le appartenenze ai gruppi dall'IdP.

  2. Redshift crea automaticamente la mappatura dei ruoli su tali gruppi, con il formato dei ruoli. idp_namespace:rolename

  3. Redshift ti concede le autorizzazioni per i ruoli mappati.

Dopo ogni accesso utente, ogni gruppo che non è presente nel catalogo ma di cui l'utente fa parte, viene creato automaticamente. Facoltativamente, puoi impostare filtri di inclusione ed esclusione per controllare quali gruppi IdP hanno creato i ruoli Redshift.

Configurazione dei ruoli di creazione automatica

Utilizza i ALTER IDENTITY PROVIDER comandi CREATE IDENTITY PROVIDER and per abilitare e configurare la creazione automatica dei ruoli.

-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER <idp_name> TYPE azure
  NAMESPACE '<namespace>' 
  APPLICATION_ARN 'app_arn'
  IAM_ROLE 'role_arn'
  AUTO_CREATE_ROLES TRUE; 

-- Enable on existing IdP 
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES TRUE;

-- Disable  
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES FALSE;

Gruppi di filtraggio

Facoltativamente, puoi filtrare quali gruppi IdP sono mappati ai ruoli di INCLUDE Redshift utilizzando modelli e. EXCLUDE Quando i modelli sono in conflitto, EXCLUDE ha la precedenza su. INCLUDE

-- Only create roles for groups with 'dev' 
CREATE IDENTITY PROVIDER <idp_name> TYPE azure
  ...
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%';
    
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER <idp_name> 
  AUTO_CREATE_ROLES TRUE
  EXCLUDE GROUPS LIKE '%test%';

Esempi

L'esempio seguente mostra come attivare la creazione automatica di ruoli senza filtri.

CREATE IDENTITY PROVIDER prod_idc TYPE azure ...
  AUTO_CREATE_ROLES TRUE;

L'esempio seguente include i gruppi di sviluppo ed esclude i gruppi di test.

ALTER IDENTITY PROVIDER prod_idc
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%'
  EXCLUDE GROUPS LIKE '%test%';

Best practice

Prendi in considerazione le seguenti best practice quando abiliti la creazione automatica per i ruoli:

  • Utilizza INCLUDE e EXCLUDE filtra per controllare a quali gruppi vengono assegnati i ruoli.

  • Controlla periodicamente i ruoli e ripulisci quelli inutilizzati.

  • Sfrutta le gerarchie di ruoli di Redshift per semplificare la gestione delle autorizzazioni.