Single Sign-On 경험을 위해 Redshift와 AWS IAM Identity Center 연결 - Amazon Redshift
Redshift와 AWS IAM Identity Center를 통합하여 얻을 수 있는 이점애플리케이션 연결을 위한 관리자 페르소나Amazon QuickSight를 통해 AWS IAM Identity Center와 연결된 Amazon Redshift에 연결Amazon Redshift 쿼리 에디터 v2를 통해 Amazon Redshift에 연결

Single Sign-On 경험을 위해 Redshift와 AWS IAM Identity Center 연결

신뢰할 수 있는 ID 전파를 통해 Amazon Redshift 데이터 웨어하우스에 대한 사용자 및 그룹 액세스를 관리할 수 있습니다. 이는 Redshift와 AWS IAM Identity Center 간의 연결을 통해 작동하므로 사용자에게 Single Sign-On 경험을 제공합니다. 이렇게 하면 디렉터리에서 사용자와 그룹을 불러와 직접 권한을 할당할 수 있습니다. 이후 이 연결은 추가 도구 및 서비스를 연결할 수 있도록 지원합니다. 한 가지 엔드 투 엔드 사례를 설명하자면, Amazon QuickSight 대시보드 또는 Amazon Redshift 쿼리 에디터 v2를 사용하여 Redshift에 액세스할 수 있습니다. 이 경우 액세스는 AWS IAM Identity Center 그룹을 기반으로 합니다. Redshift는 사용자의 신원과 그룹 멤버십을 확인할 수 있습니다. AWS IAM Identity Center에서는 Okta 또는 PingOne과 같은 서드 파티 ID 제공업체(idP)를 통해 ID를 연결하고 관리할 수 있습니다.

관리자가 Redshift와 AWS IAM Identity Center 간의 연결을 설정한 후에는 ID 제공업체 그룹을 기반으로 세분화된 액세스를 구성하여 데이터에 대한 사용자 액세스 권한을 부여할 수 있습니다.

중요

AWS IAM Identity Center 또는 연결된 ID 제공업체(idP) 디렉터리에서 사용자를 삭제하는 경우 Amazon Redshift 카탈로그에서 사용자가 자동으로 삭제되지는 않습니다. Amazon Redshift 카탈로그에서 사용자를 수동으로 삭제하려면 DROP USER 명령을 실행하여 AWS IAM Identity Center 또는 idP에서 제거된 사용자를 완전히 삭제합니다. 사용자 제거에 관한 자세한 내용은 Amazon Redshift 데이터베이스 개발자 안내서에 나와 있는 DROP USER를 참고하시기 바랍니다.

Redshift와 AWS IAM Identity Center를 통합하여 얻을 수 있는 이점

Redshift와 함께 AWS IAM Identity Center를 사용하면 조직이 다음과 같은 이점을 얻을 수 있습니다.

  • Amazon QuickSight의 대시보드 작성자는 암호를 다시 입력하거나 관리자가 복잡한 권한으로 IAM 역할을 설정할 필요 없이 Redshift 데이터 소스에 연결할 수 있습니다.

  • AWS IAM Identity Center는 AWS의 직원 사용자를 위한 중앙 위치를 제공합니다. AWS IAM Identity Center에서 직접 사용자 및 그룹을 만들거나 Okta, PingOne 또는 Microsoft Entra ID(Azure AD)와 같은 표준 기반 ID 제공업체에서 관리하는 기존 사용자 및 그룹을 연결할 수 있습니다. AWS IAM Identity Center는 사용자 및 그룹을 위해 선택한 정보 소스로 인증을 지시하고 Redshift에서 액세스할 수 있는 사용자 및 그룹 디렉터리를 유지 관리합니다. 자세한 내용은 AWS IAM Identity Center 사용 설명서의 ID 소스 관리지원되는 ID 제공업체를 참조하세요.

  • 간단한 자동 검색 및 연결 기능을 사용하여 하나의 AWS IAM Identity Center 인스턴스를 여러 Redshift 클러스터 및 작업 그룹과 공유할 수 있습니다. 따라서 각 클러스터에 대해 AWS IAM Identity Center 연결을 별도로 구성하지 않고도 클러스터를 빠르게 추가할 수 있으며, 모든 클러스터와 작업 그룹이 사용자, 사용자 속성 및 그룹을 일관되게 볼 수 있습니다. 단, 조직의 AWS IAM Identity Center 인스턴스는 연결하려는 Redshift 데이터 공유와 동일한 리전에 있어야 합니다.

  • 사용자 ID는 데이터 액세스와 함께 알려지고 로깅되므로 AWS CloudTrail에서 사용자 액세스 감사를 통해 규정을 더 쉽게 충족할 수 있습니다.

애플리케이션 연결을 위한 관리자 페르소나

다음은 분석 애플리케이션을 Redshift용 AWS IAM Identity Center 관리형 애플리케이션에 연결하는 데 있어 핵심이 되는 페르소나입니다.

  • 애플리케이션 관리자 - 애플리케이션을 생성하고 ID-토큰 교환을 가능하게 할 서비스를 구성합니다. 또한 이 관리자는 애플리케이션에 액세스할 수 있는 사용자 또는 그룹을 지정합니다.

  • 데이터 관리자 - 데이터에 대한 세분화된 액세스를 구성합니다. AWS IAM Identity Center의 사용자 및 그룹은 특정 권한에 매핑될 수 있습니다.

Amazon QuickSight를 통해 AWS IAM Identity Center와 연결된 Amazon Redshift에 연결

Amazon QuickSight에서 Amazon Redshift 클러스터로의 연결 승인에서는 Redshift가 AWS IAM Identity Center에 연결되고 IAM Identity Center를 통해 액세스가 관리되는 경우 Amazon QuickSight를 사용하여 Redshift를 인증하는 방법을 보여줍니다. 이 단계는 Amazon Redshift Serverless에도 적용됩니다.

Amazon Redshift 쿼리 에디터 v2를 통해 AWS IAM Identity Center와 연결된 Amazon Redshift에 연결

Redshift와 AWS IAM Identity Center 연결을 설정하는 단계를 완료하면 사용자는 AWS IAM Identity Center 기반의 네임스페이스 접두사가 붙은 ID를 통해 데이터베이스 및 데이터베이스의 적절한 객체에 액세스할 수 있습니다. 쿼리 에디터 v2 로그인으로 Redshift 데이터베이스에 연결하는 방법에 대한 자세한 내용은 쿼리 에디터 v2 작업을 참조하세요.