ID 제공업체에 대한 Amazon Redshift 역할 자동 생성
이 기능을 사용하면 ID 제공업체(idP)의 그룹 멤버십을 기반으로 Redshift에서 역할을 자동으로 생성할 수 있습니다. 자동 생성 역할은 기본 IdP 통합을 통해 Azure Active Directory를 지원합니다.
역할을 자동으로 생성하면 몇 가지 이점이 있습니다. 역할을 자동 생성할 때 Redshift는 IdP에 그룹 멤버십이 있는 역할을 생성하므로 번거로운 수동 역할 생성 및 유지 관리를 피할 수 있습니다. Redshift 역할에 매핑되는 그룹을 필터링할 수도 있습니다.
작동 방식
IdP 사용자로서 Redshift에 로그인하면 다음과 같은 이벤트 시퀀스가 발생합니다.
-
Redshift는 IdP에서 그룹 멤버십을 검색합니다.
-
Redshift는 역할 형식
idp_namespace:rolename을 사용하여 해당 그룹에 대한 역할 매핑을 자동으로 생성합니다. -
Redshift는 매핑된 역할에 대한 권한을 부여합니다.
각 사용자 로그인 시 카탈로그에는 없지만 사용자가 속한 각 그룹이 자동으로 생성됩니다. 선택적으로 필터 포함 및 제외를 설정하여 Redshift 역할이 생성된 IdP 그룹을 제어할 수 있습니다.
역할 자동 생성 구성
CREATE IDENTITY PROVIDER 및 ALTER IDENTITY PROVIDER 명령을 사용하여 자동 역할 생성을 활성화하고 구성합니다.
-- Create a new IdP with auto role creation enabled CREATE IDENTITY PROVIDER <idp_name> TYPE azure NAMESPACE '<namespace>' APPLICATION_ARN 'app_arn' IAM_ROLE 'role_arn' AUTO_CREATE_ROLES TRUE; -- Enable on existing IdP ALTER IDENTITY PROVIDER <idp_name> AUTO_CREATE_ROLES TRUE; -- Disable ALTER IDENTITY PROVIDER <idp_name> AUTO_CREATE_ROLES FALSE;
그룹 필터링
선택적으로 INCLUDE 및 EXCLUDE 패턴을 사용하여 Redshift 역할에 매핑되는 IdP 그룹을 필터링할 수 있습니다. 패턴이 충돌하면 EXCLUDE가 INCLUDE보다 우선합니다.
-- Only create roles for groups with 'dev' CREATE IDENTITY PROVIDER <idp_name> TYPE azure ... AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%'; -- Exclude 'test' groups ALTER IDENTITY PROVIDER <idp_name> AUTO_CREATE_ROLES TRUE EXCLUDE GROUPS LIKE '%test%';
예시
다음 예제에서는 필터링 없이 역할 자동 생성을 활성화하는 방법을 보여줍니다.
CREATE IDENTITY PROVIDER prod_idc TYPE azure ... AUTO_CREATE_ROLES TRUE;
다음 예제에는 개발 그룹이 포함되며 테스트 그룹은 제외됩니다.
ALTER IDENTITY PROVIDER prod_idc AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%' EXCLUDE GROUPS LIKE '%test%';
모범 사례
역할에 대해 자동 생성을 활성화할 때 다음 모범 사례를 고려하세요.
-
INCLUDE및EXCLUDE필터를 사용하여 역할을 가져오는 그룹을 제어합니다. -
역할을 정기적으로 감사하고 사용하지 않는 역할을 정리합니다.
-
Redshift 역할 계층 구조를 활용하여 권한 관리를 간소화합니다.
