将 Redshift 与 AWS IAM Identity Center 连接来提供单点登录体验 - Amazon Redshift
Redshift 与 AWS IAM Identity Center 集成的好处用于连接应用程序的管理员角色使用 AWS IAM Identity Center 通过 Amazon QuickSight 连接到 Amazon Redshift通过 Amazon Redshift 查询编辑器 v2 连接到 Amazon Redshift

将 Redshift 与 AWS IAM Identity Center 连接来提供单点登录体验

您可以通过可信身份传播来管理用户和组对 Amazon Redshift 数据仓库的访问权限。此方法通过 Redshift 与 AWS IAM Identity Center 之间的连接发挥作用,从而向您的用户提供单点登录体验。这样您就可以从目录中引入用户和组,并直接向其分配权限。以后,此连接会支持绑定其他工具和服务。以一个端到端案例来说明,您可以使用 Amazon QuickSight 控制面板或 Amazon Redshift 查询编辑器 v2 来访问 Redshift。在这种情况下,访问权限基于 AWS IAM Identity Center 组。Redshift 可以确定用户的身份以及他们的组成员资格。AWSIAM Identity Center 还允许通过 Okta 或 PingOne 等第三方身份提供者 (IdP) 连接和管理身份。

管理员设置 Redshift 与 AWS IAM Identity Center 之间的连接后,他们可以根据身份提供者的组来配置精细访问权限,以授权用户访问数据。

重要

从 AWS IAM Identity Center 或连接的身份提供者(IdP)目录中删除用户时,该用户不会自动从 Amazon Redshift 目录中删除。要从 Amazon Redshift 目录中手动删除用户,请运行 DROP USER 命令以完全删除已从 AWS IAM Identity Center 或 IdP 中移除的用户。有关如何删除用户的更多信息,请参阅《Amazon Redshift 数据库开发人员指南》中的 DROP USER

Redshift 与 AWS IAM Identity Center 集成的好处

将 AWS IAM Identity Center 与 Redshift 结合使用,可以在以下方面为企业带来益处:

  • Amazon QuickSight 中的控制面板作者无需重新输入密码,也无需要求管理员设置具有复杂权限的 IAM 角色,即可连接 Redshift 数据来源。

  • AWS IAM Identity Center 为您在 AWS 中的员工用户提供了一个中心位置。您可以直接在 AWS IAM Identity Center 创建用户和群,也可以连接您在基于标准的身份提供者中管理的现有用户和组,例如 Okta、PingOne 或 Microsoft Entra ID(Azure AD)。AWSIAM Identity Center 将身份验证定向到您为用户和组选择的信任源,并维护一个用户和组的目录以供 Redshift 访问。有关更多信息,请参阅《AWS IAM Identity Center 用户指南》中的管理您的身份源支持的身份提供者

  • 通过简单的自动发现和连接功能,您便可与多个 Redshift 集群和工作组共享一个 AWS IAM Identity Center 实例。这样可以快速添加集群,而无需额外地为每个集群配置 AWS IAM Identity Center 连接,还可确保所有集群和工作组都能一致地查看用户、其属性和组。请注意,您企业的 AWS IAM Identity Center 实例必须与要连接的任意 Redshift 数据共享位于同一区域。

  • 由于用户身份已知并与数据访问记录在一起,因此您可以通过在 AWS CloudTrail 中审计用户的访问,更轻松地满足合规性监管要求。

用于连接应用程序的管理员角色

在将分析应用程序连接到 AWS IAM Identity Center 托管的 Redshift 应用程序的过程中,以下角色非常关键:

  • 应用程序管理员 – 创建应用程序并配置要与哪些服务启用身份令牌交换。此管理员还需要指定哪些用户或组有权访问应用程序。

  • 数据管理员 – 配置对数据的精细访问权限。AWS IAM Identity Center 中的用户和组可以映射到特定权限。

使用 AWS IAM Identity Center 通过 Amazon QuickSight 连接到 Amazon Redshift

以下部分演示在连接到 Redshift 并通过 AWS IAM Identity Center 管理访问权限时,如何使用 Amazon QuickSight 进行身份验证:授权从 Amazon QuickSight 连接到 Amazon Redshift 集群。这些步骤也适用于 Amazon Redshift Serverless。

使用 AWS IAM Identity Center 通过 Amazon Redshift 查询编辑器 v2 连接到 Amazon Redshift

完成设置 AWS IAM Identity Center 与 Redshift 连接的步骤后,用户可以通过基于 AWS IAM Identity Center 且以命名空间为前缀的身份,访问数据库以及数据库中的相应对象。有关使用查询编辑器 v2 登录身份连接到 Redshift 数据库的更多信息,请参阅使用查询编辑器 v2