Onboarding - Amazon Redshift
Redshift-Cluster-RegistrierungServerlose Redshift-Namespace-RegistrierungAWS IAM Identity CenterAktivieren Sie die Weitergabe von IdentitätenDIE GLOBALE IDENTITÄT DES BENUTZERSATZES ÄNDERN

Amazon Redshift wird UDFs ab dem 1. November 2025 die Erstellung von neuem Python nicht mehr unterstützen. Wenn Sie Python verwenden möchten UDFs, erstellen Sie das UDFs vor diesem Datum liegende. Bestehendes Python UDFs wird weiterhin wie gewohnt funktionieren. Weitere Informationen finden Sie im Blog-Posting.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Onboarding

Redshift-Cluster-Registrierung

Redshift unterstützt das Erstellen eines neuen Clusters oder das Wiederherstellen eines Clusters aus einem Snapshot mit AWS Glue Data Catalog (GDC) -Registrierung. Sie können den Namen des GDC-Katalogs als Teil dieser Registrierung angeben. Um die Weitergabe von IdC-Identitäten zu unterstützen, können Sie einen Redshift-IDC-Anwendungs-ARN vom Typ Lakehouse angeben, um die IDC-Identitätsweitergabe zu aktivieren.

Erstellen Sie einen neuen Cluster mit der Registrierung des Glue-Datenkatalogs

CLI

Um Ihren neu erstellten Cluster automatisch bei Data Catalog zu registrieren, geben Sie den Katalognamen an, der zur Erstellung und Registrierung Ihres Datenkatalogs verwendet wird. Der redshift-idc-application-arn Parameter ist optional. Geben Sie ihn an, wenn Sie Ihren Cluster mit der Redshift IdC-Anwendung vom Typ Lakehouse verknüpfen möchten. Sie können diese IDC-Anwendungszuordnung auch zu einem späteren Zeitpunkt einrichten.

aws redshift create-cluster \
    --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter https://console.aws.amazon.com/redshiftv2/.

  2. Navigieren Sie zum Dashboard für bereitgestellte Cluster und wählen Sie Cluster erstellen aus.

  3. Konfigurieren Sie Ihre allgemeinen Cluster-Einstellungen.

  4. Wählen Sie im AWS Glue Data Catalog Abschnitt Registrieren mit die Option Mit Amazon Redshift Redshift-Verbundberechtigungen registrieren aus.

    • Geben Sie eine Katalognamen-ID ein.

    • (Empfohlen) Wählen Sie Amazon Redshift Redshift-Verbundberechtigungen für die Verknüpfung mit der Redshift IDC-Anwendung AWS IAM Identity Center aus.

  5. Vervollständigen Sie die verbleibenden Cluster-Einstellungen und wählen Sie Create cluster aus.

Stellen Sie einen neuen Cluster mit AWS Glue Data Catalog Registrierung wieder her

CLI

Um einen Snapshot in einem neuen Cluster mit AWS Glue Data Catalog Integration wiederherzustellen, geben Sie den Katalognamen an, der für die Erstellung und Registrierung Ihres AWS Glue Katalogs verwendet wird. Der redshift-idc-application-arn Parameter ist optional. Geben Sie ihn an, wenn Sie Ihren Cluster mit der Redshift IdC-Anwendung vom Typ Lakehouse verknüpfen möchten. Sie können diese IdC-Anwendungszuordnung auch zu einem späteren Zeitpunkt einrichten.

aws redshift restore-from-cluster-snapshot \
   --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --snapshot-identifier 'redshift-cluster-snapshot' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter https://console.aws.amazon.com/redshiftv2/.

  2. Navigieren Sie zur Seite mit den bereitgestellten Snapshots. Wählen Sie in der Tabelle mit den Snapshots im Dropdownmenü Snapshot wiederherstellen die Option Auf bereitgestelltem Cluster wiederherstellen aus.

  3. Konfigurieren Sie die allgemeinen Clustereinstellungen.

  4. Wählen Sie im AWS Glue Data Catalog Abschnitt Registrieren mit die Option Mit Amazon Redshift Redshift-Verbundberechtigungen registrieren aus.

    • Geben Sie eine Katalognamen-ID ein.

    • (Empfohlen) Wählen Sie Amazon Redshift Redshift-Verbundberechtigungen für die Verknüpfung mit der Redshift IDC-Anwendung AWS IAM Identity Center aus.

  5. Vervollständigen Sie die verbleibenden Cluster-Einstellungen und wählen Sie Create cluster aus.

Ändern Sie einen vorhandenen Cluster mit AWS Glue Data Catalog Registrierung

Wenn Ihr Redshift-Cluster bereits mit einer Redshift IdC-Anwendung vom Typ Non-Lakehouse verknüpft ist, passiert bei der Registrierung Folgendes: AWS Glue Data Catalog

  • Wenn kein Redshift IdC-Anwendungs-ARN bereitgestellt wird, wird die bestehende Redshift IdC-Anwendung in Ihrem Katalog auf den Status Deaktiviert gesetzt.

  • Wenn eine Redshift IdC-Anwendung vom Typ Lakehouse aus einer anderen AWS IAM Identity Center Instanz angegeben wird, wird der aktuelle IdC-Anbieter deaktiviert

  • Wenn eine Redshift IdC-Anwendung vom Typ Lakehouse aus derselben AWS IAM Identity Center Instanz bereitgestellt wird

    • Der ARN der Redshift IdC-Anwendung in Ihrem Katalog wird in den ARN der Redshift IdC-Anwendung vom Typ Lakehouse geändert. Der aktualisierte Katalog kann überprüft werden, indem Sie die svv_identity_providers abfragen. Weitere Informationen zu den svv_identity_providers finden Sie unter svv_identity_providers.

    • AWS IAM Identity CenterVerbundbenutzern, die zuvor Zugriff auf den Redshift-Cluster hatten, müssen von den Admins explizit CONNECT-Rechte für den Zugriff auf den Cluster gewährt werden. Weitere Informationen zur Gewährung von CONNECT-Rechten finden Sie unter. Privilegien Connect

    • Nach der Registrierung bei AWS Glue Data Catalog bleiben Ihre vorhandenen AWS IAM Identity Center föderierten Identitäten und ihre eigenen Ressourcen unverändert. Die Namespace-Zuordnungen für diese föderierten Identitäten werden ebenfalls beibehalten.

CLI

Sie können den modify-lakehouse-configuration Befehl verwenden, um Ihren Cluster zu registrieren. Der catalog-name wird verwendetAWS Glue Data Catalog, um Ihren Katalog zu erstellen und zu registrieren. AWS Glue Um die Weitergabe von IdC-Identitäten zu unterstützen, geben Sie den ARN Ihres Lakehouse-Typs RedshiftIdcApplication an. Dazu ist eine Redshift IdC-Anwendung vom Typ Lakehouse erforderlich. Weitere Informationen finden Sie unter Neue Redshift-IDc-Anwendung vom Typ Lakehouse erstellen: Identity Center-Anwendungskonfiguration für Redshift Warehouse mit Verbundberechtigungen.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter https://console.aws.amazon.com/redshiftv2/.

  2. Navigieren Sie zu dem bereitgestellten Cluster, den Sie registrieren möchten, und wählen Sie ihn aus.

  3. Wählen Sie auf der Detailseite des Clusters im Dropdownmenü Aktionen die Option Registrieren mit AWS Glue Data Catalog aus.

  4. Wählen Sie die Option Mit Amazon Redshift Redshift-Verbundberechtigungen registrieren und

    • Geben Sie eine Katalognamen-ID ein.

    • (Empfohlen) Wählen Sie Amazon Redshift Redshift-Verbundberechtigungen aus, die AWS IAM Identity Center zur Verknüpfung mit der Redshift IDC-Anwendung verwendet werden, und wählen Sie Registrieren aus.

Serverlose Redshift-Namespace-Registrierung

Redshift Serverless ermöglicht die Registrierung von serverlosen Namespaces, die an Arbeitsgruppen angeschlossen sind. AWS Glue Data Catalog Beachten Sie, dass Ihre Datenbank während dieses Updates neu gestartet wird.

Wenn Ihr Redshift Serverless Namespace bereits mit einer Redshift IdC-Anwendung vom Typ Non-Lakehouse verknüpft ist, passiert bei der Registrierung von Glue Data Catalog Folgendes:

  • Wenn kein Redshift IdC-Anwendungs-ARN bereitgestellt wird, wird die bestehende Redshift IdC-Anwendung in Ihrem Katalog auf den Status Deaktiviert gesetzt.

  • Wenn eine Redshift IdC-Anwendung vom Typ Lakehouse aus einer anderen AWS IAM Identity Center Instanz angegeben wird, wird der aktuelle IdC-Anbieter deaktiviert

  • Wenn eine Redshift IdC-Anwendung vom Typ Lakehouse aus derselben AWS IAM Identity Center Instanz bereitgestellt wird

    • Der ARN der Redshift IdC-Anwendung in Ihrem Katalog wird in den ARN der Redshift IdC-Anwendung vom Typ Lakehouse geändert. Der aktualisierte Katalog kann überprüft werden, indem Sie die svv_identity_providers abfragen. Weitere Informationen zu den svv_identity_providers finden Sie unter svv_identity_providers.

    • AWS IAM Identity CenterVerbundbenutzern, die zuvor Zugriff auf den Redshift-Cluster hatten, müssen von den Admins explizit CONNECT-Rechte für den Zugriff auf den Cluster gewährt werden. Weitere Informationen zur Gewährung von CONNECT-Rechten finden Sie unter. Privilegien Connect

    • Nach der Registrierung bei AWS Glue Data Catalog bleiben Ihre vorhandenen AWS IAM Identity Center föderierten Identitäten und ihre eigenen Ressourcen unverändert. Die Namespace-Zuordnungen für diese föderierten Identitäten werden ebenfalls beibehalten.

CLI

Sie können den update-lakehouse-configuration Befehl verwenden, um Ihren Redshift Serverless-Namespace zu registrierenAWS Glue Data Catalog, der zur Erstellung und Registrierung Ihres Glue-Katalogs verwendet catalog-name wird. Um die Weitergabe von IdC-Identitäten zu unterstützen, geben Sie den ARN einer Redshift-Idc-Anwendung vom Typ Lakehouse an.

aws redshift-serverless update-lakehouse-configuration \
    --namespace-name 'serverless-namespace-name' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17'
Console

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter https://console.aws.amazon.com/redshiftv2/.

  2. Navigieren Sie zu dem bereitgestellten Cluster, den Sie registrieren möchten, und wählen Sie ihn aus.

  3. Wählen Sie auf der Detailseite des Clusters im Dropdownmenü Aktionen die Option Registrieren mit AWS Glue Data Catalog aus.

  4. Wählen Sie die Option Mit Amazon Redshift Redshift-Verbundberechtigungen registrieren und

    • Geben Sie eine Katalognamen-ID ein.

    • (Empfohlen) Wählen Sie Amazon Redshift Redshift-Verbundberechtigungen aus, die AWS IAM Identity Center zur Verknüpfung mit der Redshift IDC-Anwendung verwendet werden, und wählen Sie Registrieren aus.

AWS IAM Identity CenterAktivieren Sie die Weitergabe von Identitäten

Amazon Redshift unterstützt Identity Center (IdC) Identity Propagation zur nahtlosen Weitergabe von IdC-Benutzeridentitäten zwischen Redshift-Instances und/-Services. AWS Lake Formation AWS Glue

Voraussetzungen

  • Sie haben eine Amazon Redshift IdC-Anwendung vom Typ Lakehouse erstellt. Weitere Informationen finden Sie unter AWS IAM Identity CenterAnwendungskonfiguration für Redshift Warehouse mit Verbundberechtigungen.

  • Sie haben einen Amazon Redshift Cluster oder Amazon Redshift Serverless Namespace, der bei registriert ist. AWS Glue Data Catalog

    • Für den Redshift Serverless Namespace ist eine angeschlossene Arbeitsgruppe erforderlich, um die entsprechenden Operationen auszuführen.

Wenn Ihr Redshift Cluster oder Redshift Serverless Namespace bereits mit einer Redshift IdC-Anwendung eines anderen Typs als Lakehouse verknüpft ist, passiert bei der Registrierung Folgendes: AWS Glue Data Catalog

  • Wenn kein Redshift IdC-Anwendungs-ARN bereitgestellt wird, wird die bestehende Redshift IdC-Anwendung in Ihrem Katalog auf den Status Deaktiviert gesetzt.

  • Wenn eine Redshift IdC-Anwendung vom Typ Lakehouse aus einer anderen AWS IAM Identity Center Instanz angegeben wird, wird der aktuelle IdC-Anbieter deaktiviert

  • Wenn eine Redshift IdC-Anwendung vom Typ Lakehouse aus derselben AWS IAM Identity Center Instanz bereitgestellt wird

    • Der ARN der Redshift IdC-Anwendung in Ihrem Katalog wird in den ARN der Redshift IdC-Anwendung vom Typ Lakehouse geändert. Der aktualisierte Katalog kann überprüft werden, indem Sie die svv_identity_providers abfragen. Weitere Informationen zu den svv_identity_providers finden Sie unter svv_identity_providers.

    • AWS IAM Identity CenterVerbundbenutzern, die zuvor Zugriff auf den Redshift-Cluster hatten, müssen von den Admins explizit CONNECT-Rechte für den Zugriff auf den Cluster gewährt werden. Weitere Informationen zur Gewährung von CONNECT-Rechten finden Sie unter. Privilegien Connect

    • Nach der Registrierung bei AWS Glue Data Catalog bleiben Ihre vorhandenen AWS IAM Identity Center föderierten Identitäten und ihre eigenen Ressourcen unverändert. Die Namespace-Zuordnungen für diese föderierten Identitäten werden ebenfalls beibehalten.

AWS IAM Identity CenterIdentitätsweitergabe für von Amazon Redshift bereitgestellte Cluster aktivieren

Für den Amazon Redshift Provisioned Cluster, für den sein Namespace registriert wurdeAWS Glue Data Catalog, ist die Lakehouse Amazon Redshift IdC-Anwendung erforderlich, für die keine ausdrückliche Zuweisung von AWS IAM Identity Center Identity-Benutzern zur Anwendung erforderlich ist. Die Anmeldeberechtigung des IdC-Benutzers wird durch die CONNECT-Berechtigung im Redshift-Warehouse verwaltet.

CLI

Sie können den modify-lakehouse-configuration Befehl verwenden, um die IDC-Identitätsverbreitung für Ihre Cluster mit Redshift-Verbundberechtigungen zu aktivieren. Geben Sie den ARN Ihres Lakehouse-Typs RedshiftIdcApplication an. Dazu ist eine Redshift Lakehouse-IDC-Anwendung erforderlich. Weitere Informationen finden Sie unter Erstellen einer neuen Redshift-IDC-Anwendung vom Typ Lakehouse: Identity Center-Anwendungskonfiguration für Redshift Warehouse mit Verbundberechtigungen.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter https://console.aws.amazon.com/redshiftv2/.

  2. Navigieren Sie zu dem bereitgestellten Cluster, den Sie registrieren möchten, und wählen Sie ihn aus.

  3. Wählen Sie auf der Detailseite des Clusters im Dropdownmenü Aktionen die Option Registrieren mit AWS Glue Data Catalog aus.

  4. Wählen Sie in der AWS IAM Identity Center Drop-down-Liste mit Amazon Redshift Redshift-Verbundberechtigungen die Option Aktivieren aus, um die IDC-Anwendung zuzuordnen, und wählen Sie Änderungen speichern aus.

AWS IAM Identity CenterIdentitätsweitergabe für Amazon Redshift Serverless-Namespaces aktivieren

CLI

Sie können den modify-lakehouse-configuration Befehl verwenden, um die IdC-Identitätsverbreitung für Ihren Namespace mit Redshift-Verbundberechtigungen zu aktivieren, den ARN Ihres Lakehouse-Typs RedshiftIdcApplication angeben. Dies erfordert eine Redshift Lakehouse-IDC-Anwendung. Weitere Informationen finden Sie unter Erstellen einer neuen Redshift-IDC-Anwendung vom Typ Lakehouse: Identity Center-Anwendungskonfiguration für Redshift Warehouse mit Verbundberechtigungen.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter https://console.aws.amazon.com/redshiftv2/.

  2. Navigieren Sie zu dem serverlosen Namespace, für den Sie die Registrierung bearbeiten möchten, und wählen Sie ihn aus.

  3. Wählen Sie auf der Detailseite des Clusters im Dropdownmenü Aktionen die Option AWS Glue Data CatalogRegistrierung bearbeiten aus.

  4. Wählen Sie in der AWS IAM Identity Center Drop-down-Liste mit Amazon Redshift Redshift-Verbundberechtigungen die Option Aktivieren aus, um die IDC-Anwendung zuzuordnen, und wählen Sie Änderungen speichern aus.

DIE GLOBALE IDENTITÄT DES BENUTZERSATZES ÄNDERN

Zusätzlich zu IAM und AWS IAM Identity Center Anmeldeinformationen kann sich der Benutzer, der Abfragen für Redshift Warehouses mit Verbundberechtigungen ausführt, mithilfe einer IAM-Rolle authentifizieren. Ein Superuser kann eine IAM-Rolle für einen anderen Benutzer einrichten, der nicht mit dem Verbund verbunden ist, sodass die Zuordnung beim Sitzungsaufbau automatisch erfolgt. Diese IAM-Rolle wird übernommen, wenn Anfragen an Redshift Warehouses with Federated Permissions gestellt werden. Diese Funktionalität wird bereitgestellt, um es IdC-Benutzern zu ermöglichen, sich nicht interaktiv zu authentifizieren. AWS

Diese Funktion ist für folgende Anwendungsfälle nützlich:

  • Kunden mit großen und komplexen Konfigurationen und bestehenden lokalen Warehouse-Benutzern sowie Benutzern mit globaler Identität.

  • Kunden, die iDC verwenden, sich aber automatisch ohne interaktive Browseraktion anmelden möchten.

Anforderungen und Einschränkungen:

  • Nur Superuser können die IAM-Rolle für festlegen. ALTER USER

  • Die IAM-Rolle muss dem Cluster zugewiesen werden.

  • Die IAM-Rolle muss über Berechtigungen für den Zugriff auf Ressourcen verfügen, die für die Ausführung von Abfragen in Redshift-Warehouses mit Verbundberechtigungen erforderlich sind. Wir empfehlen die Verwendung verwalteter Richtlinien AmazonRedshiftFederatedAuthorizationAWS.

  • Die Benutzer, die sich über die GLOBAL IDENTITY IAM-Rolle authentifizieren, können Ansichten in Redshift Warehouses mit Verbundberechtigungen abfragen, sie jedoch nicht ERSTELLEN, ÄNDERN, AKTUALISIEREN oder LÖSCHEN.

Syntax

Die folgende Syntax beschreibt den ALTER USER SET GLOBAL IDENTITY Befehl, der verwendet wird, um die IAM-Rolle für einen nicht verbundenen Datenbankbenutzer festzulegen, um Abfragen für Redshift Warehouses with Federated Permissions auszuführen.

ALTER USER username SET
GLOBAL IDENTITY IAM_ROLE 'arn:aws:iam::<AWS-account-id>:role/<role-name>'

Wenn Sie nun als Zielbenutzer authentifiziert sind (indem Sie eine direkte Verbindung als oder mithilfe von SET SESSION AUTHORIZATION herstellen)username, können Sie die globale Identitätsrolle wie folgt überprüfen

SHOW GLOBAL IDENTITY

Beachten Sie, dass die globale Identitätsrolle dem Benutzer beim Sitzungsaufbau zugeordnet wird. Wenn Sie die globale Identität für den aktuell angemeldeten Benutzer festlegen, muss dieser Benutzer die Verbindung erneut herstellen, damit die globale Identität wirksam wird.

Der folgende Befehl kann verwendet werden, um die zugehörige IAM-Rolle zu entfernen.

ALTER USER username RESET GLOBAL IDENTITY

Parameters

username (Benutzername

Name des Benutzers. Es darf sich nicht um Verbundbenutzer wie IAM-Benutzer oder AWS IdC-Benutzer handeln.

<account-id><role-name>IAM_ROLE 'arn:aws:iam: :role/ '

Verwenden Sie den Amazon Resource Name (ARN) für eine IAM-Rolle, die Ihr Cluster zur Authentifizierung und Autorisierung verwendet, wenn Benutzer username Abfragen in Redshift-Warehouses mit Verbundberechtigungen ausführen. Diese Rolle muss über die erforderlichen Berechtigungen verfügen, um die Abfrage auszuführen. Wir empfehlen die Verwendung von AmazonRedshiftFederatedAuthorization AWS Managed Policy.