Voraussetzungen - Amazon Redshift
Anforderungen an die IAM-RichtlinieKonfiguration der AnwendungVoraussetzungen für Lake FormationRechte Connect

Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im Blog-Posting.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen

IAM-Richtlinienanforderungen für die Einrichtung von Amazon Redshift Redshift-Verbundberechtigungen

Mit Amazon Redshift Federated Permissions können Sie den Datenzugriff für Ihre Analytics-Workloads zentral verwalten, wobei die Berechtigungen direkt vom Redshift-Warehouse verwaltet werden.

Um Verbundberechtigungen von Amazon Redshift zu aktivieren, sind spezifische IAM-Berechtigungen erforderlich, die über die Standardberechtigungen hinausgehen, die für die Erstellung von von Redshift bereitgestellten Clustern und serverlosen Namespaces erforderlich sind.

Für ein von Redshift bereitgestelltes Warehouse, um Redshift-Verbundberechtigungen zu aktivieren:

  • redshift:ModifyLakehouseConfiguration

  • redshift:RegisterNamespace

Für Redshift Serverless Warehouse, um Redshift-Verbundberechtigungen zu aktivieren:

  • redshift-serverless:UpdateLakehouseConfiguration

  • redshift:RegisterNamespace

Für die AWS Glue Data Catalog Integration zur Erstellung eines Katalogs mit Redshift-Verbundberechtigungen:

  • glue:CreateCatalog

  • glue:GetCatalog

Für die Lake Formation Formation-Ressourcenregistrierung als einmalige Registrierung, um den Redshift-Berechtigungsverbund von einem Remote-Warehouse aus mit Verbundberechtigungen zu aktivieren:

  • lakeformation:RegisterResource

  • lakeformation:RegisterResourceWithPrivilegedAccess

IAM Identity Center-Anwendungskonfiguration für Redshift Warehouse mit Verbundberechtigungen

Amazon Redshift unterstützt Identity Center Identity Propagation, um Benutzeridentitäten nahtlos zwischen Redshift-Instances und AWS Lake Formation Services zu übertragen. AWS Glue Diese Funktion erfordert die Konfiguration spezieller iDC-Anwendungen.

Erforderliche IAM-Berechtigungen

Um die Identity Center-Anwendung für Identity Center Identity Propagation zu erstellen und zu verwalten, stellen Sie sicher, dass Ihre IAM-Berechtigungen die folgenden Berechtigungen beinhalten:

Für das Amazon Redshift IdC-Anwendungsmanagement:

  • redshift:CreateRedshiftIdcApplication

  • redshift:ModifyRedshiftIdcApplication

  • redshift:DescribeRedshiftIdcApplications

Für das Anwendungsmanagement von Lake Formation iDC:

  • lakeformation:CreateLakeFormationIdentityCenterConfiguration

  • lakeformation:DescribeLakeFormationIdentityCenterConfiguration

  • lakeformation:UpdateLakeFormationIdentityCenterConfiguration

Erstellen Sie die entsprechenden iDC-Anwendungen und die entsprechende Konfiguration

Um die Identitätsweitergabe für Ihre Analytics-Workloads einzurichten, erstellen Sie eine Amazon Redshift IdC-Anwendung vom Typ Lakehouse. Sie verwaltet Berechtigungen, ohne dass explizite Benutzerzuweisungen erforderlich sind. Redshift-Warehouses, die mit dieser Anwendung verknüpft sind, benötigen CONNECT-Rechte für IdC-Benutzer, um Verbindungen zu authentifizieren.

Sie können pro nur eine Amazon Redshift IdC-Anwendung vom Typ Lakehouse erstellen. AWS-Konto Diese Anwendung kümmert sich um die Identitätsverbreitung in allen Redshift-Lagerhäusern, die in Lake Formation und die AWS Glue Dienste integriert sind. Die Anwendung kann nur mit Redshift-Lagerhäusern verwendet werden, die bei der AWS Glue Data Catalog registriert sind.

Bereiten Sie die von Redshift übernommene und von IdC Identity Propagation verwendete IAM-Rolle vor

Für die Erstellung von Redshift Lakehouse IdC-Anwendungen ist eine IAM-Rolle von Ihrem Konto mit bestimmten IAM-Berechtigungen erforderlich. Ihre in Ihren Redshift IDC-Anwendungen verwendete IAM-Rolle sollte über die folgende Vertrauensstellung verfügen, damit Redshift sie übernehmen und den Kontext für die IdC-Identitätsweitergabe festlegen kann.

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "redshift-serverless.amazonaws.com",
                    "redshift.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

Nachfolgend finden Sie die Berechtigungen für Ihre IDC-IAM-Rolle zur Unterstützung der Weitergabe von IdC-Identitäten.

  • AmazonRedshiftFederatedAuthorization— Diese Richtlinie ermöglicht Amazon Redshift, AWS Glue Data Catalog Datenbanken über Verbundberechtigungen abzufragen.

  • AWSIDC Kontextrichtlinie festlegen

     {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "*"
        }
    ]
}

  • Redshift als AWS verwaltete Anwendung einrichten mit AWS IAM Identity Center.

  • AWSIDC SSO-IAM-Richtlinie für das Identity Center:

    • sso:DescribeApplication – Zur Erstellung eines Identitätsanbieters (IdP) im Katalog erforderlich.

    • sso:DescribeInstance – Zur manuellen Erstellung von IdP-Verbundrollen oder -Benutzern verwendet.

      {
  "Sid": "VisualEditor1",
  "Effect": "Allow",
  "Action": [
    "sso:DescribeApplication",
    "sso:DescribeInstance"
  ],
  "Resource": [
    "arn:aws:sso:::instance/<IAM Identity Center Instance ID>",
    "arn:aws:sso::<AWS-account-id>:application/<IAM Identity Center Instance ID>/*"
  ]
}

Erstellen Sie eine neue Redshift iDC-Anwendung vom Typ Lakehouse

CLI

Erstellen Sie Ihre Lakehouse iDC-Anwendung, indem Sie in der create-redshift-idc-application Anfrage den Lakehouse-Anwendungstyp angeben. Dadurch werden explizite Benutzerzuweisungen in Identity Center überflüssig und gleichzeitig die Anforderung von CONNECT Rechten für die IdC-Benutzerauthentifizierung aktiviert:

aws redshift create-redshift-idc-application \
--idc-instance-arn <your_idc_instance_arn> \
--idc-display-name '<name_of_idc_application_display_on_idc_console>' \
--iam-role-arn <idc_carrier_role_arn> \
--application-type Lakehouse \
--redshift-idc-application-name '<name_of_idc_display_on_redshift_console>' \
--service-integrations '[
        {
            "LakeFormation":[
                {
                    "LakeFormationQuery":{"Authorization": "Enabled"}
                }
            ]
        },
        {
            "Redshift":[
                {
                    "Connect" : {
                        "Authorization": "Enabled"
                    }
                }
            ]
        }
    ]'

Diese Konfiguration ermöglicht die vertrauenswürdige Identitätsverbreitung zwischen Redshift und Lake Formation, sodass Benutzer mit ihren Identity Center-Anmeldeinformationen ohne zusätzliche Berechtigungszuweisungen dienstübergreifend auf Daten zugreifen können.

Console

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter https://console.aws.amazon.com/redshiftv2/.

  2. Navigieren Sie zur Verbindungsseite von IAM Identity Center und wählen Sie Anwendung erstellen aus.

  3. Konfigurieren Sie Ihre allgemeinen IDC-Anwendungseinstellungen.

  4. Wählen Sie Amazon Redshift Federated Permissions using AWS IAM Identity Center (Recommended) konfigurieren aus, um den Anwendungstyp festzulegen.

  5. Die Integrationen Lake Formation und Redshift Connect zur Identitätsverbreitung sind standardmäßig aktiviert.

  6. Vervollständigen Sie die verbleibenden Cluster-Einstellungen und wählen Sie Create application aus.

Ändern Sie eine bestehende Redshift iDC-Anwendung

Wenn Sie eine bestehende Redshift IdC-Anwendung haben, für die die erforderlichen Serviceintegrationen nicht aktiviert sind, können Sie sie aktualisieren, um die Identitätsweitergabe zwischen Diensten und Clustern/Namespaces zu unterstützen.

CLI

Verwenden Sie den Befehl, um sowohl die Autorisierung als auch die Autorisierung zu aktivieren. modify-redshift-idc-application LakeFormation:query Redshift:Connect Diese Integrationen sind für die service- und clusterübergreifende IdC-Identitätsverbreitung unerlässlich:

aws redshift modify-redshift-idc-application \
--redshift-idc-application-arn '<arn_of_the_target_redshift_idc_application>' \
--service-integrations '[
        {
            "LakeFormation":[
                {
                    "LakeFormationQuery":{"Authorization": "Enabled"}
                }
            ]
        },
        {
            "Redshift":[
                {
                    "Connect" : {
                        "Authorization": "Enabled"
                    }
                }
            ]
        }
    ]'
Console

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter https://console.aws.amazon.com/redshiftv2/.

  2. Navigieren Sie zur Verbindungsseite von IAM Identity Center und wählen Sie eine bestehende IDC-Anwendung aus, die Sie bearbeiten möchten.

  3. Wählen Sie Identity Propagation Integrations aus, um andere Einstellungen zu aktivieren und zu konfigurieren, und wählen Sie Änderungen speichern.

Lake Formation Identity Center-Konfiguration erstellen

Ihr Lake Formation Formation-Dienst benötigt eine spezielle iDC-Anwendung, falls noch keine erstellt wurde. Sie müssen auch die Redshift:Connect Autorisierung aktivieren, damit die Konfiguration ordnungsgemäß funktioniert.

CLI

Verwenden Sie den create-lake-formation-identity-center-configuration Befehl, um die Redshift:Connect Autorisierung zu aktivieren. Diese Integrationen sind unerlässlich, damit Lake Formation die IdC-Identität an Redshift-Cluster und Redshift Serverless Namespaces weitergibt.

aws lakeformation  create-lake-formation-identity-center-configuration \
--instance-arn <your_idc_instance_arn> \
--service-integrations '[{
  "Redshift": [{
    "RedshiftConnect": {
      "Authorization": "ENABLED"
    }
  }]
}]'
Console

  1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die Lake Formation Formation-Konsole unter https://console.aws.amazon.com/lakeformation/.

  2. Wählen Sie im linken Navigationsbereich die Option IAM Identity Center-Integration aus.

  3. Auf der IAM Identity Center-Integrationsseite können Sie die Verbreitung vertrauenswürdiger Identitäten für Amazon Redshift Connect aktivieren. Lake Formation gibt die Identität auf der Grundlage der effektiven Berechtigungen an Downstream weiter, sodass autorisierte Anwendungen im Namen von Benutzern auf Daten zugreifen können.

Aktualisieren Sie die Lake Formation Identity Center-Konfiguration

Wenn Sie die Lake Formation IdC-Anwendung konfiguriert haben, für die die erforderlichen Dienstintegrationen nicht aktiviert sind, können Sie sie aktualisieren, um die Identitätsverbreitung zwischen Diensten und Clustern/Namespaces zu unterstützen.

CLI

update-lake-formation-identity-center-configurationVerwenden Redshift:Connect Sie den Befehl, um die Autorisierung zu aktivieren. Diese Integrationen sind für die service- und clusterübergreifende IdC-Identitätsverbreitung unerlässlich:

aws lakeformation update-lake-formation-identity-center-configuration \
--service-integrations '[{                                                            
  "Redshift": [{
    "RedshiftConnect": {
      "Authorization": "ENABLED"
    }
  }]
}]'
Console

  1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die Lake Formation Formation-Konsole unter https://console.aws.amazon.com/lakeformation/.

  2. Wählen Sie im linken Navigationsbereich die Option IAM Identity Center-Integration aus.

  3. Auf der IAM Identity Center-Integrationsseite können Sie die Verbreitung vertrauenswürdiger Identitäten für Amazon Redshift Connect aktivieren. Lake Formation gibt die Identität auf der Grundlage der effektiven Berechtigungen an Downstream weiter, sodass autorisierte Anwendungen im Namen von Benutzern auf Daten zugreifen können.

Voraussetzungen für Lake Formation

Der Kunde benötigt Lake Formation CREATE_CATALOG Formation-Berechtigungen für die Aktivierung AWS Glue Data Catalog mit Amazon Redshift Redshift-Verbundberechtigungen.

  1. Wenn das Konto einem bestehenden Lake Formation-Kunden gehört, muss der Lake Formation-Administrator jedem Cluster-Ersteller ausdrücklich die CREATE_CATALOG-Berechtigung erteilen. Verwenden Sie den folgenden CLI-Beispielbefehl:

    aws lakeformation grant-permissions \
    --cli-input-json \
    '{
        "Principal": {
            "DataLakePrincipalIdentifier": "<PrincipalArn>"
        },
        "Resource": {
            "Catalog": {}
        },
        "Permissions": [
            "CREATE_CATALOG"
        ]
    }'

  2. Wenn das Konto Lake Formation noch nie verwendet hat, stellen Sie sicher, dass Catalog Creators auf der Seite Administrative Rollen und Aufgaben der Lake Formation Formation-Konsole auf IAMAllowed Principals eingestellt ist. Falls nicht konfiguriert, richten Sie einen Data Lake-Administrator ein, indem Sie den Anweisungen zum Erstellen eines Data Lake-Administrators folgen. Alternativ können Sie einen Data Lake-Administrator mit den mindestens erforderlichen Richtlinien erstellen, wenn Sie ihn nur AWS Glue Data Catalog mit Amazon Redshift Redshift-Verbundberechtigungen verwenden.

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "lakeformation:PutDataLakeSettings",
                "lakeformation:GrantPermissions",
                "lakeformation:GetDataLakeSettings",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:ListPermissions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  3. Bitten Sie den DataLake Administratoren, den IAMAllowed Principals die Berechtigungen zum Erstellen eines Katalogs zu erteilen. Der Zugriff kann über die Schaltfläche „Gewähren“ für Katalogersteller auf der Seite „Administrative Rolle und Aufgaben“ gewährt werden.

Rechte Connect

Im Rahmen der Verbundberechtigungen von Amazon Redshift hat Amazon Redshift CONNECT-Rechte eingeführt, um den Zugriff AWS IAM Identity Center verbundener Benutzer auf Amazon Redshift Redshift-Arbeitsgruppen oder -Cluster zu verwalten. Diese Funktion ist verfügbar, wenn Amazon Redshift Redshift-Verbundberechtigungen für die Arbeitsgruppe oder den Cluster aktiviert sind.

Diese Berechtigung ermöglicht es Administratoren, den Benutzerzugriff durch detaillierte Berechtigungen für jede Amazon Redshift Redshift-Arbeitsgruppe (n) oder Cluster (n) zu kontrollieren, in denen Amazon Redshift Redshift-Verbundberechtigungen aktiviert sind. Der Amazon Redshift Redshift-Administrator kann angeben, welche AWS IAM Identity Center Verbundbenutzer oder Gruppen Zugriff darauf haben, sich direkt mit der Amazon Redshift-Arbeitsgruppe oder dem Amazon Redshift-Cluster zu verbinden, wodurch eine detaillierte Kontrolle über den AWS IAM Identity Center Benutzerzugriff in jeder Arbeitsgruppe oder jedem Cluster ermöglicht wird.

Syntax

GRANT CONNECT [ON WORKGROUP]
TO [USER] <prefix>:<username> | ROLE <prefix>:<rolename> | PUBLIC;
[ZUR ARBEITSGRUPPE] VERBINDEN

Erteilt die Berechtigung, eine Verbindung zu einer Arbeitsgruppe herzustellen. Die CONNECT-Berechtigung gilt nur für AWS IAM Identity Center Identitäten (Benutzer und Rollen).

<prefix>ZU: <username>

Zeigt an, dass der AWS IAM Identity Center Verbundbenutzer die Berechtigungen erhält.

<prefix>ZUR ROLLE: <rolename>

Zeigt an, dass die AWS IAM Identity Center Verbundgruppe die Berechtigungen erhält.

PUBLIC

Gewährt die CONNECT-Berechtigungen allen AWS IAM Identity Center Verbundbenutzern, einschließlich Benutzern, die später erstellt wurden.