Verbundberechtigungen für Amazon Redshift - Amazon Redshift
Die wichtigsten KonzepteVorteileAnwendungsfälle

Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im Blog-Posting.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbundberechtigungen für Amazon Redshift

Amazon Redshift Federated Permissions vereinfacht die Rechteverwaltung für mehrere Redshift Data Warehouses, indem Sie Datenberechtigungen einmalig definieren und diese automatisch für alle Warehouses in Ihrem System durchsetzen können. AWS-Konto Dadurch entfällt die Notwendigkeit, Berechtigungen und fein abgestufte Zugriffskontrollrichtlinien für mehrere Warehouses neu zu definieren und zu verwalten.

Wenn Sie Redshift Warehouse namespace/cluster bei registrieren AWS Glue Data Catalog, namespaces/clusters werden alle Datenbanken aus dem registrierten Warehouse automatisch in jedem Warehouse bereitgestellt, sodass eine nahtlose Datenerkennung ohne manuelle Konfiguration gewährleistet ist.

Sie definieren Berechtigungen für Datenbankobjekte mit vertrauten Redshift-SQL-Befehlen und geben globale Identitäten über AWS Identity and Access Management (IAM) oder an. AWS IAM Identity Center Diese Berechtigungen werden zusammen mit den Warehouse-Daten gespeichert und konsistent durchgesetzt, unabhängig davon, welches Warehouse die Abfrage ausführt.

Die wichtigsten Konzepte

  • Redshift-Warehouse mit Verbundberechtigungen: Das Producer-Warehouse, das bei Data Catalog registriert ist und in dem Daten und Redshift-Berechtigungen gespeichert werden.

  • Redshift-Warehouse wird konsumiert: Jedes Warehouse, das Daten aus einem Remote-Warehouse abfragt. Consuming Warehouse kann optional für Redshift-Verbundberechtigungen aktiviert werden.

  • Globale Identität: IAM und IAM Identity Center bieten globale Identität für alle Warehouses, die für Redshift-Verbundberechtigungen aktiviert sind. Benutzer authentifizieren sich einmal über ihren bestehenden Identitätsanbieter und erhalten konsistenten Zugriff auf der Grundlage ihrer globalen Identität, unabhängig davon, mit welchem Warehouse sie sich verbinden.

  • Automatisches Mounten: Alle Warehouses, die für Redshift-Verbundberechtigungen aktiviert sind, sind automatisch in allen Warehouses in Ihrem Konto sichtbar. Diese automatische Mount-Funktion ermöglicht die Erkennung von Katalogen und Datenbanken für lagerübergreifende Analysen.

  • Identitätsweitergabe: Wenn Sie eine warehouseübergreifende Abfrage ausführen, gibt Redshift Ihre globale Identität (IAM-Rolle oder IAM Identity Center-Benutzer) an das Remote-Warehouse weiter.

  • Lagerhausübergreifende Autorisierung: Die für das Remote-Warehouse aktivierten Redshift-Verbundberechtigungen validieren Ihre Berechtigungen für lagerübergreifende Abfragen und werden in den verbrauchenden Lagerhäusern durchgesetzt.

  • Präzise Zugriffskontrolle: Richtlinien für Sicherheit auf Zeilenebene (RLS), Richtlinien auf Spaltenebene (CLP) und Dynamic Data Masking (DDM), die in allen Lagerhäusern durchgesetzt werden können.

Vorteile

Vereinfachte Verwaltung

  • Definieren Sie Berechtigungen einmal für das Warehouse

  • Setzen Sie automatisch dieselben Berechtigungen für alle verbrauchenden Lagerhäuser durch

  • Eliminieren Sie die Notwendigkeit, Berechtigungen und fein abgestufte Richtlinien für die Zugriffskontrolle in mehreren Lagerhäusern neu zu definieren und zu verwalten

  • Reduzieren Sie den Verwaltungsaufwand und reduzieren Sie das Risiko von Konfigurationsfehlern

Verbesserte Sicherheit und Einhaltung gesetzlicher Vorschriften

  • Sorgen Sie für eine einheitliche Durchsetzung der Sicherheitsrichtlinien in allen Lagern

  • Implementieren Sie detaillierte Zugriffskontrollen auf Tabellen- und Spaltenebene

  • Prüfen Sie Genehmigungen von jedem Warehouse aus

  • Verbesserte Compliance-Tools mit zusätzlichen SHOW-Befehlen

Verbessertes Benutzererlebnis

  • Registrieren Sie sich einmal und Sie müssen Datenfreigaben nicht manuell erstellen

  • Single Sign-On für alle Lager und konsistenter Zugriff auf der Grundlage einer globalen Identität

  • Reibungslose Namespace-Erkennung ohne manuelle Katalogkonfiguration

  • Sie müssen nicht in jedem Warehouse separate lokale Benutzerkonten verwalten

Horizontale Skalierbarkeit

  • Fügen Sie neue Lagerhäuser hinzu, ohne die Komplexität der Verwaltung zu erhöhen

  • Neue, verbrauchende Lagerhäuser setzen automatisch Genehmigungsrichtlinien durch

  • Analysten sehen sofort alle Datenbanken aus registrierten Lagerhäusern

Anwendungsfälle

Isolierung von Arbeitslasten mit einheitlicher Steuerung

Separate Rechenressourcen für verschiedene Workloads (ETL, Analytik, Reporting) bei gleichzeitiger Aufrechterhaltung einheitlicher Sicherheitsrichtlinien in allen Lagerhäusern.

Datenzugriff für mehrere Teams

Ermöglichen Sie mehreren Teams den Zugriff auf gemeinsam genutzte Daten von ihren eigenen Lagern aus, wobei die entsprechenden Zugriffskontrollen automatisch durchgesetzt werden.

Data-Mesh-Architektur

Implementieren Sie einen Data-Mesh-Ansatz, bei dem mehrere unabhängige Rechenressourcen auf gemeinsam genutzten Daten mit einheitlicher Verwaltung arbeiten.

Kostenoptimierung

Skalieren Sie Rechenressourcen unabhängig voneinander für verschiedene Anwendungsfälle und behalten Sie gleichzeitig ein zentrales Berechtigungsmanagement bei.