Connect Redshift mit AWS IAM Identity Center für ein Single-Sign-On-Erlebnis - Amazon Redshift
Vorteile der Redshift-Integration mit AWS IAM Identity CenterAdministrator-Personas für die Verbindung von AnwendungenVerbindung zu Amazon Redshift mit AWS IAM Identity Center herstellen über Amazon QuickSightVerbindung zu Amazon Redshift über Amazon Redshift Query Editor v2Einschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Connect Redshift mit AWS IAM Identity Center für ein Single-Sign-On-Erlebnis

Sie können den Benutzer- und Gruppenzugriff auf Amazon-Redshift-Data-Warehouses über die Verbreitung vertrauenswürdiger Identitäten verwalten.

Die Verbreitung vertrauenswürdiger Identitäten ist eine AWS IAM Identity Center Funktion, mit der Administratoren von Connected den Zugriff auf Servicedaten gewähren und prüfen AWS-Services können. Der Zugriff auf diese Daten basiert auf Benutzerattributen wie Gruppenzuordnungen. Die Einrichtung von Trusted Identity Propagation erfordert die Zusammenarbeit zwischen den Administratoren von Connected AWS-Services und den IAM Identity Center-Administratoren. Weitere Informationen finden Sie unter Voraussetzungen und Überlegungen.

Um einen end-to-end Fall zu veranschaulichen, können Sie ein Amazon QuickSight Dashboard oder den Amazon Redshift Query Editor v2 verwenden, um auf Redshift zuzugreifen. Der Zugriff basiert in diesem Fall auf AWS IAM Identity Center-Gruppen. Redshift kann feststellen, wer ein Benutzer ist und welche Gruppenmitgliedschaften er hat. AWS IAM Identity Center ermöglicht es auch, Identitäten über einen externen Identitätsanbieter (IdP) wie Okta oder zu verwalten. PingOne

Nachdem Ihr Administrator die Verbindung zwischen Redshift und AWS IAM Identity Center eingerichtet hat, kann er einen differenzierten Zugriff auf der Grundlage von Identitätsanbietergruppen konfigurieren, um den Benutzerzugriff auf Daten zu autorisieren.

Wichtig

Wenn Sie einen Benutzer aus einem AWS IAM Identity Center- oder einem Connected Identity Provider (IdP) -Verzeichnis löschen, wird der Benutzer nicht automatisch aus dem Amazon Redshift Redshift-Katalog gelöscht. Um den Benutzer manuell aus dem Amazon Redshift Redshift-Katalog zu löschen, führen Sie den DROP USER Befehl aus, um den Benutzer, der aus einem AWS IAM Identity Center oder IdP entfernt wurde, vollständig zu löschen. Weitere Informationen zum Löschen eines Benutzers finden Sie unter DROP USER im Amazon Redshift Database Developer Guide.

Vorteile der Redshift-Integration mit AWS IAM Identity Center

Die Verwendung von AWS IAM Identity Center mit Redshift kann Ihrem Unternehmen auf folgende Weise zugute kommen:

  • Dashboard-Autoren Amazon QuickSight können eine Verbindung zu Redshift-Datenquellen herstellen, ohne Passwörter erneut eingeben zu müssen oder dass ein Administrator IAM-Rollen mit komplexen Berechtigungen einrichten muss.

  • AWS Das IAM Identity Center bietet einen zentralen Ort für die Benutzer Ihrer Belegschaft. AWS Sie können Benutzer und Gruppen direkt in AWS IAM Identity Center erstellen oder bestehende Benutzer und Gruppen verbinden, die Sie in einem standardbasierten Identitätsanbieter wie Okta oder Microsoft Entra PingOne ID (Azure AD) verwalten. AWS IAM Identity Center leitet die Authentifizierung an die von Ihnen gewählte Informationsquelle für Benutzer und Gruppen weiter und verwaltet ein Verzeichnis mit Benutzern und Gruppen, auf das Redshift zugreifen kann. Weitere Informationen finden Sie unter Identitätsquelle ändern und Unterstützte Identitätsanbieter im AWS -IAM-Identity-Center-Benutzerhandbuch.

  • Sie können eine AWS IAM Identity Center-Instanz mit mehreren Redshift-Clustern und Arbeitsgruppen teilen und verfügen über eine einfache automatische Erkennung und Verbindungsfunktion. Auf diese Weise können Cluster schnell hinzugefügt werden, ohne dass die AWS IAM Identity Center-Verbindung für jeden einzelnen Cluster zusätzlich konfiguriert werden muss, und es wird sichergestellt, dass alle Cluster und Arbeitsgruppen eine konsistente Ansicht der Benutzer, ihrer Attribute und Gruppen haben. Beachten Sie, dass sich die AWS IAM Identity Center-Instanz Ihrer Organisation in derselben Region befinden muss wie alle Redshift-Datenfreigaben, mit denen Sie eine Verbindung herstellen.

  • Da die Benutzeridentitäten bekannt sind und zusammen mit dem Datenzugriff protokolliert werden, können Sie Compliance-Vorschriften einfacher erfüllen, indem Sie den Benutzerzugriff in AWS CloudTrail prüfen.

Administrator-Personas für die Verbindung von Anwendungen

Die folgenden Personas sind entscheidend für die Verbindung von Analyseanwendungen mit der von AWS IAM Identity Center verwalteten Anwendung für Redshift:

  • Anwendungsadministrator – Erstellt eine Anwendung und konfiguriert die Services, mit denen der Austausch von Identitätstoken möglich ist. Dieser Administrator gibt auch an, welche Benutzer oder Gruppen Zugriff auf die Anwendung haben.

  • Datenadministrator – Konfiguriert den detaillierten Zugriff auf Daten. Benutzer und Gruppen in AWS IAM Identity Center können bestimmten Berechtigungen zugeordnet werden.

Verbindung zu Amazon Redshift mit AWS IAM Identity Center herstellen über Amazon QuickSight

Im Folgenden wird gezeigt, wie Sie sich bei Redshift authentifizieren können QuickSight , wenn eine Verbindung mit dem AWS IAM Identity Center besteht und der Zugriff über dieses verwaltet wird: Autorisieren von Verbindungen von QuickSight zu Amazon Redshift Redshift-Clustern. Diese Schritte gelten auch für Amazon Redshift Serverless.

Herstellen einer Verbindung zu Amazon Redshift mit AWS IAM Identity Center über den Amazon Redshift Query Editor v2

Nach Abschluss der Schritte zum Einrichten einer AWS IAM Identity Center-Verbindung mit Redshift kann der Benutzer über seine AWS IAM Identity Center-basierte Identität mit Namespace-Präfix auf die Datenbank und die entsprechenden Objekte in der Datenbank zugreifen. Weitere Informationen zum Herstellen einer Verbindung zu Redshift-Datenbanken mit Query Editor v2 finden Sie unter Arbeiten mit Query Editor v2.

Einschränkungen für die Verbindung zu Amazon Redshift mit AWS IAM Identity Center

Beachten Sie bei der Verwendung von AWS IAM Identity Center Single Sign-On die folgende Einschränkung:

  • Keine Unterstützung für erweiterte VPC — Enhanced VPC wird nicht unterstützt, wenn Sie AWS IAM Identity Center Single Sign-On für Amazon Redshift verwenden. Weitere Informationen zu erweiterter VPC finden Sie unter Verbessertes VPC-Routing in Amazon Redshift.