Registro de clúster de Redshift Registro de espacio de nombres sin servidor de Redshift Habilitación de la propagación de identidades de AWS IAM Identity Center ALTER USER SET GLOBAL IDENTITY

Incorporación

Registro de clúster de Redshift

Redshift admite la creación de un clúster nuevo o la restauración de un clúster a partir de una instantánea con registro de AWS Glue Data Catalog (GDC). Puede especificar el nombre del catálogo de GDC como parte de este registro. Para admitir la propagación de la identidad de IdC, puede especificar un ARN de aplicación de IdC de Redshift del tipo Lakehouse para permitir la propagación de la identidad de IdC.

Creación de un nuevo clúster con el registro del catálogo de datos de Glue

CLI

Para registrar automáticamente el clúster recién creado en el catálogo de datos, proporcione el nombre del catálogo que se utilizará para crear y registrar el catálogo de datos. El parámetro redshift-idc-application-arn es opcional; inclúyalo si desea vincular el clúster con la aplicación de IdC de Redshift de tipo Lakehouse. También puede establecer esta asociación de aplicación de IdC más tarde.


aws redshift create-cluster \
    --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>

Console

Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon Redshift en https://console.aws.amazon.com/redshiftv2/.
Navegue hasta el panel de clústeres aprovisionados y seleccione Crear clúster.
Configure los ajustes generales del clúster.
En la sección Registrarse con AWS Glue Data Catalog, seleccione Registrarse con los permisos federados de Amazon Redshift.
- Ingrese un identificador de nombre de catálogo.
- (Recomendado) Seleccione los permisos federados de Amazon Redshift mediante AWS IAM Identity Center para asociarlos a la aplicación de IDC de Redshift.
Complete el resto de la configuración del clúster y elija Crear clúster.

Restauración de un clúster nuevo con registro de AWS Glue Data Catalog

CLI

Para restaurar una instantánea en un clúster nuevo con integración de AWS Glue Data Catalog, proporcione el nombre del catálogo que se utilizará para crear y registrar el catálogo de AWS Glue. El parámetro redshift-idc-application-arn es opcional; inclúyalo si desea vincular el clúster con la aplicación de IdC de Redshift de tipo Lakehouse. También puede establecer esta asociación de aplicación de IdC más tarde.


aws redshift restore-from-cluster-snapshot \
   --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --snapshot-identifier 'redshift-cluster-snapshot' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>

Console

Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon Redshift en https://console.aws.amazon.com/redshiftv2/.
Vaya a la página de instantáneas aprovisionadas. En la tabla de instantáneas, seleccione Restaurar en el clúster aprovisionado en el menú desplegable Restaurar instantáneas.
Configure los ajustes generales del clúster.
En la sección Registrarse con AWS Glue Data Catalog, seleccione Registrarse con los permisos federados de Amazon Redshift.
- Ingrese un identificador de nombre de catálogo.
- (Recomendado) Seleccione los permisos federados de Amazon Redshift mediante AWS IAM Identity Center para asociarlos a la aplicación de IDC de Redshift.
Complete el resto de la configuración del clúster y elija Crear clúster.

Modificación de un clúster existente con el registro de AWS Glue Data Catalog

Si el clúster de Redshift ya está asociado a una aplicación de IdC de Redshift del tipo que no sea Lakehouse, durante el registro de AWS Glue Data Catalog ocurre lo siguiente:

Si no se proporciona el ARN de la aplicación de IdC de Redshift, la aplicación de IdC de Redshift existente en el catálogo pasará a estar desactivada.
Cuando se especifica una aplicación de IdC de Redshift del tipo Lakehouse de una instancia de AWS IAM Identity Center diferente, el proveedor de IdC actual queda desactivado.
Cuando se proporciona una aplicación de IdC de Redshift del tipo Lakehouse de la misma instancia de AWS IAM Identity Center
- El ARN de la aplicación de IdC de Redshift del catálogo se cambiará por el ARN de la aplicación de IdC de Redshift del tipo Lakehouse. El catálogo actualizado se puede comprobar consultando svv_identity_providers. Para obtener más información sobre los svv_identity_providers, consulte svv_identity_providers.
- Los administradores deben conceder explícitamente los privilegios CONNECT a los usuarios federados de AWS IAM Identity Center que anteriormente tenían acceso al clúster de Redshift para acceder al clúster. Para obtener más información sobre cómo conceder privilegios CONNECT, consulte Privilegios de conexión.
- Tras registrarse con AWS Glue Data Catalog, las identidades de AWS IAM Identity Center federadas actuales y sus recursos propios permanecen inalterados. También se conservan las asociaciones de espacios de nombres de estas identidades federadas.

CLI

Puede usar el comando modify-lakehouse-configuration para registrar el clúster en AWS Glue Data Catalog, catalog-name se usa para crear y registrar el catálogo de AWS Glue. Para admitir la propagación de identidades de IdC, especifique el ARN del tipo Lakehouse de RedshiftIdcApplication. Esto requiere una aplicación de IdC de Redshift del tipo Lakehouse. Consulte Creación de una nueva aplicación de IdC de Redshift del tipo Lakehouse: configuración de la aplicación del centro de identidades para el almacén de Redshift con permisos federados.


aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \

Console

Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon Redshift en https://console.aws.amazon.com/redshiftv2/.
Vaya hasta el clúster aprovisionado que desee registrar y selecciónelo.
En la página de detalles del clúster, seleccione Registrar con AWS Glue Data Catalog en el menú desplegable Acciones.
Seleccione la opción Registrarse con los permisos federados de Amazon Redshift e
- ingrese un identificador de nombre de catálogo.
- (Recomendado) Seleccione los permisos federados de Amazon Redshift mediante AWS IAM Identity Center para asociarlos a la aplicación de IDC de Redshift y elija Registrar.

Registro de espacio de nombres sin servidor de Redshift

Redshift sin servidor permite a los espacios de nombres sin servidor conectados a grupos de trabajo registrarse con AWS Glue Data Catalog. Tenga en cuenta que la base de datos se reiniciará durante esta actualización.

Si el espacio de nombres sin servidor de Redshift ya está asociado a una aplicación de IdC de Redshift del tipo que no sea Lakehouse, durante el registro del catálogo de datos de Glue ocurre lo siguiente:

Si no se proporciona el ARN de la aplicación de IdC de Redshift, la aplicación de IdC de Redshift existente en el catálogo pasará a estar desactivada.
Cuando se especifica una aplicación de IdC de Redshift del tipo Lakehouse de una instancia de AWS IAM Identity Center diferente, el proveedor de IdC actual queda desactivado.
Cuando se proporciona una aplicación de IdC de Redshift del tipo Lakehouse de la misma instancia de AWS IAM Identity Center
- El ARN de la aplicación de IdC de Redshift del catálogo se cambiará por el ARN de la aplicación de IdC de Redshift del tipo Lakehouse. El catálogo actualizado se puede comprobar consultando svv_identity_providers. Para obtener más información sobre los svv_identity_providers, consulte svv_identity_providers.
- Los administradores deben conceder explícitamente los privilegios CONNECT a los usuarios federados de AWS IAM Identity Center que anteriormente tenían acceso al clúster de Redshift para acceder al clúster. Para obtener más información sobre cómo conceder privilegios CONNECT, consulte Privilegios de conexión.
- Tras registrarse con AWS Glue Data Catalog, las identidades de AWS IAM Identity Center federadas actuales y sus recursos propios permanecen inalterados. También se conservan las asociaciones de espacios de nombres de estas identidades federadas.

CLI

Puede usar el comando update-lakehouse-configuration para registrar el espacio de nombres sin servidor de Redshift en AWS Glue Data Catalog, el catalog-name se usa para crear y registrar el catálogo de Glue. Para admitir la propagación de la identidad de IdC, especifique el ARN de una aplicación de IdC de Redshift del tipo Lakehouse.


aws redshift-serverless update-lakehouse-configuration \
    --namespace-name 'serverless-namespace-name' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17'

Console

Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon Redshift en https://console.aws.amazon.com/redshiftv2/.
Vaya hasta el clúster aprovisionado que desee registrar y selecciónelo.
En la página de detalles del clúster, seleccione Registrar con AWS Glue Data Catalog en el menú desplegable Acciones.
Seleccione la opción Registrarse con los permisos federados de Amazon Redshift e
- ingrese un identificador de nombre de catálogo.
- (Recomendado) Seleccione los permisos federados de Amazon Redshift mediante AWS IAM Identity Center para asociarlos a la aplicación de IDC de Redshift y elija Registrar.

Habilitación de la propagación de identidades de AWS IAM Identity Center

Amazon Redshift admite la propagación de identidades de los centros de identidades (IdC) para transmitir sin problemas las identidades de los usuarios de IdC entre las instancias de Redshift y los servicios de AWS Lake Formation o AWS Glue.

Requisitos previos

Ha creado una aplicación de IdC de Amazon Redshift del tipo Lakehouse; consulte la configuración de la aplicación de AWS IAM Identity Center para el almacén de Redshift con permisos federados.
Tiene registrado un clúster de Amazon Redshift o un espacio de nombres de Amazon Redshift sin servidor con AWS Glue Data Catalog.
- El espacio de nombres sin servidor de Redshift requiere un grupo de trabajo adjunto para realizar las operaciones relacionadas.

Si el clúster de Redshift o el espacio de nombres sin servidor de Redshift ya están asociados a una aplicación de IdC de Redshift del tipo que no sea Lakehouse, durante el registro de AWS Glue Data Catalog ocurre lo siguiente:

Si no se proporciona el ARN de la aplicación de IdC de Redshift, la aplicación de IdC de Redshift existente en el catálogo pasará a estar desactivada.
Cuando se especifica una aplicación de IdC de Redshift del tipo Lakehouse de una instancia de AWS IAM Identity Center diferente, el proveedor de IdC actual queda desactivado.
Cuando se proporciona una aplicación de IdC de Redshift del tipo Lakehouse de la misma instancia de AWS IAM Identity Center
- El ARN de la aplicación de IdC de Redshift del catálogo se cambiará por el ARN de la aplicación de IdC de Redshift del tipo Lakehouse. El catálogo actualizado se puede comprobar consultando svv_identity_providers. Para obtener más información sobre los svv_identity_providers, consulte svv_identity_providers.
- Los administradores deben conceder explícitamente los privilegios CONNECT a los usuarios federados de AWS IAM Identity Center que anteriormente tenían acceso al clúster de Redshift para acceder al clúster. Para obtener más información sobre cómo conceder privilegios CONNECT, consulte Privilegios de conexión.
- Tras registrarse con AWS Glue Data Catalog, las identidades de AWS IAM Identity Center federadas actuales y sus recursos propios permanecen inalterados. También se conservan las asociaciones de espacios de nombres de estas identidades federadas.

Habilitación de la propagación de identidades de AWS IAM Identity Center para clústeres aprovisionados de Amazon Redshift

Para el clúster aprovisionado de Amazon Redshift que registró su espacio de nombres en AWS Glue Data Catalog, se requiere la aplicación de IdC de Amazon Redshift de tipo Lakehouse, que no requiere la asignación explícita de usuarios de identidad de AWS IAM Identity Center a la aplicación. El privilegio de inicio de sesión de los usuarios de IdC se administra mediante el privilegio CONNECT en el almacén de Redshift.

Habilitación de la propagación de identidades de AWS IAM Identity Center para los espacios de nombres de Amazon Redshift sin servidor

ALTER USER SET GLOBAL IDENTITY

Además de las credenciales de IAM y AWS IAM Identity Center, el usuario que ejecuta consultas en almacenes de Redshift con permisos federados puede autenticarse mediante un rol de IAM. Un superusuario puede configurar un rol de IAM para que otro usuario no federado lo asocie automáticamente al establecer la sesión, y este rol de IAM se asumirá al realizar consultas en almacenes de Redshift con permisos federados. Esta funcionalidad se proporciona para permitir a los usuarios de IdC de AWS autenticarse de forma no interactiva.

Esta característica resulta útil para los siguientes casos de uso:

Clientes que tienen configuraciones grandes y complejas con un usuario de almacén local existente, además de usuarios con identidad global.
Clientes que utilizan IdC, pero que desean iniciar sesión automáticamente sin que el navegador interactúe para iniciar sesión.

Requisitos y limitaciones:

Solo el superusuario puede establecer el rol de IAM mediante ALTER USER.
Debe adjuntarse el rol de IAM al clúster.
El rol de IAM debe tener permisos para acceder a los recursos necesarios para ejecutar consultas en los almacenes de Redshift con permisos federados. Se recomienda utilizar la política administrada de AWS, AmazonRedshiftFederatedAuthorization.
Los usuarios que se autentican mediante el rol de IAM de GLOBAL IDENTITY pueden consultar vistas en almacenes de Redshift con permisos federados, pero no las pueden CREATE, ALTER, REFRESH o DROP.

Sintaxis

La siguiente sintaxis describe el comando ALTER USER SET GLOBAL IDENTITY utilizado para establecer el rol de IAM para que un usuario de una base de datos no federada ejecute consultas en almacenes de Redshift con permisos federados.


ALTER USER username SET
GLOBAL IDENTITY IAM_ROLE 'arn:aws:iam::<AWS-account-id>:role/<role-name>'

Ahora, al autenticarse como usuario de destino (conectándose directamente como nombre de usuario o mediante SET SESSION AUTHORIZATION), puede comprobar el rol de identidad global mediante


SHOW GLOBAL IDENTITY

Tenga en cuenta que el rol de identidad global se asocia al usuario al establecer la sesión. Si establece la identidad global del usuario que ha iniciado sesión actualmente, dicho usuario tendrá que volver a conectarse para que la identidad global surta efecto.

El siguiente comando se puede utilizar para eliminar el rol de IAM asociado.


ALTER USER username RESET GLOBAL IDENTITY

Parameters

username: Nombre del usuario. No puede ser un usuario federado, como un usuario de IAM o un usuario de IdC de AWS.
IAM_ROLE “arn:aws:iam::<account-id>:role/<role-name>”: Utilice el nombre de recurso de Amazon (ARN) para un rol de IAM que el clúster utiliza para la autenticación y la autorización cuando el nombre de usuario del usuario ejecuta consultas en almacenes de Redshift con permisos federados. Este rol debe tener los permisos requeridos para ejecutar la consulta. Se recomienda utilizar la política administrada de AWS, AmazonRedshiftFederatedAuthorization.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Requisitos previos

Consulta de catálogos