Permisos federados de Amazon Redshift - Amazon Redshift
Conceptos claveVentajasCasos de uso

Amazon Redshift dejará de admitir la creación de nuevas UDF de Python a partir del parche 198. Las UDF de Python existentes seguirán funcionando hasta el 30 de junio de 2026. Para obtener más información, consulte la publicación del blog.

Permisos federados de Amazon Redshift

Los permisos federados de Amazon Redshift simplifican la administración de permisos en varios almacenes de datos de Redshift, ya que se permite definir los permisos de datos una vez y aplicarlos automáticamente en todos los almacenes de la Cuenta de AWS. Esto elimina la necesidad de redefinir y administrar los permisos y las políticas detalladas de control de acceso en varios almacenes.

Al registrar el espacio de nombres o clúster de almacén de Redshift con AWS Glue Data Catalog, todas las bases de datos de los espacios de nombres o clústeres de almacenes registrados se montan automáticamente en cada almacén, lo que permite una detección de datos perfecta sin necesidad de configuración manual.

Los permisos en los objetos de la base de datos se definen mediante los comandos de SQL de Redshift conocidos, especificando las identidades globales mediante AWS Identity and Access Management (IAM) o AWS IAM Identity Center. Estos permisos se almacenan junto con los datos del almacén y se aplican de forma coherente, independientemente del almacén que ejecute la consulta.

Conceptos clave

  • Almacén de Redshift con permisos federados: el almacén del productor que está registrado con catálogo de datos y donde se almacenan los datos y los permisos de Redshift.

  • Almacén de Redshift de consumo: cualquier almacén que consulte datos de un almacén remoto. El almacén de consumo se puede habilitar opcionalmente para los permisos federados de Redshift.

  • Identidad global: IAM e IAM Identity Center proporcionan una identidad global en todos los almacenes habilitados para los permisos federados de Redshift. Los usuarios se autentican una vez a través de su proveedor de identidades actual y reciben un acceso coherente en función de su identidad global, independientemente del almacén al que se conecten.

  • Montaje automático: todos los almacenes habilitados para los permisos federados de Redshift están visibles automáticamente en todos los almacenes de la cuenta. Esta capacidad de montaje automático permite la detección de catálogos y bases de datos para realizar análisis entre almacenes.

  • Propagación de identidad: cuando ejecuta una consulta entre almacenes, Redshift propaga la identidad global (rol de IAM o usuario de IAM Identity Center) al almacén remoto.

  • Autorización entre almacenes: los permisos federados de Redshift habilitados para el almacén remoto validan los permisos para las consultas entre almacenes y se aplican en los almacenes de consumo.

  • Control de acceso detallado: políticas de seguridad a nivel de fila (RLS), políticas por columna (CLP) y enmascaramiento dinámico de datos (DDM) que se pueden aplicar en todos los almacenes.

Ventajas

Administración simplificada

  • Definición de los permisos una vez en el almacén

  • Aplicación automática de los mismos permisos en todos los almacenes de consumo

  • Eliminación de la necesidad de redefinir, administrar los permisos y las políticas detalladas de control de acceso en varios almacenes

  • Reducción de la sobrecarga administrativa y los posibles errores de configuración

Seguridad y conformidad mejoradas

  • Garantía de aplicación coherente de la política de seguridad en todos los almacenes

  • Implementación de controles de acceso detallados por tabla y columna

  • Audición de los permisos de cualquier almacén

  • Herramientas de conformidad mejoradas con comandos SHOW adicionales

Mejora de la experiencia de usuario

  • Registro una vez y no hay que crear recursos compartidos de datos manualmente

  • Inicio de sesión único en todos los almacenes y acceso coherente basado en la identidad global

  • Detección perfecto del espacio de nombres sin configuración manual del catálogo

  • Sin necesidad de administrar cuentas de usuario locales independientes en cada almacén

Escalabilidad horizontal

  • Adición de nuevos almacenes sin aumentar la complejidad de la gobernanza

  • Los nuevos almacenes de consumo aplican automáticamente las políticas de permisos

  • Los analistas ven inmediatamente todas las bases de datos de los almacenes registrados

Casos de uso

Aislamiento de la carga de trabajo con una gobernanza unificada

Separe los recursos informáticos para diferentes cargas de trabajo (ETL, análisis, informes) y, al mismo tiempo, mantenga políticas de seguridad coherentes en todos los almacenes.

Acceso a los datos entre varios equipos

Permita que varios equipos accedan a los datos compartidos desde sus propios almacenes mediante la aplicación automática de los controles de acceso adecuados.

Arquitectura de malla de datos

Implemente un enfoque de malla de datos en el que varios recursos informáticos independientes funcionen con datos compartidos con una gobernanza unificada.

Optimización de costos

Escale los recursos informáticos de forma independiente para diferentes casos de uso y, al mismo tiempo, mantenga una administración de permisos centralizada.