Conexión de Redshift con AWS IAM Identity Center para una experiencia de inicio de sesión único
Puede administrar el acceso de usuarios y grupos a los almacenamientos de datos de Amazon Redshift mediante la propagación de identidades de confianza.
La propagación de identidades de confianza es una característica de AWS IAM Identity Center que los administradores de los Servicios de AWS conectados pueden utilizar para conceder y auditar el acceso a los datos del servicio. El acceso a estos datos se basa en los atributos del usuario, como las asociaciones de grupo. La configuración de la propagación de identidades de confianza requiere la colaboración entre los administradores de los Servicios de AWS conectados y los administradores de IAM Identity Center. Para obtener más información, consulte Requisitos previos y consideraciones.
Para ilustrar un caso integral, puede utilizar un panel de Amazon QuickSight o el editor de consultas v2 de Amazon Redshift para acceder a Redshift. En este caso, el acceso se basa en grupos de AWS IAM Identity Center. Redshift puede determinar quién es un usuario y a qué grupos pertenece. AWS IAM Identity Center también permite conectar y administrar identidades mediante un proveedor de identidades (IdP) externo como Okta o PingOne.
Una vez que el administrador haya configurado la conexión entre Redshift y AWS IAM Identity Center, podrá configurar un acceso detallado en función de los grupos de proveedores de identidad para autorizar el acceso de los usuarios a los datos.
importante
Al eliminar un usuario de un AWS IAM Identity Center o de un directorio de proveedor de identidades (IdP) conectado, el usuario no se elimina automáticamente del catálogo de Amazon Redshift. Para eliminar manualmente el usuario del catálogo de Amazon Redshift, ejecute el comando DROP USER para eliminar por completo el usuario que se eliminó de un AWS IAM Identity Center o IdP. Para obtener más información acerca de cómo eliminar a un usuario, consulte ELIMINAR A UN USUARIO en la Guía para desarrolladores de bases de datos de Amazon Redshift.
Beneficios de la integración de Redshift con AWS IAM Identity Center
Usar AWS IAM Identity Center con Redshift puede beneficiar a su organización de las siguientes maneras:
-
Los autores de los paneles en Amazon QuickSight pueden conectarse a los orígenes de datos de Redshift sin tener que volver a introducir las contraseñas ni requerir que un administrador configure roles de IAM con permisos complejos.
-
AWS IAM Identity Center proporciona una ubicación central para sus usuarios en AWS. Puede crear usuarios y grupos directamente en AWS IAM Identity Center o conectar los usuarios y grupos existentes que administra en un proveedor de identidades basado en estándares, como Okta, PingOne o Microsoft Entra ID (Azure AD). AWS El IAM Identity Center dirige la autenticación hacia el origen de confianza elegido para los usuarios y grupos, y mantiene un directorio de usuarios y grupos al que puede acceder Redshift. Para obtener más información, consulte Administre su fuente de identidad y los Proveedores de identidades compatibles en la Guía del usuario del AWS IAM Identity Center.
-
Puede compartir una instancia de AWS IAM Identity Center con varios clústeres y grupos de trabajo de Redshift con una sencilla función de conexión y detección automática. Esto agiliza la adición de clústeres sin el esfuerzo adicional que supone configurar la conexión de AWS IAM Identity Center para cada uno de ellos, y garantiza que todos los clústeres y grupos de trabajo tengan una visión coherente de los usuarios, sus atributos y grupos. Tenga en cuenta que la instancia de AWS IAM Identity Center de su organización debe estar en la misma región que cualquier recurso compartido de datos de Redshift al que se conecte.
-
Como las identidades de los usuarios son conocidas y se registran junto con el acceso a los datos, le resulta más fácil cumplir con las normas de conformidad auditando el acceso de los usuarios en AWS CloudTrail.
Personas con el rol de administrador para conectar aplicaciones
A continuación se indican las personas clave para conectar las aplicaciones de análisis a la aplicación administrada por AWS IAM Identity Center para Redshift:
-
Administrador de aplicaciones: crea una aplicación y configura los servicios con los que permitirá el intercambio de tokens de identidad. Este administrador también especifica qué usuarios o grupos tienen acceso a la aplicación.
-
Administrador de datos: configura el acceso detallado a los datos. Los usuarios y grupos de AWS IAM Identity Center pueden asignarse a permisos específicos.
Conexión a Amazon Redshift con AWS IAM Identity Center mediante Amazon QuickSight
A continuación, se muestra cómo utilizar QuickSight para autenticarse con Redshift cuando está conectado y el acceso se administra a través de AWS IAM Identity Center: Autorización de conexiones desde QuickSight a clústeres de Amazon Redshift. Estos pasos también se aplican a Amazon Redshift sin servidor.
Conexión a Amazon Redshift con AWS IAM Identity Center mediante el editor de consultas v2 de Amazon Redshift
Al completar los pasos para configurar una conexión de AWS IAM Identity Center con Redshift, el usuario puede acceder a la base de datos y a los objetos correspondientes de la base de datos a través de su identidad basada en AWS IAM Identity Center y con el prefijo de espacio de nombres. Para obtener más información sobre la conexión a bases de datos de Redshift con el editor de consultas v2, consulte Trabajo con el editor de consultas v2.
Limitaciones de la conexión a Amazon Redshift con AWS IAM Identity Center
Al usar el inicio de sesión único de AWS IAM Identity Center, tenga en cuenta la siguiente limitación:
No hay soporte para VPC mejorada: la VPC mejorada no es compatible cuando se usa el inicio de sesión único de AWS IAM Identity Center para Amazon Redshift. Para obtener más información sobre la VPC mejorada, consulte Enrutamiento de VPC mejorada en Amazon Redshift.
