Intégration - Amazon Redshift
Enregistrement du cluster RedshiftEnregistrement de l'espace de noms Redshift ServerlessActiver la propagation de AWS IAM Identity Center l'identitéMODIFIER L'IDENTITÉ GLOBALE DÉFINIE PAR L'UTILISATEUR

Amazon Redshift ne prendra plus en charge la création de nouveaux Python UDFs à compter du 1er novembre 2025. Si vous souhaitez utiliser Python UDFs, créez la version UDFs antérieure à cette date. Le Python existant UDFs continuera à fonctionner normalement. Pour plus d’informations, consultez le billet de blog .

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration

Enregistrement du cluster Redshift

Redshift prend en charge la création d'un nouveau cluster ou la restauration d'un cluster à partir d'un instantané avec enregistrement AWS Glue Data Catalog (GDC). Vous pouvez spécifier le nom du catalogue GDC dans le cadre de cet enregistrement. Pour prendre en charge la propagation des identités iDC, vous pouvez spécifier un ARN d'application Redshift iDC de type Lakehouse pour activer la propagation des identités iDC.

Créez un nouveau cluster avec l'enregistrement du catalogue de données Glue

CLI

Pour enregistrer automatiquement votre cluster nouvellement créé dans Data Catalog, indiquez le nom du catalogue qui sera utilisé pour créer et enregistrer votre catalogue de données. Le redshift-idc-application-arn paramètre est facultatif. Incluez-le si vous souhaitez lier votre cluster à l'application Redshift iDC de type Lakehouse. Vous pouvez également établir cette association d'applications iDC ultérieurement.

aws redshift create-cluster \
    --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/redshiftv2/

  2. Accédez au tableau de bord des clusters provisionnés et sélectionnez Créer un cluster.

  3. Configurez les paramètres généraux de votre cluster.

  4. Dans la AWS Glue Data Catalog section S'inscrire auprès de, sélectionnez Enregistrer avec les autorisations fédérées Amazon Redshift.

    • Entrez un identifiant de nom de catalogue.

    • (Recommandé) Sélectionnez les autorisations fédérées Amazon Redshift pour les associer AWS IAM Identity Center à l'application Redshift IDC.

  5. Complétez les paramètres de cluster restants et choisissez Create cluster.

Restaurer un nouveau cluster avec AWS Glue Data Catalog enregistrement

CLI

Pour restaurer un instantané dans un nouveau cluster avec AWS Glue Data Catalog intégration, indiquez le nom du catalogue qui sera utilisé pour créer et enregistrer votre AWS Glue catalogue. Le redshift-idc-application-arn paramètre est facultatif. Incluez-le si vous souhaitez lier votre cluster à l'application Redshift iDC de type Lakehouse. Vous pouvez également établir cette association d'applications iDC ultérieurement.

aws redshift restore-from-cluster-snapshot \
   --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --snapshot-identifier 'redshift-cluster-snapshot' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/redshiftv2/

  2. Accédez à la page des instantanés provisionnés. Dans le tableau des instantanés, sélectionnez Restaurer dans le cluster provisionné dans le menu déroulant Restaurer le cliché.

  3. Configurez les paramètres généraux du cluster.

  4. Dans la AWS Glue Data Catalog section S'inscrire auprès de, sélectionnez Enregistrer avec les autorisations fédérées Amazon Redshift.

    • Entrez un identifiant de nom de catalogue.

    • (Recommandé) Sélectionnez les autorisations fédérées Amazon Redshift pour les associer AWS IAM Identity Center à l'application Redshift IDC.

  5. Complétez les paramètres de cluster restants et choisissez Create cluster.

Modifier un cluster existant avec AWS Glue Data Catalog enregistrement

Si votre cluster Redshift est déjà associé à une application Redshift iDC de type autre que lakehouse, les événements suivants se produisent lors de l'enregistrement : AWS Glue Data Catalog

  • Lorsqu'aucun ARN d'application Redshift iDC n'est fourni, l'application Redshift iDC existante dans votre catalogue sera définie sur le statut désactivé.

  • Lorsqu'une application Redshift iDC de type Lakehouse provenant d'une AWS IAM Identity Center instance différente est spécifiée, le fournisseur iDC actuel est désactivé

  • Lorsqu'une application Redshift iDC de type Lakehouse provenant de la même instance est fournie AWS IAM Identity Center

    • L'ARN de l'application Redshift iDC de votre catalogue sera remplacé par l'ARN de l'application Redshift iDC de type Lakehouse. Le catalogue mis à jour peut être vérifié en interrogeant le svv_identity_providers. Pour plus d'informations sur les fournisseurs svv_identity_providers, consultez svv_identity_providers.

    • AWS IAM Identity Centerles utilisateurs fédérés qui avaient auparavant accès au cluster Redshift doivent se voir explicitement accorder des privilèges CONNECT par les administrateurs pour accéder au cluster. Pour plus d'informations sur l'octroi de privilèges CONNECT, consultezPrivilèges Connect.

    • Après votre inscriptionAWS Glue Data Catalog, vos identités AWS IAM Identity Center fédérées existantes et les ressources qui leur appartiennent restent inchangées. Les associations d'espaces de noms pour ces identités fédérées sont également préservées.

CLI

Vous pouvez utiliser modify-lakehouse-configuration la commande pour enregistrer votre clusterAWS Glue Data Catalog, qui catalog-name est utilisé pour créer et enregistrer votre AWS Glue catalogue. Pour prendre en charge la propagation de l'identité iDC, spécifiez l'ARN de votre type RedshiftIdcApplication de lakehouse. Cela nécessite une application Redshift iDC de type Lakehouse. Reportez-vous à la section Création d'une nouvelle application Redshift iDC de type Lakehouse : Configuration de l'application Identity Center pour Redshift Warehouse avec autorisations fédérées.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/redshiftv2/

  2. Accédez au cluster provisionné que vous souhaitez enregistrer et sélectionnez-le.

  3. Sur la page de détails du cluster, sélectionnez Enregistrer avec dans le AWS Glue Data Catalog menu déroulant Actions.

  4. Sélectionnez l'option Enregistrer avec les autorisations fédérées Amazon Redshift et

    • Entrez un identifiant de nom de catalogue.

    • (Recommandé) Sélectionnez les autorisations fédérées Amazon Redshift AWS IAM Identity Center à l'aide de l'outil pour les associer à l'application Redshift IDC et choisissez Register.

Enregistrement de l'espace de noms Redshift Serverless

Redshift Serverless permet de s'enregistrer auprès des espaces de noms Serverless attachés à un groupe de travail. AWS Glue Data Catalog Notez que votre base de données redémarrera lors de cette mise à jour.

Si votre espace de noms Redshift Serverless est déjà associé à une application Redshift iDC de type autre que lakehouse, les événements suivants se produisent lors de l'enregistrement du Glue Data Catalog :

  • Lorsqu'aucun ARN d'application Redshift iDC n'est fourni, l'application Redshift iDC existante dans votre catalogue sera définie sur le statut désactivé.

  • Lorsqu'une application Redshift iDC de type Lakehouse provenant d'une AWS IAM Identity Center instance différente est spécifiée, le fournisseur iDC actuel est désactivé

  • Lorsqu'une application Redshift iDC de type Lakehouse provenant de la même instance est fournie AWS IAM Identity Center

    • L'ARN de l'application Redshift iDC de votre catalogue sera remplacé par l'ARN de l'application Redshift iDC de type Lakehouse. Le catalogue mis à jour peut être vérifié en interrogeant le svv_identity_providers. Pour plus d'informations sur les fournisseurs svv_identity_providers, consultez svv_identity_providers.

    • AWS IAM Identity Centerles utilisateurs fédérés qui avaient auparavant accès au cluster Redshift doivent se voir explicitement accorder des privilèges CONNECT par les administrateurs pour accéder au cluster. Pour plus d'informations sur l'octroi de privilèges CONNECT, consultezPrivilèges Connect.

    • Après votre inscriptionAWS Glue Data Catalog, vos identités AWS IAM Identity Center fédérées existantes et les ressources qui leur appartiennent restent inchangées. Les associations d'espaces de noms pour ces identités fédérées sont également préservées.

CLI

Vous pouvez utiliser update-lakehouse-configuration la commande pour enregistrer votre espace de noms Redshift Serverless dans lequel AWS Glue Data Catalog vous pourrez créer et enregistrer votre catalogue de colle. catalog-name Pour prendre en charge la propagation de l'identité IdC, spécifiez l'ARN d'une application Redshift Idc de type Lakehouse.

aws redshift-serverless update-lakehouse-configuration \
    --namespace-name 'serverless-namespace-name' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17'
Console

  1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/redshiftv2/

  2. Accédez au cluster provisionné que vous souhaitez enregistrer et sélectionnez-le.

  3. Sur la page de détails du cluster, sélectionnez Enregistrer avec dans le AWS Glue Data Catalog menu déroulant Actions.

  4. Sélectionnez l'option Enregistrer avec les autorisations fédérées Amazon Redshift et

    • Entrez un identifiant de nom de catalogue.

    • (Recommandé) Sélectionnez les autorisations fédérées Amazon Redshift AWS IAM Identity Center à l'aide de l'outil pour les associer à l'application Redshift IDC et choisissez Register.

Activer la propagation de AWS IAM Identity Center l'identité

Amazon Redshift prend en charge la propagation des identités par Identity Center (iDC) afin de transmettre de manière fluide les identités des utilisateurs iDC entre les instances Redshift et les services/. AWS Lake Formation AWS Glue

Conditions préalables

  • Vous avez créé une application Amazon Redshift iDC de type Lakehouse. Reportez-vous à la section AWS IAM Identity CenterConfiguration de l'application pour l'entrepôt Redshift avec des autorisations fédérées.

  • Vous avez un cluster Amazon Redshift ou un espace de noms Amazon Redshift Serverless enregistré auprès de. AWS Glue Data Catalog

    • L'espace de noms Redshift Serverless nécessite un groupe de travail attaché pour effectuer les opérations associées.

Si votre cluster Redshift ou votre espace de noms Redshift Serverless est déjà associé à une application Redshift iDC d'un type autre que Lakehouse, les événements suivants se produisent lors de l'enregistrement : AWS Glue Data Catalog

  • Lorsqu'aucun ARN d'application Redshift iDC n'est fourni, l'application Redshift iDC existante dans votre catalogue sera définie sur le statut désactivé.

  • Lorsqu'une application Redshift iDC de type Lakehouse provenant d'une AWS IAM Identity Center instance différente est spécifiée, le fournisseur iDC actuel est désactivé

  • Lorsqu'une application Redshift iDC de type Lakehouse provenant de la même instance est fournie AWS IAM Identity Center

    • L'ARN de l'application Redshift iDC de votre catalogue sera remplacé par l'ARN de l'application Redshift iDC de type Lakehouse. Le catalogue mis à jour peut être vérifié en interrogeant le svv_identity_providers. Pour plus d'informations sur les fournisseurs svv_identity_providers, consultez svv_identity_providers.

    • AWS IAM Identity Centerles utilisateurs fédérés qui avaient auparavant accès au cluster Redshift doivent se voir explicitement accorder des privilèges CONNECT par les administrateurs pour accéder au cluster. Pour plus d'informations sur l'octroi de privilèges CONNECT, consultezPrivilèges Connect.

    • Après votre inscriptionAWS Glue Data Catalog, vos identités AWS IAM Identity Center fédérées existantes et les ressources qui leur appartiennent restent inchangées. Les associations d'espaces de noms pour ces identités fédérées sont également préservées.

Activer la propagation des AWS IAM Identity Center identités pour les clusters provisionnés par Amazon Redshift

Pour le cluster Amazon Redshift Provisioned qui a enregistré son espace de noms auprès deAWS Glue Data Catalog, il nécessite l'application Lakehouse Amazon Redshift iDC qui n'exige pas AWS IAM Identity Center explicitement l'attribution d'identité à l'application. Les privilèges de connexion des utilisateurs iDC sont gérés par le privilège CONNECT sur l'entrepôt Redshift.

CLI

Vous pouvez utiliser la modify-lakehouse-configuration commande pour activer la propagation de l'identité iDC pour vos clusters avec des autorisations fédérées Redshift. Spécifiez l'ARN de votre type de lakehouse. Cela nécessite une application Redshift Lakehouse RedshiftIdcApplication iDC. Reportez-vous à la section Création d'une nouvelle application Redshift iDC de type Lakehouse : Configuration de l'application Identity Center pour Redshift Warehouse avec autorisations fédérées.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/redshiftv2/

  2. Accédez au cluster provisionné que vous souhaitez enregistrer et sélectionnez-le.

  3. Sur la page de détails du cluster, sélectionnez Enregistrer avec dans le AWS Glue Data Catalog menu déroulant Actions.

  4. Sélectionnez Activer dans la AWS IAM Identity Center liste déroulante des autorisations fédérées Amazon Redshift pour associer l'application IDC et choisissez Enregistrer les modifications.

Activer la propagation des AWS IAM Identity Center identités pour les espaces de noms Amazon Redshift Serverless

CLI

Vous pouvez utiliser la modify-lakehouse-configuration commande pour activer la propagation de l'identité iDC pour votre espace de noms avec les autorisations fédérées Redshift. Spécifiez l'ARN de votre type de lakehouse. RedshiftIdcApplication Cela nécessite une application Redshift Lakehouse iDC. Reportez-vous à la section Création d'une nouvelle application Redshift iDC de type Lakehouse : Configuration de l'application Identity Center pour Redshift Warehouse avec autorisations fédérées.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/redshiftv2/

  2. Accédez à l'espace de noms sans serveur pour lequel vous souhaitez modifier l'enregistrement et sélectionnez-le.

  3. Sur la page de détails du cluster, sélectionnez Modifier l'AWS Glue Data Catalogenregistrement dans le menu déroulant Actions.

  4. Sélectionnez Activer dans la AWS IAM Identity Center liste déroulante des autorisations fédérées Amazon Redshift pour associer l'application IDC et choisissez Enregistrer les modifications.

MODIFIER L'IDENTITÉ GLOBALE DÉFINIE PAR L'UTILISATEUR

Outre l'IAM et les AWS IAM Identity Center informations d'identification, l'utilisateur exécutant des requêtes auprès de Redshift Warehouses avec des autorisations fédérées peut s'authentifier à l'aide d'un rôle IAM. Un superutilisateur peut définir un rôle IAM pour qu'un autre utilisateur non fédéré s'associe automatiquement lors de l'établissement de la session, et ce rôle IAM sera assumé lors des requêtes adressées aux entrepôts Redshift dotés d'autorisations fédérées. Cette fonctionnalité est fournie pour permettre aux utilisateurs d'AWSiDC de s'authentifier de manière non interactive.

Cette fonctionnalité est utile dans les cas d'utilisation suivants :

  • Les clients qui ont des configurations importantes et complexes avec un utilisateur d'entrepôt local existant en plus des utilisateurs ayant une identité globale.

  • Les clients qui utilisent iDC, mais qui souhaitent pouvoir se connecter automatiquement sans action interactive du navigateur pour se connecter.

Exigences et limitations :

  • Seul le super utilisateur peut définir le rôle IAM parALTER USER.

  • Le rôle IAM doit être attaché au cluster.

  • Le rôle IAM doit disposer des autorisations nécessaires pour accéder aux ressources nécessaires pour exécuter des requêtes sur les entrepôts Redshift avec des autorisations fédérées. Nous vous recommandons d'utiliser une politique AmazonRedshiftFederatedAuthorization AWS gérée.

  • Les utilisateurs qui s'authentifient via le rôle GLOBAL IDENTITY IAM peuvent interroger des vues dans Redshift Warehouses avec des autorisations fédérées, mais ne peuvent pas les créer, les modifier, les actualiser ou les supprimer.

Syntaxe

La syntaxe suivante décrit la ALTER USER SET GLOBAL IDENTITY commande utilisée pour définir le rôle IAM d'un utilisateur de base de données non fédéré afin qu'il exécute des requêtes sur les entrepôts Redshift avec des autorisations fédérées.

ALTER USER username SET
GLOBAL IDENTITY IAM_ROLE 'arn:aws:iam::<AWS-account-id>:role/<role-name>'

Désormais, une fois authentifié en tant qu'utilisateur cible (en vous connectant directement en tant qu'usernameutilisateur cible ou en utilisant SET SESSION AUTHORIZATION), vous pouvez vérifier le rôle d'identité global en utilisant

SHOW GLOBAL IDENTITY

Notez que le rôle d'identité global est associé à l'utilisateur lors de l'établissement de la session. Si vous définissez l'identité globale de l'utilisateur actuellement connecté, celui-ci devra se reconnecter pour que l'identité globale prenne effet.

La commande suivante peut être utilisée pour supprimer le rôle IAM associé.

ALTER USER username RESET GLOBAL IDENTITY

Parameters

nom d’utilisateur

Nom de l’utilisateur. Il ne peut pas s'agir d'un utilisateur fédéré, comme un utilisateur IAM ou un utilisateur AWS iDC.

<account-id><role-name>IAM_ROLE 'arn:aws:iam : ::role/ '

Utilisez l'Amazon Resource Name (ARN) pour un rôle IAM que votre cluster utilise pour l'authentification et l'autorisation lorsque l'utilisateur username exécute des requêtes sur des entrepôts Redshift avec des autorisations fédérées. Ce rôle doit disposer des autorisations requises pour exécuter la requête. Nous vous recommandons d'utiliser AmazonRedshiftFederatedAuthorization AWS Managed Policy.