Autorisations fédérées Amazon Redshift - Amazon Redshift
Concepts clésAvantagesCas d'utilisation

Amazon Redshift ne prendra plus en charge la création de nouveaux Python à UDFs partir du patch 198. UDFs Le Python existant continuera de fonctionner jusqu'au 30 juin 2026. Pour plus d’informations, consultez le billet de blog .

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations fédérées Amazon Redshift

Les autorisations fédérées Amazon Redshift simplifient la gestion des autorisations dans plusieurs entrepôts de données Redshift en vous permettant de définir les autorisations de données une seule fois et de les appliquer automatiquement dans tous les entrepôts de votre entreprise. Compte AWS Il n'est donc plus nécessaire de redéfinir, de gérer les autorisations et d'affiner les politiques de contrôle d'accès dans plusieurs entrepôts.

Lorsque vous enregistrez un entrepôt Redshift namespace/cluster auprès de Redshift AWS Glue Data Catalog, toutes les bases de données de l'entrepôt enregistré namespaces/clusters sont automatiquement montées dans chaque entrepôt, ce qui permet une découverte fluide des données sans configuration manuelle.

Vous définissez les autorisations sur les objets de base de données à l'aide des commandes SQL Redshift habituelles, en spécifiant les identités globales via Gestion des identités et des accès AWS (IAM) ou. AWS IAM Identity Center Ces autorisations sont stockées avec les données de l'entrepôt et appliquées de manière cohérente quel que soit l'entrepôt qui exécute la requête.

Concepts clés

  • Entrepôt Redshift avec autorisations fédérées : entrepôt du producteur enregistré auprès de Data Catalog et dans lequel les données et les autorisations Redshift sont stockées.

  • Entrepôt Redshift consommateur : tout entrepôt qui interroge des données depuis un entrepôt distant. L'entrepôt de consommation peut éventuellement être activé pour les autorisations fédérées Redshift.

  • Identité globale : IAM and IAM Identity Center fournit une identité globale dans tous les entrepôts activés pour les autorisations fédérées Redshift. Les utilisateurs s'authentifient une seule fois par le biais de leur fournisseur d'identité existant et bénéficient d'un accès cohérent basé sur leur identité globale, quel que soit l'entrepôt auquel ils se connectent.

  • Montage automatique : tous les entrepôts dotés des autorisations fédérées Redshift sont automatiquement visibles dans tous les entrepôts de votre compte. Cette fonctionnalité de montage automatique permet de découvrir des catalogues et des bases de données pour les analyses entre entrepôts.

  • Propagation d'identité : Lorsque vous exécutez une requête entre entrepôts, Redshift propage votre identité globale (rôle IAM ou utilisateur du centre d'identité IAM) vers l'entrepôt distant.

  • Autorisation entre entrepôts : les autorisations fédérées Redshift activées pour les entrepôts distants valident vos autorisations pour les requêtes entre entrepôts et sont appliquées dans les entrepôts consommateurs.

  • Contrôle d'accès détaillé : politiques de sécurité au niveau des lignes (RLS), politiques au niveau des colonnes (CLP) et masquage dynamique des données (DDM) qui peuvent être appliquées dans tous les entrepôts.

Avantages

Administration simplifiée

  • Définissez les autorisations une fois dans l'entrepôt

  • Appliquez automatiquement les mêmes autorisations dans tous les entrepôts consommateurs

  • Éliminez le besoin de redéfinir, de gérer les autorisations et de définir des politiques de contrôle d'accès précises dans plusieurs entrepôts

  • Réduisez les frais administratifs et les risques d'erreurs de configuration

Sécurité et conformité renforcées

  • Garantir l'application cohérente des politiques de sécurité dans tous les entrepôts

  • Mettre en œuvre des contrôles d'accès précis au niveau des tables et des colonnes

  • Autorisations d'audit depuis n'importe quel entrepôt

  • Outils de conformité améliorés avec des commandes SHOW supplémentaires

Expérience utilisateur améliorée

  • Inscrivez-vous une seule fois et il n'est pas nécessaire de créer manuellement des partages de données

  • Authentification unique dans tous les entrepôts et accès cohérent basé sur une identité globale

  • Découverte fluide des espaces de noms sans configuration manuelle du catalogue

  • Pas besoin de gérer des comptes utilisateurs locaux distincts dans chaque entrepôt

Scalabilité horizontale

  • Ajoutez de nouveaux entrepôts sans augmenter la complexité de la gouvernance

  • Les nouveaux entrepôts de consommation appliquent automatiquement les politiques d'autorisation

  • Les analystes voient immédiatement toutes les bases de données des entrepôts enregistrés

Cas d'utilisation

Isolation des charges de travail grâce à une gouvernance unifiée

Séparez les ressources de calcul pour les différentes charges de travail (ETL, analyses, rapports) tout en maintenant des politiques de sécurité cohérentes dans tous les entrepôts.

Accès aux données par plusieurs équipes

Permettez à plusieurs équipes d'accéder aux données partagées depuis leurs propres entrepôts grâce à des contrôles d'accès appropriés automatiquement appliqués.

Architecture de maillage de données

Mettez en œuvre une approche de maillage des données dans laquelle plusieurs ressources informatiques indépendantes opèrent sur des données partagées avec une gouvernance unifiée.

Optimisation des coûts

Adaptez les ressources de calcul indépendamment aux différents cas d'utilisation tout en maintenant une gestion centralisée des autorisations.