Connectez Redshift à AWS IAM Identity Center pour une expérience d'authentification unique - Amazon Redshift
Avantages de l'intégration de Redshift à AWS IAM Identity CenterPersonas d’administrateur pour la connexion des applicationsConnexion à Amazon Redshift avec AWS IAM Identity Center via Amazon QuickSightConnexion à Amazon Redshift via l’éditeur de requêtes Amazon Redshift v2Limites

Amazon Redshift ne prendra plus en charge la création de nouveaux Python UDFs à compter du 1er novembre 2025. Si vous souhaitez utiliser Python UDFs, créez la version UDFs antérieure à cette date. Le Python existant UDFs continuera à fonctionner normalement. Pour plus d'informations, consultez le billet de blog.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectez Redshift à AWS IAM Identity Center pour une expérience d'authentification unique

Vous pouvez gérer l’accès des utilisateurs et des groupes aux entrepôts des données Amazon Redshift par le biais de la propagation d’identité approuvée.

La propagation fiable des identités est une AWS IAM Identity Center fonctionnalité que les administrateurs de Connected Services AWS peuvent utiliser pour accorder et auditer l'accès aux données de service. L'accès à ces données est basé sur les attributs de l'utilisateur tels que les associations de groupes. La mise en place d'une propagation d'identité sécurisée nécessite une collaboration entre les administrateurs de Connected Services AWS et les administrateurs d'IAM Identity Center. Pour plus d'informations, consultez la section Conditions préalables et considérations.

Pour illustrer un end-to-end cas, vous pouvez utiliser un Amazon QuickSight tableau de bord ou l'éditeur de requêtes Amazon Redshift v2 pour accéder à Redshift. Dans ce cas, l'accès est basé sur les groupes AWS IAM Identity Center. Redshift peut déterminer qui est un utilisateur et son appartenance à un groupe. AWS IAM Identity Center permet également de connecter et de gérer les identités par le biais d'un fournisseur d'identité tiers (IdP) tel qu'Okta ou. PingOne

Une fois que votre administrateur a établi la connexion entre Redshift et AWS IAM Identity Center, il peut configurer un accès précis en fonction des groupes de fournisseurs d'identité afin d'autoriser l'accès des utilisateurs aux données.

Important

Lorsque vous supprimez un utilisateur d'un AWS IAM Identity Center ou d'un annuaire de fournisseurs d'identité connectés (IdP), il n'est pas automatiquement supprimé du catalogue Amazon Redshift. Pour supprimer manuellement l'utilisateur du catalogue Amazon Redshift, exécutez la DROP USER commande pour supprimer complètement l'utilisateur qui a été supprimé d'un AWS IAM Identity Center ou d'un IdP. Pour plus d'informations sur la procédure à suivre pour supprimer un utilisateur, consultez DROP USER dans le manuel Amazon Redshift Database Developer Guide.

Avantages de l'intégration de Redshift à AWS IAM Identity Center

L'utilisation d' AWS IAM Identity Center avec Redshift peut bénéficier à votre organisation des manières suivantes :

  • Les auteurs de tableaux de bord Amazon QuickSight peuvent se connecter aux sources de données Redshift sans avoir à saisir à nouveau les mots de passe ou à demander à un administrateur de configurer des rôles IAM avec des autorisations complexes.

  • AWS IAM Identity Center fournit un emplacement central pour les utilisateurs de votre personnel. AWS Vous pouvez créer des utilisateurs et des groupes directement dans AWS IAM Identity Center ou connecter des utilisateurs et des groupes existants que vous gérez dans un fournisseur d'identité normalisé tel qu'Okta PingOne ou Microsoft Entra ID (Azure AD). AWS IAM Identity Center dirige l'authentification vers la source de vérité que vous avez choisie pour les utilisateurs et les groupes, et il gère un répertoire des utilisateurs et des groupes auxquels Redshift peut accéder. Pour plus d’informations, consultez Gestion de votre source d’identité et Fournisseurs d’identité pris en charge dans le Guide de l’utilisateur AWS IAM Identity Center.

  • Vous pouvez partager une instance AWS IAM Identity Center avec plusieurs clusters et groupes de travail Redshift grâce à une simple fonctionnalité de découverte automatique et de connexion. Cela permet d'ajouter rapidement des clusters sans avoir à configurer la connexion AWS IAM Identity Center pour chacun d'entre eux, et garantit que tous les clusters et groupes de travail disposent d'une vue cohérente des utilisateurs, de leurs attributs et de leurs groupes. Notez que l'instance AWS IAM Identity Center de votre organisation doit se trouver dans la même région que tous les partages de données Redshift auxquels vous vous connectez.

  • Comme les identités des utilisateurs sont connues et journalisées en même temps que l’accès aux données, il vous est plus facile de respecter les règles de conformité en auditant l’accès des utilisateurs dans AWS CloudTrail.

Personas d’administrateur pour la connexion des applications

Les personnages suivants sont essentiels pour connecter les applications d'analyse à l'application gérée par AWS IAM Identity Center pour Redshift :

  • Administrateur de l’application : crée une application et configure les services avec lesquels elle permettra des échanges de jetons d’identité. Cet administrateur spécifie également les utilisateurs et les groupes qui ont accès à l’application.

  • Administrateur de données : configure un accès précis aux données. Les utilisateurs et les groupes d' AWS IAM Identity Center peuvent être mappés à des autorisations spécifiques.

Connexion à Amazon Redshift avec AWS IAM Identity Center via Amazon QuickSight

Voici comment utiliser pour s'authentifier QuickSight auprès de Redshift lorsqu'il est connecté et que l'accès est géré AWS via IAM Identity Center : Autoriser les connexions depuis des clusters QuickSight Amazon Redshift. Ces étapes s’appliquent également à Amazon Redshift sans serveur.

Connexion à Amazon Redshift avec AWS IAM Identity Center via l'éditeur de requêtes Amazon Redshift v2

Une fois les étapes de configuration d'une connexion AWS IAM Identity Center avec Redshift terminées, l'utilisateur peut accéder à la base de données et aux objets appropriés de la base de données via AWS son identité basée sur IAM Identity Center et préfixée par un espace de noms. Pour plus d’informations sur la connexion aux bases de données Redshift avec la connexion à l’éditeur de requêtes v2, consultez Utilisation de l’éditeur de requêtes v2.

Limitations relatives à la connexion à Amazon Redshift avec AWS IAM Identity Center

Lorsque vous utilisez l'authentification unique AWS IAM Identity Center, tenez compte des limites suivantes :

  • Aucune prise en charge du VPC amélioré : le VPC amélioré n'est pas pris en charge lorsque vous utilisez l'authentification unique AWS IAM Identity Center pour Amazon Redshift. Pour plus d'informations sur le VPC amélioré, consultez la section Routage VPC amélioré dans Amazon Redshift.