Amazon Redshift ne prendra plus en charge la création de nouveaux Python à UDFs partir du patch 198. UDFs Le Python existant continuera de fonctionner jusqu'au 30 juin 2026. Pour plus d’informations, consultez le [ billet de blog ](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Fédération de fournisseurs d’identité natifs pour Amazon Redshift La gestion des identités et des autorisations pour Amazon Redshift est simplifiée grâce à la fédération des fournisseurs d’identités natifs, car elle exploite votre fournisseur d’identité existant pour simplifier l’authentification et la gestion des autorisations. Pour ce faire, elle permet de partager des métadonnées d’identité avec Redshift à partir de votre fournisseur d’identité. Pour la première itération de cette fonction, le fournisseur d’identité pris en charge est [Microsoft Azure Active Directory (Azure AD)](https://azure.microsoft.com/en-us/services/active-directory/). Pour configurer Amazon Redshift afin qu’il puisse authentifier les identités du fournisseur d’identité tiers, vous enregistrez le fournisseur d’identité auprès d’Amazon Redshift. Cela permet à Redshift d’authentifier les utilisateurs et les rôles définis par le fournisseur d’identité. Cela vous évite de devoir effectuer une gestion précise des identités tant dans votre fournisseur d’identité tiers que dans Amazon Redshift, car les informations d’identité sont partagées. Pour obtenir des informations sur l’utilisation de rôles de session transférés depuis des groupes de fournisseurs d’identité (IdP), consultez [PG\$1GET\$1SESSION\$1ROLES](https://docs.aws.amazon.com/redshift/latest/dg/PG_GET_SESSION_ROLES.html) dans le *Guide du développeur de base de données Amazon Redshift*. ## Fédération de fournisseurs d’identité (IdP) natifs Pour terminer la configuration préliminaire entre le fournisseur d’identité et Amazon Redshift, vous effectuez quelques étapes : tout d’abord, vous enregistrez Amazon Redshift en tant qu’application tierce auprès de votre fournisseur d’identité, en demandant les autorisations d’API nécessaires. Vous créez ensuite des utilisateurs et des groupes dans le fournisseur d’identité. Enfin, vous enregistrez le fournisseur d’identité auprès d’Amazon Redshift, à l’aide d’instructions SQL, qui définissent des paramètres d’authentification uniques pour le fournisseur d’identité. Dans le cadre de l’enregistrement du fournisseur d’identité auprès de Redshift, vous attribuez un espace de noms pour vous assurer que les utilisateurs et les rôles sont correctement regroupés. Une fois le fournisseur d’identité enregistré auprès d’Amazon Redshift, la communication est configurée entre Redshift et le fournisseur d’identité. Un client peut ensuite transmettre des jetons et s’authentifier auprès de Redshift en tant qu’entité de fournisseur d’identité. Amazon Redshift utilise les informations d’appartenance au groupe de fournisseurs d’identités pour mapper les rôles Redshift. Si l’utilisateur n’existe pas auparavant dans Redshift, il est créé. Les rôles sont créés et mappés à des groupes de fournisseurs d’identité, s’ils n’existent pas. L’administrateur Amazon Redshift accorde des autorisations sur les rôles, et les utilisateurs peuvent exécuter des requêtes et effectuer d’autres tâches de base de données. Les étapes suivantes décrivent le fonctionnement de la fédération de fournisseurs d’identités natifs lorsqu’un utilisateur se connecte : 1. Lorsqu’un utilisateur se connecte à l’aide de l’option de fournisseurs d’identités natifs, à partir du client, le jeton du fournisseur d’identité est envoyé du client au pilote. 1. L’utilisateur est authentifié. Si l’utilisateur n’existe pas déjà dans Amazon Redshift, un nouvel utilisateur est créé. Redshift mappe les groupes de fournisseurs d’identité de l’utilisateur aux rôles Redshift. 1. Les autorisations sont attribuées, en fonction des rôles Redshift de l’utilisateur. Ils sont accordés aux utilisateurs et aux rôles par un administrateur. 1. L’utilisateur peut interroger Redshift. ## Outils client de bureau Pour obtenir des instructions sur l’utilisation de la fédération de fournisseurs d’identités natifs pour se connecter à Amazon Redshift avec Power BI, consultez le billet de blog [Integrate Amazon Redshift native IdP federation with Microsoft Azure Active Directory (AD) and Power BI](https://aws.amazon.com/blogs/big-data/integrate-amazon-redshift-native-idp-federation-with-microsoft-azure-ad-and-power-bi/) (Intégrer la fédération d’identités natives Amazon Redshift à Microsoft Azure Active Directory (AD) et Power BI). Il décrit une step-by-step implémentation de la configuration IdP native d'Amazon Redshift avec Azure AD. Il détaille les étapes de configuration de la connexion client pour Power BI Desktop ou pour le service Power BI. Les étapes comprennent l’enregistrement de l’application, la configuration des autorisations et la configuration des informations d’identification. Pour apprendre comment intégrer la fédération IdP native d’Amazon Redshift avec Azure AD, à l’aide de Power BI Desktop et de JDBC Client-SQL Workbench/J, regardez la vidéo suivante : [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/S3MQLvZ-NiI/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/S3MQLvZ-NiI) Pour savoir comment utiliser la fédération de fournisseurs d'identité native pour se connecter à Amazon Redshift avec un client SQL, en particulier DBeaver ou SQL Workbench/J, consultez le billet de blog Intégrer la [fédération d'IdP native Amazon Redshift à Microsoft Azure AD à l'aide d'un](https://aws.amazon.com/blogs/big-data/integrate-amazon-redshift-native-idp-federation-with-microsoft-azure-ad-using-a-sql-client/) client SQL. ## Limitations Les limitations suivantes s’appliquent : + Les pilotes Amazon Redshift prennent en charge `BrowserIdcAuthPlugin` à partir des versions suivantes : + Pilote JDBC Amazon Redshift v2.1.0.30 + Pilote ODBC Amazon Redshift v2.1.3 + Pilote Python Amazon Redshift v2.1.3 + Les pilotes Amazon Redshift prennent en charge `IdpTokenAuthPlugin` à partir des versions suivantes : + Pilote JDBC Amazon Redshift v2.1.0.19 + Pilote ODBC Amazon Redshift v2.0.0.9 + Pilote Python Amazon Redshift v2.0.914 + **Aucune prise en charge de VPC amélioré** : le VPC amélioré n’est pas pris en charge lorsque vous configurez la propagation d’identité sécurisée Redshift avec AWS IAM Identity Center. Pour plus d’informations sur le VPC amélioré, consultez [Routage VPC amélioré dans Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html). + AWS Mise en **cache du centre d'identité IAM : le** centre d'identité AWS IAM met en cache les informations de session. Cela peut entraîner des problèmes d’accès imprévisibles lorsque vous tentez de vous connecter à votre base de données Redshift via l’éditeur de requêtes v2 Redshift. Cela est dû au fait que la session AWS IAM Identity Center associée dans l'éditeur de requêtes v2 reste valide, même dans le cas où l'utilisateur de la base de données est déconnecté de la AWS console. Le cache expire au bout d’une heure, ce qui résout généralement les problèmes. # Configuration du fournisseur d'identité sur Amazon Redshift Cette section présente les étapes à suivre pour configurer le fournisseur d’identité et Amazon Redshift afin d’établir une communication pour la fédération des fournisseurs d’identité natifs. Vous avez besoin d’un compte actif auprès de votre fournisseur d’identité. Avant de configurer Amazon Redshift, vous enregistrez Redshift en tant qu’application auprès de votre fournisseur d’identité, en accordant le consentement de l’administrateur. Effectuez les étapes suivantes dans Amazon Redshift : 1. Vous exécutez une instruction SQL pour enregistrer le fournisseur d’identité, y compris des descriptions des métadonnées de l’application Azure. Pour créer le fournisseur d’identité dans Amazon Redshift, exécutez la commande suivante après avoir remplacé la valeur des paramètres *issuer*, *client\$1id*, *client\$1secret* et *audience*. Ces paramètres sont spécifiques à Microsoft Azure AD. Remplacez le nom du fournisseur d’identité par le nom de votre choix et remplacez l’espace de noms par un nom unique pour contenir les utilisateurs et les rôles de votre répertoire de fournisseur d’identité. ``` CREATE IDENTITY PROVIDER oauth_standard TYPE azure NAMESPACE 'aad' PARAMETERS '{ "issuer":"https://sts.windows.net/2sdfdsf-d475-420d-b5ac-667adad7c702/", "client_id":"", "client_secret":"BUAH~ewrqewrqwerUUY^%tHe1oNZShoiU7", "audience":["https://analysis.windows.net/powerbi/connector/AmazonRedshift"] }' ``` Le type `azure` indique que le fournisseur facilite spécifiquement la communication avec Microsoft Azure AD. Il s’agit actuellement du seul fournisseur d’identité tiers pris en charge. + *issuer* : identifiant de l’auteur à qui faire confiance lors de la réception d’un jeton. L’identifiant unique du *tenant\$1id* (ID de locataire) est joint à l’auteur. + *client\$1id* : identifiant public unique de l’application enregistrée auprès du fournisseur d’identité. Celui-ci peut être référencé en tant qu’ID d’application. + *client\$1secret* : identifiant secret, ou mot de passe, connu uniquement du fournisseur d’identité et de l’application enregistrée. + *audience* : ID d’application attribué à l’application dans Azure. Au lieu d’utiliser un secret client partagé, vous pouvez définir des paramètres pour spécifier un certificat, une clé privée et un mot de passe de clé privée lorsque vous créez le fournisseur d’identité. ``` CREATE IDENTITY PROVIDER example_idp TYPE azure NAMESPACE 'example_aad' PARAMETERS '{"issuer":"https://sts.windows.net/2sdfdsf-d475-420d-b5ac-667adad7c702/", "client_id":"", "audience":["https://analysis.windows.net/powerbi/connector/AmazonRedshift"], "client_x5t":"", "client_pk_base64":"", "client_pk_password":"test_password"}'; ``` Le mot de passe de la clé privée, *client\$1pk\$1password*, est facultatif. 1. Facultatif : exécutez des commandes SQL dans Amazon Redshift pour créer en amont des utilisateurs et des rôles. Cela facilite l’octroi d’autorisations à l’avance. Le nom du rôle dans Amazon Redshift est le suivant : *: < GroupName sur Azure* AD>. Par exemple, lorsque vous créez un groupe dans Microsoft Azure AD appelé `rsgroup` et un espace de noms appelé `aad`, le nom du rôle est `aad:rsgroup`. Les noms d’utilisateur et de rôle dans Amazon Redshift sont définis à partir de ces noms d’utilisateur et de ces appartenances aux groupes dans l’espace de noms du fournisseur d’identité. Le mappage des rôles et des utilisateurs comprend la vérification de leur valeur `external_id`, pour s’assurer qu’elle est à jour. L’ID externe correspond à l’identifiant du groupe ou de l’utilisateur dans le fournisseur d’identité. Par exemple, l’ID externe d’un rôle correspond à l’ID de groupe Azure AD correspondant. De même, l’ID externe de chaque utilisateur correspond à son ID dans le fournisseur d’identité. ``` create role "aad:rsgroup"; ``` 1. Accordez des autorisations pertinentes aux rôles selon vos besoins. Par exemple : ``` GRANT SELECT on all tables in schema public to role "aad:rsgroup"; ``` 1. Vous pouvez également accorder des autorisations à un utilisateur spécifique. ``` GRANT SELECT on table foo to aad:alice@example.com ``` Notez que l’appartenance au rôle d’un utilisateur externe fédéré n’est disponible que dans la session de cet utilisateur. Cela a des conséquences sur la création d’objets de base de données. Lorsqu’un utilisateur externe fédéré crée une vue ou une procédure stockée, par exemple, il ne peut pas déléguer l’autorisation de ces objets à d’autres utilisateurs et rôles. **Explication des espaces de noms** Un espace de noms mappe un utilisateur ou un rôle à un fournisseur d’identité spécifique. Par exemple, le préfixe pour les utilisateurs créés dans AWS IAM est. `iam:` Ce préfixe empêche les collisions de noms d’utilisateur et permet la prise en charge de plusieurs magasins d’identités. Si un utilisateur alice@example.com de la source d’identité enregistrée auprès de l’espace de noms *aad* se connecte, l’utilisateur `aad:alice@example.com` est créé dans Redshift s’il n’existe pas déjà. Notez qu’un espace de noms d’utilisateur et de rôle a une fonction différente de celle d’un espace de noms de cluster Amazon Redshift, qui est un identifiant unique associé à un cluster. # Création automatique de rôles Amazon Redshift pour les fournisseurs d’identité Cette fonctionnalité vous permet de créer automatiquement des rôles dans Redshift en fonction de l’appartenance à un groupe auprès de votre fournisseur d’identité (IdP). La création automatique de rôles prend en charge Azure Active Directory avec l’intégration IdP native. La création automatique de rôles présente plusieurs avantages. Lorsque vous créez automatiquement un rôle, Redshift le crée avec l’appartenance à un groupe dans votre IdP, ce qui vous permet d’éviter la création et la maintenance manuelles fastidieuses des rôles. Vous avez également la possibilité de filtrer quels groupes sont mappés aux rôles Redshift. ## Comment ça marche Lorsque vous, en tant qu’utilisateur IdP, vous connectez à Redshift, la séquence d’événements suivante se produit : 1. Redshift récupère les adhésions à vos groupes depuis l’IdP. 1. Redshift crée automatiquement des rôles correspondant à ces groupes, selon le format des rôles `idp_namespace:rolename`. 1. Redshift vous accorde des autorisations pour les rôles mappés. À chaque connexion utilisateur, chaque groupe qui n’est pas présent dans le catalogue mais dont l’utilisateur fait partie est créé automatiquement. Vous pouvez éventuellement définir des filtres d’inclusion et d’exclusion pour contrôler les groupes IdP pour lesquels des rôles Redshift ont été créés. ## Configuration de la création automatique des rôles Utilisez les commandes `CREATE IDENTITY PROVIDER` et `ALTER IDENTITY PROVIDER` pour activer et configurer la création automatique de rôles. ``` -- Create a new IdP with auto role creation enabled CREATE IDENTITY PROVIDER TYPE azure NAMESPACE '' APPLICATION_ARN 'app_arn' IAM_ROLE 'role_arn' AUTO_CREATE_ROLES TRUE; -- Enable on existing IdP ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES TRUE; -- Disable ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES FALSE; ``` ## Groupes de filtres Vous pouvez éventuellement filtrer les groupes IdP mappés aux rôles Redshift à l’aide des modèles `INCLUDE` et `EXCLUDE`. En cas de conflit entre les modèles, `EXCLUDE` a la priorité sur `INCLUDE`. ``` -- Only create roles for groups with 'dev' CREATE IDENTITY PROVIDER TYPE azure ... AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%'; -- Exclude 'test' groups ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES TRUE EXCLUDE GROUPS LIKE '%test%'; ``` ## Exemples L’exemple suivant montre comment activer la création automatique de rôles sans filtrage. ``` CREATE IDENTITY PROVIDER prod_idc TYPE azure ... AUTO_CREATE_ROLES TRUE; ``` L’exemple suivant inclut les groupes de développement et exclut les groupes de test. ``` ALTER IDENTITY PROVIDER prod_idc AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%' EXCLUDE GROUPS LIKE '%test%'; ``` ## Bonnes pratiques Tenez compte des bonnes pratiques suivantes lorsque vous activez la création automatique pour les rôles : + Utilisez les filtres `INCLUDE` et `EXCLUDE` pour contrôler quels groupes obtiennent des rôles. + Auditez régulièrement les rôles et nettoyez ceux qui ne sont pas utilisés. + Tirez parti des hiérarchies de rôles Redshift pour simplifier la gestion des autorisations. # Connectez Redshift à AWS IAM Identity Center pour une expérience d'authentification unique Vous pouvez gérer l’accès des utilisateurs et des groupes aux entrepôts des données Amazon Redshift par le biais de la propagation d’identité approuvée. [La propagation fiable des identités](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html) est une AWS IAM Identity Center fonctionnalité que les administrateurs de Connected Services AWS peuvent utiliser pour accorder et auditer l'accès aux données de service. L’accès à ces données est basé sur les attributs utilisateur tels que les associations de groupe. La mise en place d'une propagation d'identité sécurisée nécessite une collaboration entre les administrateurs de Connected Services AWS et les administrateurs d'IAM Identity Center. Pour plus d’informations, consultez [Prérequis et considérations](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html).​ Pour illustrer un end-to-end cas, vous pouvez utiliser un Amazon Quick tableau de bord ou l'éditeur de requêtes Amazon Redshift v2 pour accéder à Redshift. Dans ce cas, l'accès est basé sur les groupes AWS IAM Identity Center. Redshift peut déterminer qui est un utilisateur et son appartenance à un groupe. AWS IAM Identity Center permet également de connecter et de gérer les identités par le biais d'un fournisseur d'identité tiers (IdP) tel qu'Okta ou. PingOne Une fois que votre administrateur a établi la connexion entre Redshift et AWS IAM Identity Center, il peut configurer un accès précis en fonction des groupes de fournisseurs d'identité afin d'autoriser l'accès des utilisateurs aux données. **Important** Lorsque vous supprimez un utilisateur d'un AWS IAM Identity Center ou d'un annuaire de fournisseurs d'identité connectés (IdP), il n'est pas automatiquement supprimé du catalogue Amazon Redshift. Pour supprimer manuellement l'utilisateur du catalogue Amazon Redshift, exécutez la `DROP USER` commande pour supprimer complètement l'utilisateur qui a été supprimé d'un AWS IAM Identity Center ou d'un IdP. Pour plus d’informations sur la procédure à suivre pour supprimer un utilisateur, consultez [DROP USER](https://docs.aws.amazon.com/redshift/latest/dg/r_DROP_USER.html) dans le *Guide du développeur de base de données Amazon Redshift*. ## Avantages de l'intégration de Redshift à AWS IAM Identity Center L'utilisation d' AWS IAM Identity Center avec Redshift peut bénéficier à votre organisation des manières suivantes : + Les auteurs de tableaux de bord Amazon Quick peuvent se connecter aux sources de données Redshift sans avoir à saisir à nouveau les mots de passe ou à demander à un administrateur de configurer des rôles IAM avec des autorisations complexes. + AWS IAM Identity Center fournit un emplacement central pour les utilisateurs de votre personnel. AWS Vous pouvez créer des utilisateurs et des groupes directement dans AWS IAM Identity Center ou connecter des utilisateurs et des groupes existants que vous gérez dans un fournisseur d'identité normalisé tel qu'Okta PingOne ou Microsoft Entra ID (Azure AD). AWS IAM Identity Center dirige l'authentification vers la source de vérité que vous avez choisie pour les utilisateurs et les groupes, et il gère un répertoire des utilisateurs et des groupes auxquels Redshift peut accéder. Pour plus d’informations, consultez [Gestion de votre source d’identité](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) et [Fournisseurs d’identité pris en charge](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) dans le *Guide de l’utilisateur AWS IAM Identity Center*. + Vous pouvez partager une instance AWS IAM Identity Center avec plusieurs clusters et groupes de travail Redshift grâce à une simple fonctionnalité de découverte automatique et de connexion. Cela permet d'ajouter rapidement des clusters sans avoir à configurer la connexion AWS IAM Identity Center pour chacun d'entre eux, et garantit que tous les clusters et groupes de travail disposent d'une vue cohérente des utilisateurs, de leurs attributs et de leurs groupes. Notez que l'instance AWS IAM Identity Center de votre organisation doit se trouver dans la même région que tous les partages de données Redshift auxquels vous vous connectez. + Comme les identités des utilisateurs sont connues et journalisées en même temps que l’accès aux données, il vous est plus facile de respecter les règles de conformité en auditant l’accès des utilisateurs dans AWS CloudTrail. ## Personas d’administrateur pour la connexion des applications Les personas suivants sont essentiels pour connecter les applications analytiques à l’application gérée par AWS IAM Identity Center pour Redshift : + **Administrateur de l’application** : crée une application et configure les services avec lesquels elle permettra des échanges de jetons d’identité. Cet administrateur spécifie également les utilisateurs et les groupes qui ont accès à l’application. + **Administrateur de données** : configure un accès précis aux données. Les utilisateurs et les groupes d' AWS IAM Identity Center peuvent être mappés à des autorisations spécifiques. ## Connexion à Amazon Redshift avec AWS IAM Identity Center via Amazon Quick Voici comment utiliser Quick pour s'authentifier auprès de Redshift lorsqu'il est connecté à IAM Identity Center et que l'accès est géré AWS via celui-ci [: Autoriser les connexions entre Quick et les clusters Amazon](https://docs.aws.amazon.com/quick/latest/userguide/enabling-access-redshift.html) Redshift. Ces étapes s’appliquent également à Amazon Redshift sans serveur. ## Connexion à Amazon Redshift avec AWS IAM Identity Center via l'éditeur de requêtes Amazon Redshift v2 Une fois les étapes de configuration d'une connexion AWS IAM Identity Center avec Redshift terminées, l'utilisateur peut accéder à la base de données et aux objets appropriés de la base de données via AWS son identité basée sur IAM Identity Center et préfixée par un espace de noms. Pour plus d’informations sur la connexion aux bases de données Redshift avec la connexion à l’éditeur de requêtes v2, consultez [Interrogation d’une base de données à l’aide de l’éditeur de requête v2Interrogation d’une base de données à l’aide de Amazon Redshift Query Editor V2](query-editor-v2.md). ## Utilisation d' AWS IAM Identity Center sur plusieurs Régions AWS Amazon Redshift prend en charge AWS IAM Identity Center en plusieurs versions. Régions AWS Vous pouvez étendre AWS IAM Identity Center de votre région principale Région AWS à d'autres régions pour améliorer les performances grâce à la proximité des utilisateurs et à la fiabilité. Lorsqu'une nouvelle région est ajoutée dans AWS IAM Identity Center, vous pouvez créer des applications Redshift IAM Identity Center dans la nouvelle région sans répliquer les identités de la région principale. Vous pouvez configurer les autorisations fédérées Amazon Redshift à l'aide d' AWS IAM Identity Center dans la nouvelle région, où vous pouvez activer les contrôles au niveau des lignes, des colonnes et du masquage. Pour plus de détails sur la façon de démarrer avec AWS IAM Identity Center dans plusieurs régions, voir [Gérer le centre d'identité AWS IAM dans plusieurs régions dans](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) le guide de l' Régions AWS utilisateur d'*AWS IAM Identity Center*. ## Limitations relatives à la connexion à Amazon Redshift avec AWS IAM Identity Center Lorsque vous utilisez l'authentification unique AWS IAM Identity Center, tenez compte des limites suivantes : + **Aucune prise en charge du VPC amélioré : le VPC** amélioré n'est pas pris en charge lorsque vous utilisez l'authentification unique AWS IAM Identity Center pour Amazon Redshift. Pour plus d’informations sur le VPC amélioré, consultez [Routage VPC amélioré dans Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html). # Configuration de l'intégration d' AWS IAM Identity Center à Amazon Redshift Votre administrateur de cluster Amazon Redshift ou administrateur Amazon Redshift Serverless doit effectuer plusieurs étapes pour configurer Redshift en tant AWS qu'application compatible avec IAM Identity Center. Redshift peut ainsi découvrir et se connecter automatiquement à AWS IAM Identity Center pour recevoir les services de connexion et d'annuaire des utilisateurs. Ensuite, lorsque votre administrateur Redshift crée un cluster ou un groupe de travail, il peut permettre au nouvel entrepôt de données d'utiliser AWS IAM Identity Center pour gérer l'accès à la base de données. L'objectif de l'activation de Redshift en tant qu'application gérée par AWS IAM Identity Center est de vous permettre de contrôler les autorisations des utilisateurs et des groupes depuis AWS IAM Identity Center ou depuis un fournisseur d'identité tiers qui y est intégré. Lorsque les utilisateurs de votre base de données se connectent à une base de données Redshift, par exemple un analyste ou un data scientist, celui-ci vérifie leurs groupes dans AWS IAM Identity Center et ceux-ci correspondent aux noms de rôles dans Redshift. De cette manière, un groupe qui définit le nom d’un rôle de base de données Redshift peut accéder à un ensemble de tables pour l’analyse des ventes, par exemple. Les sections suivantes décrivent comment configurer cela. ## Conditions préalables Voici les conditions préalables à l'intégration d' AWS IAM Identity Center à Amazon Redshift : + *Configuration du compte* : vous devez configurer AWS IAM Identity Center dans le compte de gestion de votre AWS organisation si vous prévoyez d'avoir des cas d'utilisation entre comptes ou si vous utilisez des clusters Redshift dans différents comptes avec la même instance d' AWS IAM Identity Center. Cela inclut la configuration de votre source d’identité. Pour plus d’informations, consultez [Prise en main](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html), [Identités de personnel](https://docs.aws.amazon.com/singlesignon/latest/userguide/identities.html) et [Fournisseurs d’identité pris en charge](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) dans le *guide de l’utilisateur AWS IAM Identity Center*. Vous devez vous assurer que vous avez créé des utilisateurs ou des groupes dans AWS IAM Identity Center, ou que vous avez synchronisé des utilisateurs et des groupes à partir de votre source d'identité avant de pouvoir les attribuer aux données de Redshift. **Note** Vous avez la possibilité d'utiliser une instance de compte d' AWS IAM Identity Center, à condition que Redshift AWS et IAM Identity Center soient dans le même compte. Vous pouvez créer cette instance à l’aide d’un widget lorsque vous créez et configurez un cluster ou un groupe de travail Redshift. + *Configuration d’un émetteur de jetons approuvé* : dans certains cas, vous devrez peut-être utiliser un émetteur de jetons approuvé, qui est une entité capable d’émettre et de vérifier des jetons de confiance. Avant de pouvoir le faire, des étapes préliminaires sont nécessaires avant que l'administrateur Redshift chargé de configurer l'intégration d' AWS IAM Identity Center puisse sélectionner l'émetteur de jetons de confiance et ajouter les attributs nécessaires pour terminer la configuration. Cela peut inclure la configuration d'un fournisseur d'identité externe pour qu'il serve d'émetteur de jetons de confiance et l'ajout de ses attributs dans la console AWS IAM Identity Center. Pour effectuer ces étapes, consultez [Utilisation d’applications avec un émetteur de jetons approuvés](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-apps-with-trusted-token-issuer.html#setuptrustedtokenissuer). **Note** La configuration d’un émetteur de jetons approuvé n’est pas requise pour toutes les connexions externes. La connexion à votre base de données Redshift à l’aide de l’éditeur de requêtes Amazon Redshift v2 ne nécessite pas la configuration d’un émetteur de jetons approuvé. Toutefois, cela peut s’appliquer à des applications tierces telles que des tableaux de bord ou des applications personnalisées qui s’authentifient auprès de votre fournisseur d’identité. + *Configuration d’un ou de plusieurs rôles IAM* : les sections suivantes mentionnent les autorisations qui doivent être configurées. Vous devrez ajouter des autorisations conformément aux bonnes pratiques IAM. Les autorisations spécifiques sont détaillées dans les procédures qui suivent. Pour plus d’informations, consultez [Bien démarrer avec AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html). ## Configuration de votre fournisseur d'identité pour qu'il fonctionne avec AWS IAM Identity Center La première étape du contrôle de la gestion des identités des utilisateurs et des groupes consiste à vous connecter à AWS IAM Identity Center et à configurer votre fournisseur d’identité. Vous pouvez utiliser AWS IAM Identity Center lui-même comme fournisseur d'identité, ou vous pouvez connecter un magasin d'identité tiers, tel qu'Okta, par exemple. Pour plus d’informations sur la configuration de la connexion et de votre fournisseur d’identité, consultez [Connexion à un fournisseur d’identité externe](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) dans le *Guide de l’utilisateur AWS IAM Identity Center*. À la fin de ce processus, assurez-vous qu'une petite collection d'utilisateurs et de groupes a été ajoutée à AWS IAM Identity Center, à des fins de test. ### Autorisations administratives #### Autorisations requises pour la gestion du cycle de vie des applications Redshift/AWS IAM Identity Center Vous devez créer une identité IAM, qu'un administrateur Redshift utilise pour configurer Redshift afin de l'utiliser AWS avec IAM Identity Center. Le plus souvent, vous créez un rôle IAM avec des autorisations et vous l’attribuez à d’autres identités selon les besoins. Il doit disposer des autorisations répertoriées pour effectuer les actions suivantes. **Création de l'application Redshift/AWS IAM Identity Center** + `sso:PutApplicationAssignmentConfiguration` : pour la sécurité. + `sso:CreateApplication`— Utilisé pour créer une application AWS IAM Identity Center. + `sso:PutApplicationAuthenticationMethod` : accorde l’accès à l’authentification Redshift. + `sso:PutApplicationGrant` : sert à modifier les informations relatives à l’émetteur de jetons approuvé. + `sso:PutApplicationAccessScope`— Pour la configuration de l'application Redshift AWS IAM Identity Center. Cela inclut les [subventions d'accès pour AWS Lake Formation et pour Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html). + `redshift:CreateRedshiftIdcApplication`— Utilisé pour créer l'application Redshift AWS IAM Identity Center. **Décrire l'application Redshift/AWS IAM Identity Center** + `sso:GetApplicationGrant` : sert à répertorier les informations relatives à l’émetteur de jetons approuvé. + `sso:ListApplicationAccessScopes` : pour configurer l’application Redshift AWS IAM Identity Center afin de répertorier les intégrations en aval, telles que pour AWS Lake Formation et les autorisations d’accès S3. + `redshift:DescribeRedshiftIdcApplications`— Utilisé pour décrire les applications AWS IAM Identity Center existantes. **Modification de l'application Redshift/AWS IAM Identity Center** + `redshift:ModifyRedshiftIdcApplication` : sert à modifier une application Redshift existante. + `sso:UpdateApplication`— Utilisé pour mettre à jour une application AWS IAM Identity Center. + `sso:GetApplicationGrant` : récupère les informations relatives à l’émetteur de jetons approuvé. + `sso:ListApplicationAccessScopes` : pour la configuration de l’application Redshift AWS IAM Identity Center. + `sso:DeleteApplicationGrant` : supprime les informations relatives à l’émetteur de jetons approuvé. + `sso:PutApplicationGrant` : sert à modifier les informations relatives à l’émetteur de jetons approuvé. + `sso:PutApplicationAccessScope`— Pour la configuration de l'application Redshift AWS IAM Identity Center. Cela inclut les [subventions d'accès pour AWS Lake Formation et pour Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html). + `sso:DeleteApplicationAccessScope` : pour supprimer l’application Redshift AWS IAM Identity Center. Cela inclut les [subventions d'accès pour AWS Lake Formation et pour Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html). **Suppression de l’application Redshift/AWS IAM Identity Center** + `sso:DeleteApplication`— Utilisé pour supprimer une application AWS IAM Identity Center. + `redshift:DeleteRedshiftIdcApplication`— Permet de supprimer une application Redshift AWS IAM Identity Center existante. #### Autorisations requises pour la gestion du cycle de vie des applications Redshift/query Editor v2 Vous devez créer une identité IAM, qu'un administrateur Redshift utilise pour configurer Redshift afin de l'utiliser AWS avec IAM Identity Center. Le plus souvent, vous créez un rôle IAM avec des autorisations et vous l’attribuez à d’autres identités selon les besoins. Il doit disposer des autorisations répertoriées pour effectuer les actions suivantes. **Création de l’application de l’éditeur de requête v2** + `redshift:CreateQev2IdcApplication`— Utilisé pour créer l' QEV2 application. + `sso:CreateApplication` : permet de créer une application AWS IAM Identity Center. + `sso:PutApplicationAuthenticationMethod` : accorde l’accès à l’authentification Redshift. + `sso:PutApplicationGrant` : sert à modifier les informations relatives à l’émetteur de jetons approuvé. + `sso:PutApplicationAccessScope`— Pour la configuration de l'application Redshift AWS IAM Identity Center. Cela inclut l’éditeur de requêtes v2. + `sso:PutApplicationAssignmentConfiguration` : pour la sécurité. **Décrire l’application de l’éditeur de requête v2** + `redshift:DescribeQev2IdcApplications`— Utilisé pour décrire l' QEV2 application AWS IAM Identity Center. **Modifier l’application de l’éditeur de requête v2** + `redshift:ModifyQev2IdcApplication`— Utilisé pour modifier l' QEV2 application AWS IAM Identity Center. + `sso:UpdateApplication`— Utilisé pour modifier l' QEV2 application AWS IAM Identity Center. **Supprimer l’application de l’éditeur de requête v2** + `redshift:DeleteQev2IdcApplication`— Utilisé pour supprimer l' QEV2 application. + `sso:DeleteApplication`— Utilisé pour supprimer l' QEV2application. **Note** Dans le SDK Amazon Redshift, les éléments suivants APIs ne sont pas disponibles : CreateQev2IdcApplication DescribeQev2IdcApplications ModifyQev2IdcApplication DeleteQev2IdcApplication Ces actions sont spécifiques à l'intégration d' AWS IAM Identity Center à QEV2 Redshift dans AWS la console. Pour de plus amples informations, consultez [Actions définies par Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html#amazonredshift-actions-as-permissions). #### Autorisations requises pour que l’administrateur de base de données puisse se connecter à de nouvelles ressources dans la console Ces autorisations sont requises pour connecter de nouveaux clusters provisionnés ou des groupes de travail Amazon Redshift sans serveur au cours du processus de création. Si vous disposez de ces autorisations, une sélection apparaît dans la console pour que vous choisissiez de vous connecter à l’application gérée par AWS IAM Identity Center pour Redshift. + `redshift:DescribeRedshiftIdcApplications` + `sso:ListApplicationAccessScopes` + `sso:GetApplicationAccessScope` + `sso:GetApplicationGrant` Il est recommandé d’associer des politiques d’autorisation à un rôle IAM, puis de l’attribuer à des utilisateurs et à des groupes, le cas échéant. Pour plus d’informations, consultez [Identity and Access Management dans Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html). ## Configuration de Redshift en tant qu'application AWS gérée avec AWS IAM Identity Center Avant qu' AWS IAM Identity Center puisse gérer les identités d'un cluster provisionné par Amazon Redshift ou d'un groupe de travail Amazon Redshift Serverless, l'administrateur Redshift doit suivre les étapes nécessaires pour faire de Redshift une application gérée par IAM Identity Center : AWS 1. Sélectionnez **Intégration àAWS IAM Identity Center** dans le menu de la console Amazon Redshift ou Amazon Redshift Serverless, puis sélectionnez **Connect** to IAM Identity Center. AWS À partir de là, vous devez effectuer une série de sélections pour renseigner les propriétés nécessaires à l’intégration d’ AWS IAM Identity Center. 1. Choisissez un nom d'affichage et un nom unique pour l'application gérée par le AWS IAM Identity Center de Redshift. 1. Spécifiez l’espace de noms de votre organisation. Il s’agit généralement d’une version abrégée du nom de votre organisation. Il est ajouté en tant que préfixe pour vos utilisateurs et rôles gérés par AWS IAM Identity Center dans la base de données Redshift. 1. Sélectionnez un rôle IAM à utiliser. Ce rôle IAM doit être distinct des autres rôles utilisés pour Redshift et nous vous recommandons de ne pas l’utiliser à d’autres fins. Les autorisations de politique spécifiques requises sont les suivantes : + `sso:DescribeApplication` : requise pour créer une entrée de fournisseur d’identité (IdP) dans le catalogue. + `sso:DescribeInstance` : sert à créer manuellement des rôles ou des utilisateurs fédérés par le fournisseur d’identité. 1. Configurez les connexions client et les émetteurs de jetons approuvés. La configuration d’émetteurs de jetons approuvés facilite la propagation d’identités approuvées en établissant une relation avec un fournisseur d’identité externe. La propagation de l’identité permet à un utilisateur, par exemple, de se connecter à une application et d’accéder à des données spécifiques dans une autre application. Cela permet aux utilisateurs de collecter des données à partir d’emplacements distincts de manière plus fluide. À ce stade, dans la console, vous définissez les attributs de chaque émetteur de jetons approuvé. Ces attributs incluent le nom et la réclamation d’audience (ou *aud claim*), que vous devrez peut-être obtenir à partir des attributs de configuration de l’outil ou du service. Vous devrez peut-être également fournir le nom de l’application à partir du jeton Web JSON (JWT) de l’outil tiers. **Note** L’élément `aud claim` requis à partir de chaque outil ou service tiers peut varier en fonction du type de jeton, qui peut être un jeton d’accès émis par un fournisseur d’identité, ou d’un autre type, tel qu’un jeton d’identification. Chaque fournisseur peut être différent. Lorsque vous implémentez la propagation d’identité approuvée et intégrez Redshift, il est nécessaire de fournir la valeur *aud* correcte pour le type de jeton que l’outil tiers envoie à AWS. Consultez les recommandations de votre fournisseur d’outils ou de services. Pour obtenir des informations détaillées sur la propagation d’identité approuvée, consultez [Présentation de la propagation d’identité approuvée](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *. Une fois que l’administrateur Redshift a terminé les étapes et enregistré la configuration, les propriétés d’ AWS IAM Identity Center apparaissent dans la console Redshift. Vous pouvez également interroger la vue système [SVV\$1IDENTITY\$1PROVIDERS](https://docs.aws.amazon.com/redshift/latest/dg/r_SVV_IDENTITY_PROVIDERS.html) pour vérifier les propriétés de l’application. Celles-ci incluent le nom de l’application et l’espace de noms. Vous utilisez l’espace de noms comme préfixe pour les objets de base de données Redshift associés à l’application. L'exécution de ces tâches fait de Redshift une application compatible avec AWS IAM Identity Center. Les propriétés de la console incluent l’état de l’intégration. Il indique **Activé** lorsque l’intégration est terminée. À l’issue de ce processus, l’intégration d’ AWS IAM Identity Center peut être activée sur chaque nouveau cluster. **Après la configuration, vous pouvez inclure les utilisateurs et les groupes d' AWS IAM Identity Center dans Redshift en choisissant **l'**onglet Utilisateurs **ou** groupes, puis en choisissant Attribuer.** ## Activation de l'intégration d' AWS IAM Identity Center pour un nouveau cluster Amazon Redshift ou un nouveau groupe de travail Amazon Redshift Serverless Votre administrateur de base de données configure les nouvelles ressources Redshift pour qu'elles fonctionnent en harmonie AWS avec IAM Identity Center afin de faciliter la connexion et l'accès aux données. Cela s’effectue dans le cadre des étapes de création d’un cluster provisionné ou d’un groupe de travail sans serveur. Toute personne autorisée à créer des ressources Redshift peut effectuer ces tâches d'intégration à AWS IAM Identity Center. Lorsque vous créez un cluster provisionné, vous commencez par choisir Create Cluster **dans la** console Amazon Redshift. Les étapes suivantes montrent comment activer la gestion du centre d'identité AWS IAM pour une base de données. (Elle n’inclut pas toutes les étapes de création d’un cluster.) 1. Choisissez **Activer pour ** dans la section relative à l’**intégration d’IAM Identity Center** dans les étapes de création de cluster. 1. Le processus comporte une étape où vous activez l’intégration. Pour ce faire, choisissez **Activer l’intégration d’IAM Identity Center** dans la console. 1. Pour le nouveau cluster ou groupe de travail, créez des rôles de base de données dans Redshift à l’aide de commandes SQL. Voici la commande : ``` CREATE ROLE ; ``` L’espace de noms et le nom du rôle sont les suivants : + *Préfixe d'espace de noms IAM Identity Center* : il s'agit de l'espace de noms que vous avez défini lors de la configuration de la connexion entre AWS IAM Identity Center et Redshift. + *Nom du rôle* : ce rôle de base de données Redshift doit correspondre au nom du groupe dans AWS IAM Identity Center. Redshift se connecte à AWS IAM Identity Center et récupère les informations nécessaires pour créer et mapper le rôle de base de données au groupe AWS IAM Identity Center. Notez que lorsqu’un nouvel entrepôt des données est créé, le rôle IAM spécifié pour l’intégration AWS IAM Identity Center est automatiquement associé au cluster alloué ou au groupe de travail Amazon Redshift sans serveur. Après avoir saisi les métadonnées de cluster requises et créé la ressource, vous pouvez vérifier le statut de l'intégration d' AWS IAM Identity Center dans les propriétés. Si les noms de vos groupes dans AWS IAM Identity Center comportent des espaces, vous devez utiliser des guillemets en SQL lorsque vous créez le rôle correspondant. Après avoir activé la base de données Redshift et créé des rôles, vous êtes prêt à vous connecter à la base de données avec l’éditeur de requêtes Amazon Redshift v2 ou Amazon Quick. Les détails sont expliqués dans les sections suivantes. ### Configuration de l’élément par défaut `RedshiftIdcApplication` à l’aide de l’API La configuration est effectuée par votre administrateur d’identité. À l'aide de l'API, vous créez et renseignez un`RedshiftIdcApplication`, qui représente l'application Redshift AWS dans IAM Identity Center. 1. Pour commencer, vous pouvez créer des utilisateurs et les ajouter à des groupes dans AWS IAM Identity Center. Pour ce faire, vous devez le faire dans la AWS console d' AWS IAM Identity Center. 1. Appelez `create-redshift-idc-application` pour créer une application AWS IAM Identity Center et la rendre compatible avec l'utilisation de Redshift. Vous créez l’application en renseignant les valeurs requises. Le nom d’affichage est le nom qui s’affichera sur le tableau de bord AWS IAM Identity Center. L’ARN du rôle IAM est un ARN doté d’autorisations pour accéder à AWS IAM Identity Center, qui est également endossable par Redshift. ``` aws redshift create-redshift-idc-application ––idc-instance-arn 'arn:aws:sso:::instance/ssoins-1234a01a1b12345d' ––identity-namespace 'MYCO' ––idc-display-name 'TEST-NEW-APPLICATION' ––iam-role-arn 'arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole' ––redshift-idc-application-name 'myredshiftidcapplication' ``` L’exemple suivant montre un exemple de réponse `RedshiftIdcApplication` renvoyé à partir de l’appel à `create-redshift-idc-application`. ``` "RedshiftIdcApplication": { "IdcInstanceArn": "arn:aws:sso:::instance/ssoins-1234a01a1b12345d", "RedshiftIdcApplicationName": "test-application-1", "RedshiftIdcApplicationArn": "arn:aws:redshift:us-east-1:012345678901:redshiftidcapplication:12aaa111-3ab2-3ab1-8e90-b2d72aea588b", "IdentityNamespace": "MYCO", "IdcDisplayName": "Redshift-Idc-Application", "IamRoleArn": "arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole", "IdcManagedApplicationArn": "arn:aws:sso::012345678901:application/ssoins-1234a01a1b12345d/apl-12345678910", "IdcOnboardStatus": "arn:aws:redshift:us-east-1:123461817589:redshiftidcapplication", "RedshiftIdcApplicationArn": "Completed", "AuthorizedTokenIssuerList": [ "TrustedTokenIssuerArn": ..., "AuthorizedAudiencesList": [...]... ]} ``` 1. Vous pouvez l'utiliser `create-application-assignment` pour attribuer des groupes particuliers ou des utilisateurs individuels à l'application gérée dans AWS IAM Identity Center. Ce faisant, vous pouvez spécifier les groupes à gérer via AWS IAM Identity Center. Si l'administrateur de base de données crée des rôles de base de données dans Redshift, les noms de groupe dans AWS IAM Identity Center correspondent aux noms de rôles dans Redshift. Les rôles contrôlent les autorisations dans la base de données. Pour plus d'informations, voir [Attribuer un accès utilisateur aux applications dans la console AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/assignuserstoapp.html). 1. Après avoir activé l'application, appelez `create-cluster` et incluez l'ARN de l'application gérée Redshift depuis AWS IAM Identity Center. Cela permet d'associer le cluster à l'application gérée dans AWS IAM Identity Center. ### Associer une application AWS IAM Identity Center à un cluster ou à un groupe de travail existant Si vous avez un cluster ou un groupe de travail existant que vous souhaitez activer pour l’intégration d’ AWS IAM Identity Center, vous pouvez le faire en exécutant des commandes SQL. Vous pouvez également exécuter des commandes SQL pour modifier les paramètres de l’intégration. Pour plus d’informations, consultez [ALTER IDENTITY PROVIDER](https://docs.aws.amazon.com/redshift/latest/dg/r_ALTER_IDENTITY_PROVIDER.html). Il est également possible de supprimer un fournisseur d’identité existant. L’exemple suivant montre comment CASCADE supprime les utilisateurs et les rôles attachés au fournisseur d’identité. ``` DROP IDENTITY PROVIDER [ CASCADE ] ``` ## Configuration des autorisations utilisateur Un administrateur configure les autorisations d'accès à diverses ressources, en fonction des attributs d'identité des utilisateurs et de leur appartenance à un groupe, au sein de leur fournisseur d'identité ou directement au sein d' AWS IAM Identity Center. Par exemple, l'administrateur du fournisseur d'identité peut ajouter un ingénieur de base de données à un groupe correspondant à son rôle. Ce nom de groupe correspond à un nom de rôle de base de données Redshift. Le rôle fournit ou restreint l’accès à des tables ou à des vues spécifiques dans Redshift. # Création automatique de rôles Amazon Redshift pour AWS IAM Identity Center Cette fonctionnalité est une intégration AWS IAM Identity Center qui vous permet de créer automatiquement des rôles dans Redshift en fonction de l'appartenance à un groupe. La création automatique de rôles présente plusieurs avantages. Lorsque vous créez automatiquement un rôle, Redshift le crée avec l’appartenance à un groupe dans votre IdP, ce qui vous permet d’éviter la création et la maintenance manuelles fastidieuses des rôles. Vous avez également la possibilité de filtrer les groupes mappés aux rôles Redshift avec des modèles d’inclusion et d’exclusion. ## Comment ça marche Lorsque vous, en tant qu’utilisateur IdP, vous connectez à Redshift, la séquence d’événements suivante se produit : 1. Redshift récupère les adhésions à vos groupes depuis l’IdP. 1. Redshift crée automatiquement des rôles correspondant à ces groupes, selon le format des rôles `idp_namespace:rolename`. 1. Redshift vous accorde des autorisations pour les rôles mappés. À chaque connexion utilisateur, chaque groupe qui n’est pas présent dans le catalogue mais dont l’utilisateur fait partie est créé automatiquement. Vous pouvez éventuellement définir des filtres d’inclusion et d’exclusion pour contrôler les groupes IdP pour lesquels des rôles Redshift ont été créés. ## Configuration de la création automatique des rôles Utilisez les commandes `CREATE IDENTITY PROVIDER` et `ALTER IDENTITY PROVIDER` pour activer et configurer la création automatique de rôles. ``` -- Create a new IdP with auto role creation enabled CREATE IDENTITY PROVIDER TYPE AWSIDC NAMESPACE '' APPLICATION_ARN 'app_arn' IAM_ROLE 'role_arn' AUTO_CREATE_ROLES TRUE; -- Enable on existing IdP ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES TRUE; -- Disable ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES FALSE; ``` ## Groupes de filtres Vous pouvez éventuellement filtrer les groupes IdP mappés aux rôles Redshift à l’aide des modèles `INCLUDE` et `EXCLUDE`. En cas de conflit entre les modèles, `EXCLUDE` a la priorité sur `INCLUDE`. ``` -- Only create roles for groups with 'dev' CREATE IDENTITY PROVIDER TYPE AWSIDC ... AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%'; -- Exclude 'test' groups ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES TRUE EXCLUDE GROUPS LIKE '%test%'; ``` ## Exemples L’exemple suivant montre comment activer la création automatique de rôles sans filtrage. ``` CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC ... AUTO_CREATE_ROLES TRUE; ``` L’exemple suivant inclut les groupes de développement et exclut les groupes de test. ``` ALTER IDENTITY PROVIDER prod_idc AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%' EXCLUDE GROUPS LIKE '%test%'; ``` ## Bonnes pratiques Tenez compte des bonnes pratiques suivantes lorsque vous activez la création automatique pour les rôles : + Utilisez les filtres `INCLUDE` et `EXCLUDE` pour contrôler quels groupes obtiennent des rôles. + Auditez régulièrement les rôles et nettoyez ceux qui ne sont pas utilisés. + Tirez parti des hiérarchies de rôles Redshift pour simplifier la gestion des autorisations. # Intégration d’Amazon Redshift aux autorisations d’accès Amazon S3 Grâce à l’intégration aux autorisations d’accès Amazon S3, vous pouvez propager en toute simplicité vos identités IAM Identity Center afin de contrôler l’accès aux données Amazon S3. Cette intégration vous permet d’autoriser l’accès aux données Amazon S3 en fonction des utilisateurs et des groupes IAM Identity Center. Pour plus d’informations sur les autorisations d’accès Amazon S3, consultez [Gestion de l’accès avec les octrois d’accès S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html). L’utilisation des autorisations d’accès Amazon S3 donne à votre application les avantages suivants : + Contrôle d’accès précis aux données Amazon S3, basé sur les identités IAM Identity Center. + Gestion centralisée des identités IAM Identity Center sur Amazon Redshift et Amazon S3. + Vous pouvez éviter de gérer des autorisations IAM distinctes pour l’accès à Amazon S3. ## Comment ça marche Pour intégrer votre application aux autorisations d’accès Amazon S3, procédez comme suit : + Tout d'abord, vous configurez Amazon Redshift pour qu'il s'intègre à Amazon S3 Access Grants à l'aide du AWS Management Console ou. AWS CLI + Ensuite, un utilisateur disposant de privilèges d’administrateur IdC accorde l’accès au compartiment ou au préfixe Amazon S3 à des utilisateurs/groupes IdC spécifiques, à l’aide du service d’autorisations d’accès Amazon S3. Pour plus d’informations, consultez [Utilisation des autorisations d’accès S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-grant.html). + Lorsqu’un utilisateur IdC authentifié auprès de Redshift exécute une requête pour accéder à S3 (telle qu’une opération COPY, UNLOAD ou Spectrum), Amazon Redshift récupère les informations d’identification d’accès S3 temporaires associées à cette identité IdC auprès du service d’autorisations d’accès Amazon S3. + Amazon Redshift utilise ensuite les informations d’identification temporaires récupérées pour accéder aux sites Amazon S3 autorisés pour cette requête. ## Configuration de l’intégration à Amazon S3 avec les autorisations d’accès Amazon S3 Pour configurer l’intégration avec les autorisations d’accès Amazon S3 pour Amazon Redshift, procédez comme suit : **Topics** + [Configuration de l'intégration avec Amazon S3 Access Grants à l'aide du AWS Management Console](#redshift-iam-access-control-sso-s3idc-setup-console) + [Activation de l'intégration avec Amazon S3 Access Grants à l'aide du AWS CLI](#redshift-iam-access-control-sso-s3idc-setup-cli) ### Configuration de l'intégration avec Amazon S3 Access Grants à l'aide du AWS Management Console 1. Ouvrez la console Amazon Redshift. 1. Choisissez votre cluster dans le volet **Clusters**. 1. Sur la page de détails de votre cluster, dans la section **Intégration du fournisseur d’identité**, activez l’intégration avec le service **Autorisations d’accès S3**. **Note** La section **Intégration du fournisseur d’identité** ne s’affiche pas si IAM Identity Center n’est pas configuré. Pour plus d'informations, consultez la section [Activation AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html). ### Activation de l'intégration avec Amazon S3 Access Grants à l'aide du AWS CLI 1. Pour créer une nouvelle application Amazon Redshift IdC avec l’intégration S3 activée, procédez comme suit : ``` aws redshift create-redshift-idc-application --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]' ``` 1. Pour modifier une application existante afin d’activer l’intégration des autorisations d’accès S3, procédez comme suit : ``` aws redshift modify-redshift-idc-application --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]' ``` 1. Pour modifier une application existante afin de désactiver l’intégration des autorisations d’accès S3, procédez comme suit : ``` aws redshift modify-redshift-idc-application --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Disabled"}}]} ]' ``` ## Utilisation des intégrations avec les autorisations d’accès S3 Après avoir configuré l’intégration des autorisations d’accès S3, les requêtes qui accèdent aux données S3 (telles que les requêtes `COPY`, `UNLOAD` ou Spectrum) utilisent l’identité IdC pour l’autorisation. Les utilisateurs qui ne sont pas authentifiés à l’aide d’IdC peuvent également exécuter ces requêtes, mais ces comptes utilisateur ne bénéficient pas de l’administration centralisée fournie par IdC. L’exemple suivant montre les requêtes exécutées avec l’intégration des autorisations d’accès S3. ``` COPY table FROM 's3://mybucket/data'; // -- Redshift uses IdC identity UNLOAD ('SELECT * FROM table') TO 's3://mybucket/unloaded/' // -- Redshift uses IdC identity ``` # Interrogation de données via AWS Lake Formation L'utilisation AWS Lake Formation facilite la gouvernance et la sécurisation centralisées de votre lac de données, ainsi que la fourniture d'un accès aux données. La configuration de la propagation des identités vers Lake Formation via AWS IAM Identity Center et Redshift permet à un administrateur d'autoriser un accès précis à un lac de données Amazon S3, en fonction des groupes de fournisseurs d'identité (IdP) de l'organisation. Ces groupes sont gérés via AWS IAM Identity Center. Cette section explique comment configurer deux cas d'utilisation, l'interrogation depuis un lac de données et l'interrogation depuis un partage de données, qui montrent comment tirer parti d' AWS IAM Identity Center avec Redshift pour se connecter aux ressources gouvernées par Lake Formation. ## Utilisation d'une connexion AWS IAM Identity Center et Redshift pour interroger un lac de données Ces étapes concernent un cas d'utilisation dans lequel vous utilisez AWS IAM Identity Center connecté à Redshift pour interroger un lac de données régi par Lake Formation. **Prérequis** Cette procédure exige plusieurs étapes préalables : 1. AWS IAM Identity Center doit être configuré pour prendre en charge l'authentification et la gestion des identités avec Redshift. Vous pouvez activer AWS IAM Identity Center depuis la console et sélectionner une source de fournisseur d'identité (IdP). Synchronisez ensuite un ensemble de vos utilisateurs IdP avec AWS IAM Identity Center. Vous devez également configurer une connexion entre AWS IAM Identity Center et Redshift, en suivant les étapes décrites précédemment dans ce document. 1. Créez un nouveau cluster Amazon Redshift et activez la gestion des identités via AWS IAM Identity Center lors des étapes de configuration. 1. Créez une application AWS IAM Identity Center gérée pour Lake Formation et configurez-la. Cela fait suite à la configuration de la connexion entre AWS IAM Identity Center et Redshift. La procédure est la suivante : 1. Dans le AWS CLI, utilisez la `modify-redshift-idc-application` commande pour activer l'intégration du service Lake Formation à l'application gérée par AWS IAM Identity Center pour Redshift. Cet appel inclut le paramètre `service-integrations`, qui est défini sur une valeur de chaîne de configuration qui active l’autorisation pour accéder à Lake Formation. 1. Configurez Lake Formation à l’aide de la commande `create-lake-formation-identity-center-configuration`. Cela crée une application AWS IAM Identity Center pour Lake Formation, qui est visible sur le portail AWS IAM Identity Center. L'administrateur doit définir l'`––cli-input-json`argument, dont la valeur est le chemin d'accès à un fichier JSON qui utilise le format standard pour tous les appels d'API AWS CLI. Vous devez inclure des valeurs pour : + `CatalogId` : l’identifiant du catalogue Lake Formation. + `InstanceArn`— La valeur ARN de l'instance AWS IAM Identity Center. Une fois que l’administrateur a terminé la configuration prérequise, l’administrateur de base de données peut créer un schéma externe dans le but d’interroger le lac de données. 1. **L’administrateur crée le schéma externe** : l’administrateur de base de données Redshift se connecte à la base de données et crée un schéma externe à l’aide de l’instruction SQL suivante : ``` CREATE EXTERNAL SCHEMA if not exists my_external_schema from DATA CATALOG database 'my_lf_integrated_db' catalog_id '12345678901234'; ``` Notez que la spécification d'un rôle IAM n'est pas requise dans ce cas, car l'accès est géré via AWS IAM Identity Center. 1. **L'administrateur accorde des autorisations** : l'administrateur accorde l'utilisation à un groupe AWS IAM Identity Center, qui accorde des autorisations sur les ressources Redshift. Cela s’effectue en exécutant une instruction SQL telle que la suivante : ``` GRANT USAGE ON SCHEMA "my_external_schema" to "MYCO:sales"; ``` Par la suite, l'administrateur accorde à Lake Formation des autorisations sur les objets, en fonction des exigences de l'organisation, à l'aide de la AWS CLI : ``` aws lakeformation grant-permissions ... ``` 1. **Les utilisateurs exécutent des requêtes** : à ce stade, un utilisateur AWS IAM Identity Center qui fait partie du groupe de vente peut, à des fins d’illustration, se connecter via l’éditeur de requêtes v2 à la base de données Redshift. Il peut ensuite exécuter une requête qui accède à une table dans le schéma externe, comme dans l’exemple suivant : ``` SELECT * from my_external_schema.table1; ``` ## Utilisation d'une connexion AWS IAM Identity Center et Redshift pour se connecter à un partage de données Vous pouvez accéder à un partage de données depuis un autre entrepôt de données Redshift lorsque l'accès est géré via AWS IAM Identity Center. Pour ce faire, vous devez exécuter une requête pour configurer une base de données externe. Avant de terminer ces étapes, il est supposé que vous avez établi une connexion entre Redshift et AWS IAM Identity Center, et que vous avez créé l' AWS Lake Formation application, comme indiqué dans la procédure précédente. 1. **Création de la base de données externe** : l’administrateur crée une base de données externe pour le partage des données, en la référençant via son ARN. Voici un exemple qui montre comment procéder : ``` CREATE DATABASE "redshift_external_db" FROM ARN 'arn:aws:glue:us-east-1:123456789012:database/redshift_external_db-iad' WITH NO DATA CATALOG SCHEMA; ``` Dans ce cas d'utilisation, où vous utilisez AWS IAM Identity Center avec Redshift pour la gestion des identités, le rôle IAM n'est pas inclus. 1. **L'administrateur définit les autorisations** : après avoir créé une base de données, l'administrateur accorde l'utilisation à un groupe AWS IAM Identity Center. Cela accorde des autorisations sur les ressources Redshift : ``` GRANT USAGE ON DATABASE "my_external_db" to "MYCO:sales"; ``` L’administrateur accorde également à Lake Formation des autorisations sur les objets, à l’aide de l’interface de ligne de commande AWS  : ``` aws lakeformation grant-permissions ... ``` 1. **Les utilisateurs exécutent des requêtes** : un utilisateur du groupe de vente peut interroger une table figurant dans la base de données, en fonction des autorisations attribuées : ``` select * from redshift_external_db.public.employees; ``` Pour plus d’informations sur l’octroi d’autorisations sur un lac de données et sur l’octroi d’autorisations sur les partages de données, consultez [Octroi d’autorisations aux utilisateurs et aux groupes](https://docs.aws.amazon.com/lake-formation/latest/dg/grant-permissions-sso.html). Pour plus d’informations sur l’octroi de l’autorisation d’utilisation à un schéma ou à une base de données, consultez [GRANT](https://docs.aws.amazon.com/redshift/latest/dg/r_GRANT.html). # Intégrer votre application ou votre outil à OAuth l'utilisation d'un émetteur de jetons de confiance Vous pouvez ajouter des fonctionnalités aux outils clients que vous créez pour vous connecter à Redshift via la connexion AWS IAM Identity Center. Si vous avez déjà configuré l’intégration de Redshift à AWS IAM Identity Center, utilisez les propriétés détaillées dans cette section pour configurer une connexion. ## Plug-in d'authentification pour la connexion à Redshift à l'aide d' AWS IAM Identity Center Vous pouvez utiliser AWS IAM Identity Center pour vous connecter à Amazon Redshift à l'aide des plug-ins de pilote suivants : + `BrowserIdcAuthPlugin`— Ce plugin facilite une single-sign-on intégration fluide avec AWS IAM Identity Center. Il crée une fenêtre de navigateur permettant aux utilisateurs de se connecter avec les informations d’identification définies dans leurs fournisseurs d’identité d’entreprise. + `IdpTokenAuthPlugin`— Ce plugin doit être utilisé par les applications qui souhaitent gérer elles-mêmes le flux d'authentification, au lieu de laisser le pilote Amazon Redshift ouvrir une fenêtre de navigateur pour l'authentification AWS IAM Identity Center. Il accepte un jeton d'accès automatique AWS IAM Identity Center ou un jeton Web JSON (JWT) OpenID Connect (OIDC) provenant de tout fournisseur d'identité Web connecté à AWS IAM Identity Center, tel qu'Okta, PingOne et Microsoft Entra ID (Azure AD). L’application cliente est chargée de générer ce jeton d’accès/JWT requis. ### Authentification avec `BrowserIdcAuthPlugin` Utilisez les noms de plug-in suivants pour vous connecter à l’aide de `BrowserIdcAuthPlugin`, en fonction de votre pilote Amazon Redshift. | Pilote | Clé d’option de connexion | Value | Remarques | | --- | --- | --- | --- | | JDBC | `plugin_name` | com.amazon.redshift.plugin. BrowserIdcAuthPlugin | Vous devez saisir le nom de classe complet du plug-in lorsque vous vous connectez. | | ODBC | `plugin_name` | BrowserIdcAuthPlugin | | | Python | `credentials_provider` | BrowserIdcAuthPlugin | Aucune option `plugin_name` n’est disponible pour le pilote Python. Utilisez à la place `credentials_provider`. | Le plug-in `BrowserIdcAuthPlugin` possède les options de connexion supplémentaires suivantes : | Nom d’option | Obligatoire ? | Description | Exemple | | --- | --- | --- | --- | | idc\$1region | Obligatoire | L' Région AWS emplacement de l'instance AWS IAM Identity Center. | us-east-1 | | issuer\$1url | Obligatoire | Point de terminaison de l'instance du serveur AWS IAM Identity Center. Vous pouvez trouver cette valeur à l'aide de la console AWS IAM Identity Center. | https://identitycenter.amazonaws.com/ssoins-g5j2k70sn4yc5nsc | | listen\$1port | Facultatif | Port utilisé par le pilote Amazon Redshift pour recevoir la `auth_code` réponse d' AWS IAM Identity Center via la redirection du navigateur. | 7890 | | idc\$1client\$1display\$1name | Facultatif | Nom que le client AWS IAM Identity Center utilise pour l'application dans la fenêtre contextuelle de consentement à l'authentification unique de l' AWS IAM Identity Center. | Pilote Amazon Redshift | | idp\$1response\$1timeout | Facultatif | Durée, en secondes, pendant laquelle le pilote Redshift attend la fin du flux d’authentification. | 60 | Vous devez entrer ces valeurs dans les propriétés de connexion de l’outil que vous créez et utilisez pour vous connecter. Pour plus d’informations, consultez la documentation relative aux options de connexion pour chaque pilote : + [Options de configuration du pilote JDBC version 2.x](jdbc20-configuration-options.md) + [Options du pilote ODBC](odbc20-configuration-options.md) + [Options de configuration du connecteur Amazon Redshift Python](python-configuration-options.md) ### Authentification avec `IdpTokenAuthPlugin` Utilisez les noms de plug-in suivants pour vous connecter à l’aide de `IdpTokenAuthPlugin`, en fonction de votre pilote Amazon Redshift. | Pilote | Clé d’option de connexion | Value | Remarques | | --- | --- | --- | --- | | JDBC | `plugin_name` | com.amazon.redshift.plugin. IdpTokenAuthPlugin | Vous devez saisir le nom de classe complet du plug-in lorsque vous vous connectez. | | ODBC | `plugin_name` | IdpTokenAuthPlugin | | | Python | `credentials_provider` | IdpTokenAuthPlugin | Aucune option `plugin_name` n’est disponible pour le pilote Python. Utilisez à la place `credentials_provider`. | Le plug-in `IdpTokenAuthPlugin` possède les options de connexion supplémentaires suivantes : | Nom d’option | Obligatoire ? | Description | | --- | --- | --- | | jeton | Obligatoire | Un jeton d'accès automatique AWS IAM Identity Center ou un jeton Web JSON (JWT) OpenID Connect (OIDC) fourni par un fournisseur d'identité Web connecté à IAM Identity Center. AWS Votre application doit générer ce jeton en authentifiant l'utilisateur de votre application auprès d' AWS IAM Identity Center ou d'un fournisseur d'identité connecté à AWS IAM Identity Center. | | token\$1type | Obligatoire | Type de jeton utilisé pour `IdpTokenAuthPlugin`. Les valeurs possibles sont les suivantes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/redshift/latest/mgmt/redshift-iam-access-control-idp-connect-oauth.html) | Vous devez entrer ces valeurs dans les propriétés de connexion de l’outil que vous créez et utilisez pour vous connecter. Pour plus d’informations, consultez la documentation relative aux options de connexion pour chaque pilote : + [Options de configuration du pilote JDBC version 2.x](jdbc20-configuration-options.md) + [Options du pilote ODBC](odbc20-configuration-options.md) + [Options de configuration du connecteur Amazon Redshift Python](python-configuration-options.md) # Résolution des problèmes de connexion à l’aide de Amazon Redshift Query Editor V2 Cette liste détaille les erreurs les plus fréquentes et peut vous aider à vous connecter à votre base de données Redshift avec l'éditeur de requêtes v2, en utilisant une identité AWS IAM Identity Center. + Error: **Connection Issue: No Identity center session information available.** — Lorsque cette erreur se produit, vérifiez les paramètres de sécurité et de confidentialité de votre navigateur. Ces paramètres du navigateur, en particulier ceux relatifs aux cookies sécurisés, tels que la fonctionnalité Total Cookie Protection de Firefox, peuvent bloquer les tentatives de connexion entre Amazon Redshift Query Editor V2 et une base de données Redshift. Suivez les étapes de correction détaillées pour votre navigateur : + **Firefox** : actuellement, les cookies tiers sont bloqués par défaut. Cliquez sur le bouclier dans la barre d’adresse du navigateur et activez le bouton pour désactiver la protection améliorée contre le suivi pour l’éditeur de requêtes v2. + **Mode navigation privée de Chrome** : par défaut, le mode navigation privée de Chrome bloque les cookies tiers. Cliquez sur l’icône en forme d’œil dans la barre d’adresse pour autoriser les cookies tiers pour l’éditeur de requêtes v2. Après avoir modifié le paramètre pour autoriser les cookies, il est possible que l’icône en forme d’œil ne s’affiche pas dans la barre d’adresse. + **Safari** : sur un Mac, ouvrez l’application Safari. Choisissez **Paramètres**, puis **Paramètres avancés**. Activez pour désactiver : **Bloquer tous les cookies**. + **Edge** : choisissez **Paramètres**, puis choisissez **Cookies et autorisations du site**. Sélectionnez ensuite **Gérer et supprimer les cookies et les données du site**, puis désactivez **Bloquer les cookies tiers**. Si vous essayez de vous connecter après avoir modifié les paramètres et que le message d'erreur **Problème de connexion persiste : aucune information de session du centre d'identité n'est disponible**, nous vous recommandons d'actualiser votre connexion avec AWS IAM Identity Center. Pour ce faire, cliquez avec le bouton droit sur votre instance de base de données Redshift et choisissez **Actualiser**. Une nouvelle fenêtre apparaît, dans laquelle vous pouvez vous authentifier. + Error: **Connection issue: Identity center session expired or invalid.** — Suite à l'intégration d'un cluster provisionné par Redshift ou d'un groupe de travail sans serveur à AWS IAM Identity Center, un utilisateur peut recevoir cette erreur lorsqu'il tente de se connecter à une base de données Redshift depuis l'éditeur de requêtes v2. Cela peut faire suite à des tentatives de connexion réussies. Dans ce cas, nous vous recommandons de vous authentifier à nouveau. Pour ce faire, cliquez avec le bouton droit sur votre instance de base de données Redshift et choisissez **Actualiser**. Une nouvelle fenêtre apparaît, dans laquelle vous pouvez vous authentifier. + Error: **Invalid scope. User credentials are not authorized to connect to Redshift.** — Suite à l'intégration d'un cluster provisionné par Redshift ou d'un groupe de travail sans serveur à AWS IAM Identity Center pour la gestion des identités, un utilisateur peut recevoir cette erreur lorsqu'il tente de se connecter à une base de données Redshift depuis l'éditeur de requêtes v2. Dans ce cas, pour que l'éditeur de requêtes v2 puisse correctement connecter et authentifier un utilisateur via AWS IAM Identity Center afin d'accéder aux ressources appropriées, un administrateur doit affecter l'utilisateur à l'application Redshift AWS IAM Identity Center via la console Redshift. Ceci est effectué dans le cadre des **Connexions IAM Identity Center**. Ensuite, l'utilisateur peut établir une connexion réussie au bout d'une heure, ce qui est la limite de mise en cache de session AWS IAM Identity Center. + Error: **Databases couldn’t be listed. FATAL: Failed query when cluster is auto paused.** — Lorsqu'une base de données Amazon Redshift Serverless est inactive et ne traite aucune charge de travail, elle peut rester suspendue lorsque vous vous connectez à une AWS identité IAM Identity Center. Pour y remédier, connectez-vous à l’aide d’une autre méthode d’authentification afin de reprendre le groupe de travail sans serveur. Connectez-vous ensuite à la base de données avec votre identité AWS IAM Identity Center. + Error: **An error occurred during the attempt to federate with AWS IAM Identity Center. Un administrateur Amazon Redshift doit supprimer et recréer l' QEV2application AWS IAM Identity Center à l'aide de la console Redshift.** — Cette erreur se produit généralement lorsque l'instance d'application AWS IAM Identity Center associée à l'éditeur de requêtes v2 est supprimée. Pour y remédier, un administrateur Amazon Redshift doit supprimer et recréer les applications Redshift et Query Editor v2 pour IAM Identity Center. AWS Cela peut être effectué sur la console Redshift ou à l’aide de la commande CLI [https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-redshift-idc-application.html](https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-redshift-idc-application.html).