Identity and Access Management dans Amazon Redshift - Amazon Redshift
Authentification par des identitésContrôle d’accès

Amazon Redshift ne prendra plus en charge la création de nouvelles fonctions Python définies par l’utilisateur à compter du 1er novembre 2025. Si vous souhaitez utiliser des fonctions Python définies par l’utilisateur, créez-les avant cette date. Les fonctions Python définies par l’utilisateur existantes continueront de fonctionner normalement. Pour plus d’informations, consultez le billet de blog .

Identity and Access Management dans Amazon Redshift

L’accès à Amazon Redshift nécessite des informations d’identification qu’AWS peut utiliser pour authentifier vos demandes. Ces informations d’identification doivent disposer d’autorisations pour accéder aux ressources AWS, telles qu’un cluster Amazon Redshift. Les sections suivantes fournissent des détails sur la façon dont vous pouvez utiliser AWS Identity and Access Management (IAM) et Amazon Redshift pour contribuer à sécuriser vos ressources en contrôlant qui peut y accéder :

Important

Cette rubrique contient un ensemble de bonnes pratiques pour la gestion des autorisations, des identités et des accès sécurisés. Nous vous recommandons de vous familiariser avec les bonnes pratiques d’utilisation de l’IAM avec Amazon Redshift. Il s’agit notamment d’utiliser les rôles IAM pour l’application des autorisations. Une bonne compréhension de ces sections vous aidera à maintenir un entrepôt des données Amazon Redshift plus sûr.

Authentification par des identités

L’authentification correspond au processus par lequel vous vous connectez à AWS avec vos informations d’identification. Vous devez vous authentifier en tant qu’Utilisateur racine d'un compte AWS, en tant qu’utilisateur IAM ou en endossant un rôle IAM.

Vous pouvez vous connecter en tant qu’identité fédérée en utilisant les informations d’identification provenant d’une source d’identité telle que AWS IAM Identity Center (IAM Identity Center), l’authentification unique ou les informations d’identification Google/Facebook. Pour plus d’informations sur la connexion, consultez Connexion à votre Compte AWS dans le Guide de l’utilisateur Connexion à AWS.

Pour l’accès par programmation, AWS fournit un kit SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez Signature AWS Version 4 pour les demandes d’API dans le Guide de l’utilisateur IAM.

Utilisateur racine Compte AWS

Lorsque vous créez un Compte AWS, vous commencez avec une seule identité de connexion nommée utilisateur racine du Compte AWS, qui bénéficie d’un accès complet à tous les Services AWS et toutes les ressources du compte. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez Tâches qui requièrent les informations d’identification de l’utilisateur racine dans le Guide de l’utilisateur IAM.

Utilisateurs et groupes IAM

Un utilisateur IAM est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d’informations, consultez Exiger des utilisateurs humains qu’ils utilisent une fédération avec un fournisseur d’identité pour accéder à AWS en utilisant des informations d’identification temporaires dans le Guide de l’utilisateur IAM.

Les groupes IAM spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez la section Cas d’utilisation pour les utilisateurs IAM dans le Guide de l’utilisateur IAM.

Rôles IAM

Un rôle IAM est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Pour endosser un rôle, passez d’un utilisateur à un rôle IAM (console) ou appelez une AWS CLI ou une opération d’API AWS. Pour plus d’informations, consultez Méthodes pour endosser un rôle dans le Guide de l’utilisateur IAM.

Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès entre comptes, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez Accès intercompte aux ressources dans IAM dans le Guide de l’utilisateur IAM.

Note

Les transferts de sessions d’accès (FAS) de Redshift sont valides pendant 12 heures uniquement. Après cette période, toute session de connexion utilisant le transfert de sessions d’accès pour intégrer d’autres services doit être rétablie.

Contrôle d’accès

Vous pouvez disposer d’informations d’identification valides pour authentifier vos demandes, mais à moins d’avoir des autorisations, vous ne pouvez pas créer ou accéder aux ressources Amazon Redshift. Par exemple, vous devez disposer des autorisations nécessaires pour créer un cluster Amazon Redshift, créer un instantané, ajouter un abonnement à un événement, etc.

Les sections suivantes décrivent comment gérer les autorisations pour Amazon Redshift. Nous vous recommandons de lire d’abord la présentation.