Orientasi - Amazon Redshift
Pendaftaran klaster RedshiftRegistrasi namespace Redshift Tanpa ServerAktifkan propagasi AWS IAM Identity Center identitasMENGUBAH IDENTITAS GLOBAL YANG DITETAPKAN PENGGUNA

Amazon Redshift tidak akan lagi mendukung pembuatan Python UDFs baru mulai 1 November 2025. Jika Anda ingin menggunakan Python UDFs, buat UDFs sebelum tanggal tersebut. Python yang ada UDFs akan terus berfungsi seperti biasa. Untuk informasi lebih lanjut, lihat posting blog.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Orientasi

Pendaftaran klaster Redshift

Redshift mendukung pembuatan cluster baru atau memulihkan cluster dari snapshot dengan registrasi AWS Glue Data Catalog (GDC). Anda dapat menentukan bagian nama katalog GDC dari pendaftaran ini. Untuk mendukung propagasi identitas IDC, Anda dapat menentukan aplikasi Redshift IDC tipe Lakehouse untuk mengaktifkan propagasi identitas IDC.

Buat cluster baru dengan pendaftaran katalog data Glue

CLI

Untuk secara otomatis mendaftarkan klaster Anda yang baru dibuat dengan Data Catalog, berikan nama katalog yang akan digunakan untuk membuat dan mendaftarkan Katalog Data Anda. redshift-idc-application-arnParameternya opsional - sertakan jika Anda ingin menautkan cluster Anda dengan Aplikasi Redshift IDC tipe Lakehouse. Anda juga dapat membuat asosiasi aplikasi IDC ini di lain waktu.

aws redshift create-cluster \
    --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/

  2. Arahkan ke dasbor cluster yang disediakan dan pilih Buat klaster.

  3. Konfigurasikan pengaturan cluster umum Anda.

  4. Di AWS Glue Data Catalog bagian Daftar dengan, pilih Daftar dengan izin federasi Amazon Redshift.

    • Masukkan pengenal nama katalog.

    • (Disarankan) Pilih izin federasi Amazon Redshift yang digunakan untuk AWS IAM Identity Center mengaitkan dengan aplikasi Redshift IDC.

  5. Selesaikan pengaturan cluster yang tersisa dan pilih Buat cluster.

Kembalikan cluster baru dengan AWS Glue Data Catalog registrasi

CLI

Untuk mengembalikan snapshot ke cluster baru dengan AWS Glue Data Catalog integrasi, berikan nama katalog yang akan digunakan untuk membuat dan mendaftarkan katalog Anda. AWS Glue redshift-idc-application-arnParameternya opsional - sertakan jika Anda ingin menautkan cluster Anda dengan Aplikasi Redshift IDC tipe Lakehouse. Anda juga dapat membuat asosiasi asplikasi IDC ini di lain waktu.

aws redshift restore-from-cluster-snapshot \
   --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --snapshot-identifier 'redshift-cluster-snapshot' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/

  2. Arahkan ke halaman snapshot yang disediakan. Dari tabel snapshots, pilih Restore to provisioned cluster dari menu drop-down Restore snapshot.

  3. Konfigurasikan pengaturan cluster umum.

  4. Di AWS Glue Data Catalog bagian Daftar dengan, pilih Daftar dengan izin federasi Amazon Redshift.

    • Masukkan pengenal nama katalog.

    • (Disarankan) Pilih izin federasi Amazon Redshift yang digunakan untuk AWS IAM Identity Center mengaitkan dengan aplikasi Redshift IDC.

  5. Selesaikan pengaturan cluster yang tersisa dan pilih Buat cluster.

Ubah cluster yang ada dengan AWS Glue Data Catalog registrasi

Jika klaster Redshift Anda sudah dikaitkan dengan Aplikasi Redshift IDC tipe non-lakehouse, hal berikut terjadi saat pendaftaran: AWS Glue Data Catalog

  • Jika tidak ada ARN Aplikasi Redshift IDC yang disediakan, Aplikasi Redshift idC yang ada di katalog Anda akan disetel ke status dinonaktifkan.

  • Ketika Aplikasi Redshift idC tipe Lakehouse dari AWS IAM Identity Center instance yang berbeda ditentukan, penyedia idC saat ini menjadi dinonaktifkan

  • Saat Aplikasi Redshift IDC tipe Lakehouse dari instance yang sama disediakan AWS IAM Identity Center

    • ARN Aplikasi Redshift IDC di katalog Anda akan diubah menjadi ARN dari Aplikasi Redshift IDC tipe Lakehouse. Katalog yang diperbarui dapat diperiksa dengan menanyakan svv_identity_providers. Untuk informasi selengkapnya tentang svv_identity_providers, lihat svv_identity_providers.

    • AWS IAM Identity Centerpengguna federasi yang sebelumnya memiliki akses ke kluster Redshift, harus secara eksplisit diberikan hak istimewa CONNECT oleh Admin untuk mengakses cluster. Untuk informasi selengkapnya tentang pemberian hak istimewa CONNECT, lihat. Hak istimewa Connect

    • Setelah mendaftarAWS Glue Data Catalog, identitas AWS IAM Identity Center federasi Anda yang ada dan sumber daya milik mereka tetap tidak berubah. Asosiasi namespace untuk identitas federasi ini juga dipertahankan.

CLI

Anda dapat menggunakan modify-lakehouse-configuration perintah untuk mendaftarkan cluster Anda keAWS Glue Data Catalog, yang catalog-name digunakan untuk membuat dan mendaftarkan AWS Glue katalog Anda. Untuk mendukung propagasi identitas IDC, tentukan arn tipe lakehouse Anda, RedshiftIdcApplication ini memerlukan Aplikasi Redshift IDC tipe Lakehouse, silakan lihat Buat aplikasi Redshift IDC tipe Lakehouse baru: Konfigurasi Aplikasi Pusat Identitas untuk Gudang Pergeseran Merah dengan izin federasi.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/

  2. Arahkan ke klaster yang disediakan yang ingin Anda daftarkan dan pilih.

  3. Dari halaman detail cluster, pilih Daftar dengan AWS Glue Data Catalog dari menu tarik-turun Tindakan.

  4. Pilih Daftar dengan opsi izin federasi Amazon Redshift dan

    • Masukkan pengenal nama katalog.

    • (Disarankan) Pilih izin federasi Amazon Redshift menggunakan untuk AWS IAM Identity Center mengaitkan dengan aplikasi Redshift IDC dan pilih Daftar.

Registrasi namespace Redshift Tanpa Server

Redshift Tanpa Server memungkinkan ruang nama Tanpa Server yang dilampirkan grup kerja untuk mendaftar. AWS Glue Data Catalog Perhatikan bahwa database Anda akan restart selama pembaruan ini.

Jika Namespace Tanpa Server Redshift Anda sudah dikaitkan dengan Aplikasi Redshift IDC tipe non-lakehouse, hal berikut terjadi selama pendaftaran Glue Data Catalog:

  • Jika tidak ada ARN Aplikasi Redshift IDC yang disediakan, Aplikasi Redshift idC yang ada di katalog Anda akan disetel ke status dinonaktifkan.

  • Ketika Aplikasi Redshift idC tipe Lakehouse dari AWS IAM Identity Center instance yang berbeda ditentukan, penyedia idC saat ini menjadi dinonaktifkan

  • Saat Aplikasi Redshift IDC tipe Lakehouse dari instance yang sama disediakan AWS IAM Identity Center

    • ARN Aplikasi Redshift IDC di katalog Anda akan diubah menjadi ARN dari Aplikasi Redshift IDC tipe Lakehouse. Katalog yang diperbarui dapat diperiksa dengan menanyakan svv_identity_providers. Untuk informasi selengkapnya tentang svv_identity_providers, lihat svv_identity_providers.

    • AWS IAM Identity Centerpengguna federasi yang sebelumnya memiliki akses ke kluster Redshift, harus secara eksplisit diberikan hak istimewa CONNECT oleh Admin untuk mengakses cluster. Untuk informasi selengkapnya tentang pemberian hak istimewa CONNECT, lihat. Hak istimewa Connect

    • Setelah mendaftarAWS Glue Data Catalog, identitas AWS IAM Identity Center federasi Anda yang ada dan sumber daya milik mereka tetap tidak berubah. Asosiasi namespace untuk identitas federasi ini juga dipertahankan.

CLI

Anda dapat menggunakan update-lakehouse-configuration perintah untuk mendaftarkan namespace Redshift Serverless Anda keAWS Glue Data Catalog, yang digunakan untuk membuat dan mendaftarkan catalog-name katalog lem Anda. Untuk mendukung propagasi identitas IDC, tentukan arn Aplikasi Redshift Idc tipe Lakehouse.

aws redshift-serverless update-lakehouse-configuration \
    --namespace-name 'serverless-namespace-name' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17'
Console

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/

  2. Arahkan ke klaster yang disediakan yang ingin Anda daftarkan dan pilih.

  3. Dari halaman detail cluster, pilih Daftar dengan AWS Glue Data Catalog dari menu tarik-turun Tindakan.

  4. Pilih Daftar dengan opsi izin federasi Amazon Redshift dan

    • Masukkan pengenal nama katalog.

    • (Disarankan) Pilih izin federasi Amazon Redshift menggunakan untuk AWS IAM Identity Center mengaitkan dengan aplikasi Redshift IDC dan pilih Daftar.

Aktifkan propagasi AWS IAM Identity Center identitas

Amazon Redshift mendukung propagasi identitas Pusat Identitas (IDC) untuk meneruskan identitas pengguna IDC dengan mulus antara instans Redshift dan layanan/. AWS Lake Formation AWS Glue

Prasyarat

  • Anda telah membuat Aplikasi Amazon Redshift IDC tipe Lakehouse, lihat AWS IAM Identity Centerkonfigurasi aplikasi untuk gudang Redshift dengan izin federasi.

  • Anda memiliki Cluster Amazon Redshift atau Ruang Nama Tanpa Server Amazon Redshift yang terdaftar. AWS Glue Data Catalog

    • Redshift Serverless Namespace memerlukan workgroup yang dilampirkan untuk melakukan operasi terkait.

Jika Redshift Cluster atau Redshift Serverless Namespace Anda sudah dikaitkan dengan Aplikasi Redshift IDC jenis selain Lakehouse, hal berikut terjadi saat pendaftaran: AWS Glue Data Catalog

  • Jika tidak ada ARN Aplikasi Redshift IDC yang disediakan, Aplikasi Redshift idC yang ada di katalog Anda akan disetel ke status dinonaktifkan.

  • Ketika Aplikasi Redshift idC tipe Lakehouse dari AWS IAM Identity Center instance yang berbeda ditentukan, penyedia idC saat ini menjadi dinonaktifkan

  • Saat Aplikasi Redshift IDC tipe Lakehouse dari instance yang sama disediakan AWS IAM Identity Center

    • ARN Aplikasi Redshift IDC di katalog Anda akan diubah menjadi ARN dari Aplikasi Redshift IDC tipe Lakehouse. Katalog yang diperbarui dapat diperiksa dengan menanyakan svv_identity_providers. Untuk informasi selengkapnya tentang svv_identity_providers, lihat svv_identity_providers.

    • AWS IAM Identity Centerpengguna federasi yang sebelumnya memiliki akses ke kluster Redshift, harus secara eksplisit diberikan hak istimewa CONNECT oleh Admin untuk mengakses cluster. Untuk informasi selengkapnya tentang pemberian hak istimewa CONNECT, lihat. Hak istimewa Connect

    • Setelah mendaftarAWS Glue Data Catalog, identitas AWS IAM Identity Center federasi Anda yang ada dan sumber daya milik mereka tetap tidak berubah. Asosiasi namespace untuk identitas federasi ini juga dipertahankan.

Aktifkan propagasi AWS IAM Identity Center identitas untuk klaster yang disediakan Amazon Redshift

Untuk Cluster Penyediaan Amazon Redshift yang mendaftarkan namespace-nya, ia AWS Glue Data Catalog memerlukan Aplikasi IdC Amazon Redshift Amazon Lakehouse yang tidak memerlukan penetapan pengguna AWS IAM Identity Center Identitas secara eksplisit ke aplikasi, hak istimewa login pengguna iDC dikelola oleh hak istimewa CONNECT di gudang Redshift.

CLI

Anda dapat menggunakan modify-lakehouse-configuration perintah untuk mengaktifkan propagasi identitas IDC untuk cluster Anda dengan izin federasi Redshift, tentukan arn tipe lakehouse Anda, RedshiftIdcApplication ini memerlukan Aplikasi Redshift Lakehouse IDC silakan lihat Buat aplikasi Redshift IDC tipe Lakehouse baru: Konfigurasi Aplikasi Pusat Identitas untuk Gudang Redshift dengan izin federasi.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/

  2. Arahkan ke klaster yang disediakan yang ingin Anda daftarkan dan pilih.

  3. Dari halaman detail cluster, pilih Daftar dengan AWS Glue Data Catalog dari menu tarik-turun Tindakan.

  4. Pilih Aktifkan dari izin federasi Amazon Redshift menggunakan AWS IAM Identity Center drop-down untuk mengaitkan aplikasi IDC dan pilih Simpan perubahan.

Aktifkan propagasi AWS IAM Identity Center identitas untuk ruang nama Amazon Redshift Tanpa Server

CLI

Anda dapat menggunakan modify-lakehouse-configuration perintah untuk mengaktifkan propagasi identitas IDC untuk namespace Anda dengan izin federasi Redshift, tentukan arn tipe lakehouse Anda RedshiftIdcApplication, ini memerlukan Aplikasi Redshift Lakehouse IDC silakan lihat Buat aplikasi Redshift IDC tipe Lakehouse baru: Konfigurasi Aplikasi Pusat Identitas untuk Gudang Redshift dengan izin federasi.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/

  2. Arahkan ke namespace tanpa server yang ingin Anda edit registrasi dan pilih.

  3. Dari halaman detail klaster, pilih Edit AWS Glue Data Catalog pendaftaran dari menu tarik-turun Tindakan.

  4. Pilih Aktifkan dari izin federasi Amazon Redshift menggunakan AWS IAM Identity Center drop-down untuk mengaitkan aplikasi IDC dan pilih Simpan perubahan.

MENGUBAH IDENTITAS GLOBAL YANG DITETAPKAN PENGGUNA

Selain IAM dan AWS IAM Identity Center kredensyal, pengguna yang menjalankan kueri terhadap Redshift Warehouses dengan izin federasi dapat mengautentikasi menggunakan peran IAM. Superuser dapat mengatur peran IAM untuk pengguna non-federasi lain untuk mengasosiasikan secara otomatis pada pembentukan sesi, dan peran IAM ini akan diasumsikan saat membuat kueri terhadap Gudang Redshift dengan Izin Federasi. Fungsionalitas ini disediakan untuk memungkinkan pengguna AWS IDC mengautentikasi secara non-interaktif.

Fitur ini berguna untuk kasus penggunaan berikut:

  • Pelanggan yang memiliki pengaturan besar dan kompleks dengan pengguna gudang lokal yang ada selain pengguna dengan identitas global.

  • Pelanggan yang menggunakan IDC, tetapi yang ingin dapat masuk secara otomatis tanpa tindakan browser interaktif untuk masuk.

Persyaratan dan pembatasan:

  • Hanya pengguna super yang dapat mengatur peran IAM denganALTER USER.

  • Peran IAM harus dilampirkan ke cluster.

  • Peran IAM harus memiliki izin untuk mengakses sumber daya yang diperlukan untuk menjalankan kueri di gudang Redshift dengan izin federasi. Sebaiknya gunakan kebijakan AmazonRedshiftFederatedAuthorization AWS terkelola.

  • Pengguna yang mengautentikasi melalui peran IAM IDENTITAS GLOBAL dapat menanyakan tampilan di Gudang Redshift dengan Izin Federasi, tetapi tidak dapat MEMBUAT, MENGUBAH, MENYEGARKAN, atau MENJATUHKANNYA.

Sintaksis

Sintaks berikut menjelaskan ALTER USER SET GLOBAL IDENTITY perintah yang digunakan untuk mengatur peran IAM bagi pengguna database non-federasi untuk menjalankan kueri terhadap Redshift Warehouses with Federated Permissions.

ALTER USER username SET
GLOBAL IDENTITY IAM_ROLE 'arn:aws:iam::<AWS-account-id>:role/<role-name>'

Sekarang ketika diautentikasi sebagai pengguna target (dengan menghubungkan langsung sebagaiusername, atau dengan menggunakan SET SESSION AUTHORIZATION), Anda dapat memeriksa peran identitas global menggunakan

SHOW GLOBAL IDENTITY

Catatan, peran identitas global dikaitkan dengan pengguna pada pembentukan sesi. Jika Anda menyetel identitas global untuk pengguna yang saat ini masuk, pengguna tersebut perlu menyambung kembali agar identitas global diterapkan.

Perintah berikut dapat digunakan untuk menghapus peran IAM terkait.

ALTER USER username RESET GLOBAL IDENTITY

Parameter

nama pengguna

Nama pengguna. Tidak dapat menjadi pengguna federasi, seperti pengguna IAM atau pengguna AWS IDC.

<account-id><role-name>IAM_ROLE 'arn:aws:iam: ::peran/ '

Gunakan Amazon Resource Name (ARN) untuk peran IAM yang digunakan klaster Anda untuk autentikasi dan otorisasi saat pengguna menjalankan username kueri di gudang Redshift dengan izin federasi. Peran ini harus memiliki izin yang diperlukan untuk menjalankan kueri. Kami merekomendasikan menggunakan Kebijakan AmazonRedshiftFederatedAuthorization AWS Terkelola.