Prasyarat - Amazon Redshift
Persyaratan kebijakan IAMKonfigurasi aplikasiPrasyarat Lake FormationHak istimewa Connect

Amazon Redshift tidak akan lagi mendukung pembuatan Python UDFs baru mulai Patch 198. Python yang ada UDFs akan terus berfungsi hingga 30 Juni 2026. Untuk informasi lebih lanjut, lihat posting blog.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat

Persyaratan kebijakan IAM untuk penyiapan izin federasi Amazon Redshift

Izin gabungan Amazon Redshift memungkinkan Anda mengelola akses data secara terpusat di seluruh beban kerja analitik Anda, dengan izin yang dikelola oleh gudang Redshift secara langsung.

Untuk mengaktifkan izin gabungan Amazon Redshift, izin IAM tertentu diperlukan di luar izin standar yang diperlukan untuk membuat kluster yang disediakan Redshift dan ruang nama tanpa server.

Untuk gudang yang disediakan Redshift untuk mengaktifkan izin federasi Redshift:

  • redshift:ModifyLakehouseConfiguration

  • redshift:RegisterNamespace

Untuk gudang Redshift Tanpa Server untuk mengaktifkan izin federasi Redshift:

  • redshift-serverless:UpdateLakehouseConfiguration

  • redshift:RegisterNamespace

Untuk AWS Glue Data Catalog integrasi untuk membuat katalog dengan izin federasi Redshift:

  • glue:CreateCatalog

  • glue:GetCatalog

Untuk pendaftaran sumber daya Lake Formation sebagai pendaftaran satu kali untuk mengaktifkan federasi izin Redshift dari gudang jarak jauh dengan izin federasi:

  • lakeformation:RegisterResource

  • lakeformation:RegisterResourceWithPrivilegedAccess

Konfigurasi aplikasi IAM Identity Center untuk gudang Redshift dengan izin federasi

Amazon Redshift mendukung propagasi identitas pusat identitas untuk meneruskan identitas pengguna dengan mulus antara instans dan layanan Redshift. AWS Lake Formation AWS Glue Kemampuan ini membutuhkan konfigurasi aplikasi iDC khusus.

Izin IAM yang Diperlukan

Untuk membuat dan mengelola aplikasi pusat identitas untuk propagasi identitas pusat identitas, pastikan izin IAM Anda menyertakan izin berikut:

Untuk manajemen aplikasi Amazon Redshift IDC:

  • redshift:CreateRedshiftIdcApplication

  • redshift:ModifyRedshiftIdcApplication

  • redshift:DescribeRedshiftIdcApplications

Untuk manajemen aplikasi Lake Formation IDC:

  • lakeformation:CreateLakeFormationIdentityCenterConfiguration

  • lakeformation:DescribeLakeFormationIdentityCenterConfiguration

  • lakeformation:UpdateLakeFormationIdentityCenterConfiguration

Buat aplikasi dan konfigurasi iDC yang sesuai

Untuk membuat propagasi identitas untuk beban kerja analitik Anda, buat aplikasi Amazon Redshift IDC tipe Lakehouse. Ini mengelola izin tanpa memerlukan tugas pengguna eksplisit. Gudang Redshift yang ditautkan ke aplikasi ini memerlukan hak istimewa CONNECT bagi pengguna IDC untuk mengautentikasi koneksi.

Anda hanya dapat membuat satu aplikasi Amazon Redshift IDC tipe Lakehouse per. Akun AWS Aplikasi ini menangani propagasi identitas di semua gudang Redshift yang terintegrasi dengan Lake Formation dan layanan. AWS Glue Aplikasi ini hanya dapat digunakan dengan gudang Redshift yang terdaftar di. AWS Glue Data Catalog

Siapkan peran IAM yang diasumsikan oleh Redshift dan digunakan oleh propagasi identitas IDC

Pembuatan aplikasi Redshift Lakehouse iDC memerlukan peran IAM dari akun Anda dengan izin IAM tertentu. Peran IAM Anda yang digunakan dalam Aplikasi Redshift IDc Anda harus memiliki hubungan kepercayaan berikut untuk memungkinkan Redshift mengasumsikan dan mengatur konteks untuk propagasi identitas IDC.

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "redshift-serverless.amazonaws.com",
                    "redshift.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

Dan izin di bawah ini untuk peran IDC IAM Anda untuk mendukung propagasi identitas IDC.

  • AmazonRedshiftFederatedAuthorization— Kebijakan ini memungkinkan Amazon Redshift untuk menanyakan AWS Glue Data Catalog database melalui izin federasi.

  • AWSIDC Tetapkan Kebijakan Konteks

     {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "*"
        }
    ]
}

  • Menyiapkan Redshift sebagai aplikasi AWS terkelola dengan. AWS IAM Identity Center

  • AWSIDC kebijakan SSO IAM pusat identitas:

    • sso:DescribeApplication— Diperlukan untuk membuat entri penyedia identitas (iDP) di katalog.

    • sso:DescribeInstance— Digunakan untuk membuat peran atau pengguna federasi IDP secara manual.

      {
  "Sid": "VisualEditor1",
  "Effect": "Allow",
  "Action": [
    "sso:DescribeApplication",
    "sso:DescribeInstance"
  ],
  "Resource": [
    "arn:aws:sso:::instance/<IAM Identity Center Instance ID>",
    "arn:aws:sso::<AWS-account-id>:application/<IAM Identity Center Instance ID>/*"
  ]
}

Buat aplikasi Redshift IDC tipe Lakehouse baru

CLI

Buat aplikasi Lakehouse IDC Anda dengan menentukan jenis aplikasi Lakehouse dalam create-redshift-idc-application permintaan, yang menghilangkan kebutuhan akan penugasan pengguna eksplisit di Identity Center sambil mengaktifkan persyaratan hak istimewa untuk otentikasi pengguna IDC: CONNECT

aws redshift create-redshift-idc-application \
--idc-instance-arn <your_idc_instance_arn> \
--idc-display-name '<name_of_idc_application_display_on_idc_console>' \
--iam-role-arn <idc_carrier_role_arn> \
--application-type Lakehouse \
--redshift-idc-application-name '<name_of_idc_display_on_redshift_console>' \
--service-integrations '[
        {
            "LakeFormation":[
                {
                    "LakeFormationQuery":{"Authorization": "Enabled"}
                }
            ]
        },
        {
            "Redshift":[
                {
                    "Connect" : {
                        "Authorization": "Enabled"
                    }
                }
            ]
        }
    ]'

Konfigurasi ini memungkinkan propagasi identitas tepercaya antara Redshift dan Lake Formation, memungkinkan pengguna mengakses data di seluruh layanan menggunakan kredensyal Pusat Identitas mereka tanpa penetapan izin tambahan.

Console

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/

  2. Arahkan ke halaman koneksi IAM Identity Center dan pilih Buat aplikasi.

  3. Konfigurasikan pengaturan aplikasi idc umum Anda.

  4. Pilih Konfigurasikan izin federasi Amazon Redshift menggunakan AWS IAM Identity Center (Disarankan) untuk mengatur jenis aplikasi.

  5. Integrasi propagasi identitas koneksi Lake Formation dan Redshift diaktifkan secara default.

  6. Lengkapi pengaturan cluster yang tersisa dan pilih Buat aplikasi.

Memodifikasi aplikasi Redshift IDC yang ada

Jika Anda memiliki aplikasi Redshift IDC yang tidak mengaktifkan integrasi layanan yang diperlukan, Anda dapat memperbaruinya untuk mendukung propagasi identitas antara layanan dan cluster/namespace.

CLI

Gunakan modify-redshift-idc-application perintah untuk mengaktifkan LakeFormation:query otorisasi dan Redshift:Connect otorisasi. Integrasi ini penting untuk propagasi identitas IdC lintas layanan dan lintas cluster:

aws redshift modify-redshift-idc-application \
--redshift-idc-application-arn '<arn_of_the_target_redshift_idc_application>' \
--service-integrations '[
        {
            "LakeFormation":[
                {
                    "LakeFormationQuery":{"Authorization": "Enabled"}
                }
            ]
        },
        {
            "Redshift":[
                {
                    "Connect" : {
                        "Authorization": "Enabled"
                    }
                }
            ]
        }
    ]'
Console

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/

  2. Arahkan ke halaman koneksi IAM Identity Center dan pilih aplikasi IDC yang sudah ada yang ingin Anda edit.

  3. Pilih Integrasi propagasi identitas untuk mengaktifkan dan mengonfigurasi pengaturan lain dan pilih Simpan perubahan.

Buat konfigurasi pusat identitas Lake Formation

Layanan Lake Formation Anda memerlukan aplikasi IDC khusus jika belum dibuat. Anda juga harus mengaktifkan Redshift:Connect otorisasi agar konfigurasi berfungsi dengan baik.

CLI

Gunakan create-lake-formation-identity-center-configuration perintah untuk mengaktifkan Redshift:Connect otorisasi. Integrasi ini penting untuk Lake Formation menyebarkan identitas IDC ke cluster Redshift dan Ruang Nama Tanpa Server Redshift

aws lakeformation  create-lake-formation-identity-center-configuration \
--instance-arn <your_idc_instance_arn> \
--service-integrations '[{
  "Redshift": [{
    "RedshiftConnect": {
      "Authorization": "ENABLED"
    }
  }]
}]'
Console

  1. Masuk ke Konsol Manajemen AWS, dan buka konsol Lake Formation di https://console.aws.amazon.com/lakeformation/.

  2. Di panel navigasi kiri, pilih integrasi Pusat Identitas IAM.

  3. Pada halaman integrasi Pusat Identitas IAM, Anda dapat mengaktifkan propagasi identitas tepercaya untuk koneksi Amazon Redshift. Lake Formation menyebarkan identitas ke hilir berdasarkan izin yang efektif, sehingga aplikasi yang berwenang dapat mengakses data atas nama pengguna.

Perbarui konfigurasi pusat identitas Lake Formation

Jika Anda telah mengonfigurasi aplikasi Lake Formation IDC yang tidak mengaktifkan integrasi layanan yang diperlukan, Anda dapat memperbaruinya untuk mendukung propagasi identitas antara layanan dan cluster/ruang nama.

CLI

Gunakan update-lake-formation-identity-center-configuration perintah untuk mengaktifkan Redshift:Connect otorisasi. Integrasi ini penting untuk propagasi identitas IdC lintas layanan dan lintas cluster:

aws lakeformation update-lake-formation-identity-center-configuration \
--service-integrations '[{                                                            
  "Redshift": [{
    "RedshiftConnect": {
      "Authorization": "ENABLED"
    }
  }]
}]'
Console

  1. Masuk ke Konsol Manajemen AWS, dan buka konsol Lake Formation di https://console.aws.amazon.com/lakeformation/.

  2. Di panel navigasi kiri, pilih integrasi Pusat Identitas IAM.

  3. Pada halaman integrasi Pusat Identitas IAM, Anda dapat mengaktifkan propagasi identitas tepercaya untuk koneksi Amazon Redshift. Lake Formation menyebarkan identitas ke hilir berdasarkan izin yang efektif, sehingga aplikasi yang berwenang dapat mengakses data atas nama pengguna.

Prasyarat Lake Formation

Pelanggan memerlukan CREATE_CATALOG izin Lake Formation untuk mengaktifkan AWS Glue Data Catalog dengan izin federasi Amazon Redshift.

  1. Jika akun milik pelanggan Lake Formation yang ada, administrator Lake Formation harus secara eksplisit memberikan izin CREATE_CATALOG kepada setiap pembuat klaster. Gunakan contoh perintah CLI berikut:

    aws lakeformation grant-permissions \
    --cli-input-json \
    '{
        "Principal": {
            "DataLakePrincipalIdentifier": "<PrincipalArn>"
        },
        "Resource": {
            "Catalog": {}
        },
        "Permissions": [
            "CREATE_CATALOG"
        ]
    }'

  2. Jika akun belum pernah menggunakan Lake Formation, verifikasi bahwa Pembuat Katalog disetel ke IAMAllowed Prinsipal di halaman Peran Administratif dan Tugas di konsol Lake Formation. Jika tidak dikonfigurasi, siapkan Administrator Data Lake dengan mengikuti administrator Buat data lake. Atau, Anda dapat membuat Administrator Data Lake dengan kebijakan minimum yang diperlukan jika Anda hanya akan menggunakan AWS Glue Data Catalog dengan izin federasi Amazon Redshift.

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "lakeformation:PutDataLakeSettings",
                "lakeformation:GrantPermissions",
                "lakeformation:GetDataLakeSettings",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:ListPermissions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  3. Minta izin pemberian DataLake Admin ke IAMAllowed Prinsipal untuk Membuat Katalog. Akses dapat diberikan melalui tombol Hibah untuk Pembuat Katalog di halaman Peran dan Tugas Administratif.

Hak istimewa Connect

Sebagai bagian dari izin federasi Amazon Redshift, Amazon Redshift telah memperkenalkan hak istimewa CONNECT untuk mengelola akses AWS IAM Identity Center pengguna federasi ke grup kerja atau cluster Amazon Redshift. Fitur ini tersedia saat izin federasi Amazon Redshift diaktifkan di workgroup atau cluster.

Hak istimewa ini memungkinkan administrator untuk mengontrol akses pengguna melalui izin terperinci di setiap grup kerja Amazon Redshift atau cluster tempat izin federasi Amazon Redshift diaktifkan. Administrator Amazon Redshift dapat menentukan pengguna atau grup AWS IAM Identity Center federasi mana yang memiliki akses untuk terhubung langsung ke workgroup atau cluster Amazon Redshift, memberikan kontrol halus atas akses pengguna di setiap workgroup atau cluster. AWS IAM Identity Center

Sintaksis

GRANT CONNECT [ON WORKGROUP]
TO [USER] <prefix>:<username> | ROLE <prefix>:<rolename> | PUBLIC;
SAMBUNGKAN [PADA KELOMPOK KERJA]

Memberikan izin untuk terhubung ke workgroup. Izin CONNECT hanya berlaku untuk AWS IAM Identity Center identitas (pengguna dan peran).

UNTUK<prefix>: <username>

Menunjukkan pengguna AWS IAM Identity Center federasi yang menerima izin.

UNTUK PERAN<prefix>: <rolename>

Menunjukkan grup AWS IAM Identity Center federasi yang menerima izin.

UMUM

Memberikan izin CONNECT ke semua pengguna AWS IAM Identity Center federasi, termasuk pengguna yang dibuat nanti.