Amazon Redshift tidak akan lagi mendukung pembuatan Python UDFs baru mulai Patch 198. Python yang ada UDFs akan terus berfungsi hingga 30 Juni 2026. Untuk informasi lebih lanjut, lihat [posting blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Federasi penyedia identitas asli (iDP) untuk Amazon Redshift Mengelola identitas dan izin untuk Amazon Redshift menjadi lebih mudah dengan federasi penyedia identitas asli karena memanfaatkan penyedia identitas yang ada untuk menyederhanakan autentikasi dan mengelola izin. Ini dilakukan dengan memungkinkan untuk berbagi metadata identitas ke Redshift dari penyedia identitas Anda. Untuk iterasi pertama fitur ini, penyedia identitas yang didukung adalah [Microsoft Azure Active Directory (Azure](https://azure.microsoft.com/en-us/services/active-directory/) AD). Untuk mengonfigurasi Amazon Redshift sehingga dapat mengautentikasi identitas dari penyedia identitas pihak ketiga, Anda mendaftarkan penyedia identitas dengan Amazon Redshift. Melakukan hal ini memungkinkan Redshift untuk mengautentikasi pengguna dan peran yang ditentukan oleh penyedia identitas. Dengan demikian Anda dapat menghindari keharusan melakukan manajemen identitas terperinci di penyedia identitas pihak ketiga Anda dan di Amazon Redshift, karena informasi identitas dibagikan. *Untuk informasi tentang penggunaan peran sesi yang ditransfer dari grup penyedia identitas (IDP), lihat [PG\$1GET\$1SESSION\$1ROLES](https://docs.aws.amazon.com/redshift/latest/dg/PG_GET_SESSION_ROLES.html) di Panduan Pengembang Database Amazon Redshift.* ## Federasi penyedia identitas asli (iDP) Untuk menyelesaikan penyiapan awal antara penyedia identitas dan Amazon Redshift, Anda melakukan beberapa langkah: Pertama, Anda mendaftarkan Amazon Redshift sebagai aplikasi pihak ketiga dengan penyedia identitas Anda, meminta izin API yang diperlukan. Kemudian Anda membuat pengguna dan grup di penyedia identitas. Terakhir, Anda mendaftarkan penyedia identitas dengan Amazon Redshift, menggunakan pernyataan SQL, yang menetapkan parameter otentikasi yang unik untuk penyedia identitas. Sebagai bagian dari mendaftarkan penyedia identitas dengan Redshift, Anda menetapkan namespace untuk memastikan pengguna dan peran dikelompokkan dengan benar. Dengan penyedia identitas yang terdaftar di Amazon Redshift, komunikasi diatur antara Redshift dan penyedia identitas. Klien kemudian dapat meneruskan token dan mengautentikasi ke Redshift sebagai entitas penyedia identitas. Amazon Redshift menggunakan informasi keanggotaan grup IDP untuk memetakan ke peran Redshift. Jika pengguna sebelumnya tidak ada di Redshift, pengguna dibuat. Peran dibuat yang memetakan ke grup penyedia identitas, jika tidak ada. Administrator Amazon Redshift memberikan izin pada peran, dan pengguna dapat menjalankan kueri dan melakukan tugas database lainnya. Langkah-langkah berikut menguraikan cara kerja federasi penyedia identitas asli, saat pengguna masuk: 1. Ketika pengguna log in menggunakan opsi iDP asli, dari klien, token penyedia identitas dikirim dari klien ke driver. 1. Pengguna diautentikasi. Jika pengguna belum ada di Amazon Redshift, pengguna baru akan dibuat. Redshift memetakan grup penyedia identitas pengguna ke peran Redshift. 1. Izin ditetapkan, berdasarkan peran Redshift pengguna. Ini diberikan kepada pengguna dan peran oleh administrator. 1. Pengguna dapat menanyakan Redshift. ## Alat klien desktop Untuk petunjuk tentang cara menggunakan federasi penyedia identitas asli untuk terhubung ke Amazon Redshift dengan Power BI, lihat posting blog [Mengintegrasikan federasi iDP asli Amazon Redshift dengan Microsoft Azure Active Directory](https://aws.amazon.com/blogs/big-data/integrate-amazon-redshift-native-idp-federation-with-microsoft-azure-ad-and-power-bi/) (AD) dan Power BI. Ini menjelaskan step-by-step implementasi penyiapan iDP asli Amazon Redshift dengan Azure AD. Ini merinci langkah-langkah untuk mengatur koneksi klien untuk Power BI Desktop atau layanan Power BI. Langkah-langkahnya meliputi pendaftaran aplikasi, mengonfigurasi izin, dan mengonfigurasi kredensil. Untuk mempelajari cara mengintegrasikan federasi iDP asli Amazon Redshift dengan Azure AD, menggunakan Power BI Desktop dan JDBC Client-SQL Workbench/J, tonton video berikut: [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/S3MQLvZ-NiI/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/S3MQLvZ-NiI) Untuk petunjuk tentang cara menggunakan federasi penyedia identitas asli untuk terhubung ke Amazon Redshift dengan klien SQL, khususnya DBeaver atau SQL Workbench/J, lihat posting blog Mengintegrasikan federasi [iDP asli Amazon Redshift](https://aws.amazon.com/blogs/big-data/integrate-amazon-redshift-native-idp-federation-with-microsoft-azure-ad-using-a-sql-client/) dengan Microsoft Azure AD menggunakan klien SQL. ## Batasan Keterbatasan ini berlaku: + Dukungan driver Amazon Redshift `BrowserIdcAuthPlugin` mulai dari versi berikut: + Driver Amazon Redshift JDBC v2.1.0.30 + Driver Amazon Redshift ODBC v2.1.3 + Driver Amazon Redshift Python v2.1.3 + Dukungan driver Amazon Redshift `IdpTokenAuthPlugin` mulai dari versi berikut: + Driver Amazon Redshift JDBC v2.1.0.19 + Driver Amazon Redshift ODBC v2.0.0.9 + Driver Amazon Redshift Python v2.0.914 + **Tidak ada dukungan untuk VPC yang disempurnakan — VPC** yang disempurnakan tidak didukung saat Anda mengonfigurasi propagasi identitas tepercaya Redshift dengan IAM Identity Center. AWS Untuk informasi selengkapnya tentang VPC yang disempurnakan, lihat Perutean [VPC yang Ditingkatkan di](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) Amazon Redshift. + **AWS Caching Pusat Identitas IAM - Pusat** Identitas AWS IAM menyimpan informasi sesi cache. Ini dapat menyebabkan masalah akses yang tidak dapat diprediksi saat Anda mencoba terhubung ke database Redshift Anda melalui editor kueri Redshift v2. Ini karena sesi Pusat AWS Identitas IAM terkait di editor kueri v2 tetap valid, bahkan dalam kasus di mana pengguna database keluar dari AWS konsol. Cache kedaluwarsa setelah satu jam, yang biasanya memperbaiki masalah apa pun. # Menyiapkan penyedia identitas di Amazon Redshift Bagian ini menunjukkan langkah-langkah untuk mengonfigurasi penyedia identitas dan Amazon Redshift untuk menjalin komunikasi bagi federasi penyedia identitas asli. Anda memerlukan akun aktif dengan penyedia identitas Anda. Sebelum mengonfigurasi Amazon Redshift, Anda mendaftarkan Redshift sebagai aplikasi dengan penyedia identitas Anda, memberikan persetujuan administrator. Selesaikan langkah-langkah berikut di Amazon Redshift: 1. Anda menjalankan pernyataan SQL untuk mendaftarkan penyedia identitas, termasuk deskripsi metadata aplikasi Azure. **Untuk membuat penyedia identitas di Amazon Redshift, jalankan perintah berikut setelah mengganti nilai parameter *issuer*, *client\$1id, client\$1secret*, dan audience.** Parameter ini khusus untuk Microsoft Azure AD. Ganti nama penyedia identitas dengan nama yang Anda pilih, dan ganti namespace dengan nama unik untuk memuat pengguna dan peran dari direktori penyedia identitas Anda. ``` CREATE IDENTITY PROVIDER oauth_standard TYPE azure NAMESPACE 'aad' PARAMETERS '{ "issuer":"https://sts.windows.net/2sdfdsf-d475-420d-b5ac-667adad7c702/", "client_id":"", "client_secret":"BUAH~ewrqewrqwerUUY^%tHe1oNZShoiU7", "audience":["https://analysis.windows.net/powerbi/connector/AmazonRedshift"] }' ``` Jenis ini `azure` menunjukkan bahwa penyedia secara khusus memfasilitasi komunikasi dengan Microsoft Azure AD. Ini adalah satu-satunya penyedia identitas pihak ketiga yang didukung. + *penerbit* - ID penerbit untuk dipercaya ketika token diterima. Pengidentifikasi unik untuk *tenant\$1id* ditambahkan ke penerbit. + *client\$1id* - Pengidentifikasi publik yang unik dari aplikasi yang terdaftar dengan penyedia identitas. Ini dapat disebut sebagai ID aplikasi. + *client\$1secret* - Pengidentifikasi rahasia, atau kata sandi, yang hanya diketahui oleh penyedia identitas dan aplikasi terdaftar. + *audiens* - ID Aplikasi yang ditugaskan ke aplikasi di Azure. Alih-alih menggunakan rahasia klien bersama, Anda dapat mengatur parameter untuk menentukan sertifikat, kunci pribadi, dan kata sandi kunci pribadi saat membuat penyedia identitas. ``` CREATE IDENTITY PROVIDER example_idp TYPE azure NAMESPACE 'example_aad' PARAMETERS '{"issuer":"https://sts.windows.net/2sdfdsf-d475-420d-b5ac-667adad7c702/", "client_id":"", "audience":["https://analysis.windows.net/powerbi/connector/AmazonRedshift"], "client_x5t":"", "client_pk_base64":"", "client_pk_password":"test_password"}'; ``` Kata sandi kunci pribadi, *client\$1pk\$1password, adalah opsional*. 1. Opsional: Jalankan perintah SQL di Amazon Redshift untuk membuat pengguna dan peran sebelumnya. Ini memfasilitasi pemberian izin terlebih dahulu. Nama peran di Amazon Redshift adalah seperti berikut:*: < GroupName pada Azure* AD>. Misalnya, ketika Anda membuat grup di Microsoft Azure AD dipanggil `rsgroup` dan namespace dipanggil`aad`, nama peran adalah. `aad:rsgroup` Nama pengguna dan peran di Amazon Redshift ditentukan dari nama pengguna dan keanggotaan grup ini di namespace penyedia identitas. Pemetaan untuk peran dan pengguna termasuk memverifikasi `external_id` nilainya, untuk memastikannya mutakhir. ID eksternal memetakan ke pengenal grup atau pengguna di penyedia identitas. Misalnya, ID eksternal peran memetakan ke ID grup Azure AD yang sesuai. Demikian pula, ID eksternal setiap pengguna memetakan ke ID mereka di penyedia identitas. ``` create role "aad:rsgroup"; ``` 1. Berikan izin yang relevan untuk peran sesuai kebutuhan Anda. Contoh: ``` GRANT SELECT on all tables in schema public to role "aad:rsgroup"; ``` 1. Anda juga dapat memberikan izin kepada pengguna tertentu. ``` GRANT SELECT on table foo to aad:alice@example.com ``` Perhatikan bahwa keanggotaan peran pengguna eksternal federasi hanya tersedia di sesi pengguna tersebut. Ini memiliki implikasi untuk membuat objek database. Ketika pengguna eksternal federasi membuat tampilan atau prosedur tersimpan, misalnya, pengguna yang sama tidak dapat mendelegasikan izin objek tersebut ke pengguna dan peran lain. **Penjelasan ruang nama** Namespace memetakan pengguna atau peran ke penyedia identitas tertentu. Misalnya, awalan untuk pengguna yang dibuat di AWS IAM adalah. `iam:` Awalan ini mencegah tabrakan nama pengguna dan memungkinkan dukungan untuk beberapa penyimpanan identitas. Jika pengguna alice@example.com dari sumber identitas yang terdaftar dengan namespace *aad* masuk, pengguna `aad:alice@example.com` dibuat di Redshift jika belum ada. Perhatikan bahwa namespace pengguna dan peran memiliki fungsi yang berbeda dari namespace klaster Amazon Redshift, yang merupakan pengenal unik yang terkait dengan cluster. # Membuat peran Amazon Redshift secara otomatis untuk penyedia identitas Fitur ini memungkinkan Anda untuk secara otomatis membuat peran di Redshift berdasarkan keanggotaan grup dari Penyedia Identitas (iDP) Anda. Peran pembuatan otomatis mendukung Azure Active Directory dengan integrasi iDP asli. Ada beberapa manfaat untuk membuat peran secara otomatis. Saat Anda membuat peran secara otomatis, Redshift membuat peran dengan keanggotaan grup di IDP Anda, sehingga Anda dapat menghindari pembuatan dan pemeliharaan peran manual yang membosankan. Anda juga memiliki opsi untuk memfilter grup mana yang dipetakan ke peran Redshift. ## Cara kerjanya Saat Anda, sebagai pengguna iDP, masuk ke Redshift, urutan peristiwa berikut terjadi: 1. Redshift mengambil keanggotaan grup Anda dari IDP. 1. Redshift secara otomatis membuat pemetaan peran ke grup tersebut, dengan format peran. `idp_namespace:rolename` 1. Redshift memberi Anda izin dengan peran yang dipetakan. Setelah setiap login pengguna, setiap grup yang tidak ada dalam katalog tetapi pengguna adalah bagian darinya, dibuat secara otomatis. Anda dapat mengatur filter include dan exclude secara opsional untuk mengontrol grup IDP mana yang memiliki peran Redshift yang dibuat. ## Mengkonfigurasi peran buat otomatis Gunakan `ALTER IDENTITY PROVIDER` perintah `CREATE IDENTITY PROVIDER` and untuk mengaktifkan dan mengkonfigurasi pembuatan peran otomatis. ``` -- Create a new IdP with auto role creation enabled CREATE IDENTITY PROVIDER TYPE azure NAMESPACE '' APPLICATION_ARN 'app_arn' IAM_ROLE 'role_arn' AUTO_CREATE_ROLES TRUE; -- Enable on existing IdP ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES TRUE; -- Disable ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES FALSE; ``` ## Grup penyaringan Anda dapat secara opsional memfilter grup IDP mana yang dipetakan ke peran `INCLUDE` Redshift menggunakan dan pola. `EXCLUDE` Ketika pola konflik, `EXCLUDE` lebih diutamakan. `INCLUDE` ``` -- Only create roles for groups with 'dev' CREATE IDENTITY PROVIDER TYPE azure ... AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%'; -- Exclude 'test' groups ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES TRUE EXCLUDE GROUPS LIKE '%test%'; ``` ## Contoh Contoh berikut menunjukkan cara mengaktifkan peran buat otomatis tanpa pemfilteran. ``` CREATE IDENTITY PROVIDER prod_idc TYPE azure ... AUTO_CREATE_ROLES TRUE; ``` Contoh berikut mencakup kelompok pengembangan dan tidak termasuk kelompok uji. ``` ALTER IDENTITY PROVIDER prod_idc AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%' EXCLUDE GROUPS LIKE '%test%'; ``` ## Praktik terbaik Pertimbangkan praktik terbaik berikut saat Anda mengaktifkan pembuatan otomatis untuk peran: + Gunakan `INCLUDE` dan `EXCLUDE` filter untuk mengontrol grup mana yang mendapatkan peran. + Secara berkala mengaudit peran dan membersihkan yang tidak terpakai. + Manfaatkan hierarki peran Redshift untuk menyederhanakan manajemen izin. # Hubungkan Redshift dengan AWS IAM Identity Center untuk pengalaman masuk tunggal Anda dapat mengelola akses pengguna dan grup ke gudang data Amazon Redshift melalui propagasi identitas terpercaya. [Propagasi identitas tepercaya](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html) adalah AWS IAM Identity Center fitur yang Layanan AWS dapat digunakan administrator terhubung untuk memberikan dan mengaudit akses ke data layanan. Akses ke data ini didasarkan pada atribut pengguna seperti asosiasi grup. Menyiapkan propagasi identitas tepercaya memerlukan kolaborasi antara administrator yang terhubung Layanan AWS dan administrator Pusat Identitas IAM. Untuk informasi lebih lanjut, lihat [Prasyarat](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html) dan pertimbangan. Untuk mengilustrasikan satu end-to-end kasus, Anda dapat menggunakan Amazon Quick dasbor atau editor kueri Amazon Redshift v2 untuk mengakses Redshift. Akses dalam hal ini didasarkan pada grup Pusat AWS Identitas IAM. Redshift dapat menentukan siapa pengguna dan keanggotaan grup mereka. AWS IAM Identity Center juga memungkinkan untuk menghubungkan dan mengelola identitas melalui penyedia identitas pihak ketiga (iDP) seperti Okta atau. PingOne Setelah administrator Anda mengatur koneksi antara Redshift dan AWS IAM Identity Center, mereka dapat mengonfigurasi akses berbutir halus berdasarkan grup penyedia identitas untuk mengotorisasi akses pengguna ke data. **penting** Saat Anda menghapus pengguna dari Pusat Identitas AWS IAM atau direktori penyedia identitas terhubung (iDP), pengguna tidak secara otomatis dihapus dari katalog Amazon Redshift. Untuk menghapus pengguna secara manual dari katalog Amazon Redshift, jalankan `DROP USER` perintah untuk menghapus sepenuhnya pengguna yang telah dihapus dari Pusat Identitas AWS IAM atau iDP. Untuk informasi selengkapnya tentang cara menjatuhkan pengguna, lihat [DROP USER di Panduan](https://docs.aws.amazon.com/redshift/latest/dg/r_DROP_USER.html) *Pengembang Database Amazon Redshift*. ## Manfaat integrasi Redshift dengan AWS IAM Identity Center Menggunakan AWS IAM Identity Center dengan Redshift dapat menguntungkan organisasi Anda dengan cara-cara berikut: + Penulis dasbor Amazon Quick dapat terhubung ke sumber data Redshift tanpa harus memasukkan kembali kata sandi atau mengharuskan administrator untuk mengatur peran IAM dengan izin yang kompleks. + AWS IAM Identity Center menyediakan lokasi pusat bagi pengguna tenaga kerja Anda. AWS Anda dapat membuat pengguna dan grup secara langsung di Pusat AWS Identitas IAM atau menghubungkan pengguna dan grup yang ada yang Anda kelola di penyedia identitas berbasis standar seperti Okta,, PingOne atau Microsoft Entra ID (Azure AD). AWS IAM Identity Center mengarahkan otentikasi ke sumber kebenaran yang Anda pilih untuk pengguna dan grup, dan memelihara direktori pengguna dan grup untuk diakses oleh Redshift. Untuk informasi selengkapnya, lihat [Mengelola sumber identitas Anda](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) dan [Penyedia identitas yang didukung](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) di *Panduan Pengguna Pusat AWS Identitas IAM*. + Anda dapat berbagi satu instans Pusat AWS Identitas IAM dengan beberapa cluster dan grup kerja Redshift dengan kemampuan penemuan otomatis dan koneksi yang sederhana. Ini membuatnya cepat untuk menambahkan cluster tanpa upaya ekstra untuk mengonfigurasi koneksi Pusat Identitas AWS IAM untuk masing-masing, dan memastikan bahwa semua cluster dan kelompok kerja memiliki pandangan pengguna, atribut, dan grup yang konsisten. Perhatikan bahwa instans Pusat AWS Identitas IAM organisasi Anda harus berada di wilayah yang sama dengan rangkaian data Redshift yang Anda sambungkan. + Karena identitas pengguna diketahui dan dicatat bersama dengan akses data, lebih mudah bagi Anda untuk memenuhi peraturan kepatuhan melalui audit akses pengguna. AWS CloudTrail ## Persona administrator untuk menghubungkan aplikasi Berikut ini adalah persona yang merupakan kunci untuk menghubungkan aplikasi analitik ke aplikasi terkelola AWS IAM Identity Center untuk Redshift: + **Administrator aplikasi** — Membuat aplikasi dan mengonfigurasi layanan mana yang akan memungkinkan pertukaran token identitas. Administrator ini juga menentukan pengguna atau grup mana yang memiliki akses ke aplikasi. + **Administrator data** — Mengkonfigurasi akses halus ke data. Pengguna dan grup di Pusat AWS Identitas IAM dapat memetakan ke izin tertentu. ## Menghubungkan ke Amazon Redshift dengan AWS IAM Identity Center melalui Amazon Quick Berikut ini menunjukkan cara menggunakan Quick untuk mengautentikasi dengan Redshift saat terhubung dan akses dikelola AWS melalui Pusat Identitas IAM[: Mengotorisasi koneksi dari cluster Quick ke Amazon](https://docs.aws.amazon.com/quick/latest/userguide/enabling-access-redshift.html) Redshift. Langkah-langkah ini berlaku untuk Amazon Redshift Serverless juga. ## Menghubungkan ke Amazon Redshift dengan AWS IAM Identity Center melalui editor kueri Amazon Redshift v2 Setelah menyelesaikan langkah-langkah untuk mengatur koneksi AWS IAM Identity Center dengan Redshift, pengguna dapat mengakses database dan objek yang sesuai dalam database melalui identitas IAM Identity Center, AWS namespace-prefixed. Untuk informasi selengkapnya tentang menghubungkan ke database Redshift dengan login editor kueri v2, lihat. [Menanyakan database menggunakan editor kueri v2Mengkueri database menggunakan editor kueri Amazon Redshift v2](query-editor-v2.md) ## Menggunakan Pusat AWS Identitas IAM di beberapa Wilayah AWS Amazon Redshift mendukung Pusat Identitas AWS IAM dalam beberapa. Wilayah AWS Anda dapat memperluas Pusat AWS Identitas IAM dari Wilayah utama Anda Wilayah AWS ke Wilayah tambahan untuk meningkatkan kinerja melalui kedekatan dengan pengguna dan keandalan. Saat Wilayah baru ditambahkan di Pusat Identitas AWS IAM, Anda dapat membuat aplikasi Pusat Identitas IAM Redshift di Wilayah baru tanpa mereplikasi identitas dari Wilayah utama. Anda dapat mengatur izin gabungan Amazon Redshift menggunakan Pusat Identitas AWS IAM di Wilayah baru tempat Anda dapat mengaktifkan kontrol tingkat baris, tingkat kolom, dan masking. Untuk detail selengkapnya untuk memulai Pusat Identitas AWS IAM di beberapa Wilayah, lihat [Mengelola Pusat Identitas AWS IAM dalam beberapa Wilayah AWS di Panduan Pengguna Pusat AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) *Identitas IAM*. ## Batasan untuk menghubungkan ke Amazon Redshift dengan AWS IAM Identity Center Saat menggunakan sistem masuk tunggal AWS IAM Identity Center, pertimbangkan batasan berikut: + **Tidak ada dukungan untuk VPC yang disempurnakan — VPC** yang disempurnakan tidak didukung saat Anda menggunakan sistem masuk tunggal Pusat Identitas AWS IAM untuk Amazon Redshift. Untuk informasi selengkapnya tentang VPC yang disempurnakan, lihat Perutean [VPC yang Ditingkatkan di](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) Amazon Redshift. # Menyiapkan integrasi Pusat AWS Identitas IAM dengan Amazon Redshift Administrator klaster Amazon Redshift atau administrator Amazon Redshift Tanpa Server Anda harus melakukan beberapa langkah untuk mengonfigurasi Redshift sebagai aplikasi yang diaktifkan Pusat Identitas IAM. AWS Ini membuatnya sehingga Redshift dapat menemukan dan terhubung ke AWS IAM Identity Center secara otomatis untuk menerima layanan login dan direktori pengguna. Setelah ini, ketika administrator Redshift Anda membuat cluster atau workgroup, mereka dapat mengaktifkan gudang data baru untuk menggunakan AWS IAM Identity Center untuk mengelola akses database. Tujuan mengaktifkan Redshift sebagai aplikasi AWS yang dikelola Pusat Identitas IAM adalah agar Anda dapat mengontrol izin pengguna dan grup dari AWS dalam Pusat Identitas IAM, atau dari penyedia identitas pihak ketiga yang terintegrasi dengannya. Saat pengguna database Anda masuk ke database Redshift, misalnya analis atau ilmuwan data, database akan memeriksa grup mereka di Pusat Identitas AWS IAM dan ini cocok dengan nama peran di Redshift. Dengan cara ini, grup yang mendefinisikan nama untuk peran database Redshift dapat mengakses satu set tabel untuk analisis penjualan, misalnya. Bagian berikut menunjukkan cara mengatur ini. ## Prasyarat Ini adalah prasyarat untuk mengintegrasikan AWS IAM Identity Center dengan Amazon Redshift: + *Konfigurasi akun* — Anda harus mengonfigurasi Pusat AWS Identitas IAM di akun manajemen AWS organisasi jika Anda berencana untuk memiliki kasus penggunaan lintas akun, atau jika Anda menggunakan kluster Redshift di akun yang berbeda dengan instans Pusat Identitas IAM yang sama AWS . Ini termasuk mengonfigurasi sumber identitas Anda. Untuk informasi selengkapnya, lihat [Memulai](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html), [identitas tenaga kerja](https://docs.aws.amazon.com/singlesignon/latest/userguide/identities.html), dan [penyedia identitas yang didukung di Panduan](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) Pengguna *Pusat AWS Identitas IAM*. Anda harus memastikan bahwa Anda telah membuat pengguna atau grup di Pusat Identitas AWS IAM, atau menyinkronkan pengguna dan grup dari sumber identitas Anda sebelum Anda dapat menetapkannya ke data di Redshift. **catatan** Anda memiliki opsi untuk menggunakan instance akun AWS IAM Identity Center, asalkan Redshift AWS dan IAM Identity Center berada di akun yang sama. Anda dapat membuat instance ini menggunakan widget saat membuat dan mengonfigurasi cluster atau workgroup Redshift. + *Mengonfigurasi penerbit token tepercaya* — Dalam beberapa kasus, Anda mungkin perlu menggunakan penerbit token tepercaya, yang merupakan entitas yang dapat mengeluarkan dan memverifikasi token kepercayaan. Sebelum Anda dapat melakukannya, langkah-langkah awal diperlukan sebelum administrator Redshift yang mengonfigurasi integrasi AWS IAM Identity Center dapat memilih penerbit token tepercaya dan menambahkan atribut yang diperlukan untuk menyelesaikan konfigurasi. Ini dapat mencakup mengonfigurasi penyedia identitas eksternal untuk berfungsi sebagai penerbit token tepercaya dan menambahkan atributnya di konsol Pusat Identitas AWS IAM. Untuk menyelesaikan langkah-langkah ini, lihat [Menggunakan aplikasi dengan penerbit token tepercaya](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-apps-with-trusted-token-issuer.html#setuptrustedtokenissuer). **catatan** Menyiapkan penerbit token tepercaya tidak diperlukan untuk semua koneksi eksternal. Menyambungkan ke database Redshift Anda dengan editor kueri Amazon Redshift v2 tidak memerlukan konfigurasi penerbit token tepercaya. Tetapi itu dapat berlaku untuk aplikasi pihak ketiga seperti dasbor atau aplikasi khusus yang mengautentikasi dengan penyedia identitas Anda. + *Mengkonfigurasi peran atau peran IAM* — Bagian yang mengikuti menyebutkan izin yang harus dikonfigurasi. Anda harus menambahkan izin per praktik terbaik IAM. Izin khusus dirinci dalam prosedur berikut. Untuk informasi selengkapnya, lihat [Memulai dengan Pusat AWS Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html). ## Mengkonfigurasi penyedia identitas Anda untuk bekerja dengan AWS IAM Identity Center Langkah pertama dalam mengendalikan manajemen identitas pengguna dan grup adalah terhubung ke AWS IAM Identity Center dan mengkonfigurasi penyedia identitas Anda. Anda dapat menggunakan AWS IAM Identity Center sendiri sebagai penyedia identitas Anda, atau Anda dapat menghubungkan toko identitas pihak ketiga, seperti Okta, misalnya. Untuk informasi selengkapnya tentang menyiapkan sambungan ke dan mengonfigurasi penyedia identitas Anda, lihat [Connect ke penyedia identitas eksternal di panduan](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) *pengguna AWS IAM Identity Center*. Pastikan pada akhir proses ini bahwa Anda memiliki koleksi kecil pengguna dan grup yang ditambahkan ke AWS IAM Identity Center, untuk tujuan pengujian. ### Izin Administratif #### Izin diperlukan untuk manajemen siklus hidup aplikasi AWS Redshift/IAM Identity Center Anda harus membuat identitas IAM, yang digunakan administrator Redshift untuk mengonfigurasi Redshift untuk digunakan AWS dengan IAM Identity Center. Paling umum, Anda akan membuat peran IAM dengan izin dan menetapkannya ke identitas lain sesuai kebutuhan. Itu harus memiliki izin yang terdaftar untuk melakukan tindakan berikut. **Membuat aplikasi AWS Redshift/IAM Identity Center** + `sso:PutApplicationAssignmentConfiguration`- Untuk keamanan. + `sso:CreateApplication`— Digunakan untuk membuat aplikasi AWS IAM Identity Center. + `sso:PutApplicationAuthenticationMethod`— Memberikan akses otentikasi Redshift. + `sso:PutApplicationGrant`— Digunakan untuk mengubah informasi penerbit token tepercaya. + `sso:PutApplicationAccessScope`— Untuk pengaturan aplikasi Redshift AWS IAM Identity Center. Ini termasuk untuk AWS Lake Formation dan untuk Hibah [Akses Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html). + `redshift:CreateRedshiftIdcApplication`— Digunakan untuk membuat aplikasi Redshift AWS IAM Identity Center. **Menjelaskan aplikasi AWS Redshift/IAM Identity Center** + `sso:GetApplicationGrant`— Digunakan untuk mencantumkan informasi penerbit token tepercaya. + `sso:ListApplicationAccessScopes`— Untuk pengaturan aplikasi Redshift AWS IAM Identity Center untuk mencantumkan integrasi hilir, seperti for AWS Lake Formation dan S3 Access Grants. + `redshift:DescribeRedshiftIdcApplications`— Digunakan untuk menggambarkan aplikasi AWS IAM Identity Center yang ada. **Mengubah aplikasi AWS Redshift/IAM Identity Center** + `redshift:ModifyRedshiftIdcApplication`— Digunakan untuk mengubah aplikasi Redshift yang ada. + `sso:UpdateApplication`— Digunakan untuk memperbarui aplikasi Pusat AWS Identitas IAM. + `sso:GetApplicationGrant`— Mendapatkan informasi penerbit token kepercayaan. + `sso:ListApplicationAccessScopes`— Untuk pengaturan aplikasi Redshift AWS IAM Identity Center. + `sso:DeleteApplicationGrant`— Menghapus informasi penerbit token kepercayaan. + `sso:PutApplicationGrant`— Digunakan untuk mengubah informasi penerbit token tepercaya. + `sso:PutApplicationAccessScope`— Untuk pengaturan aplikasi Redshift AWS IAM Identity Center. Ini termasuk untuk AWS Lake Formation dan untuk Hibah [Akses Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html). + `sso:DeleteApplicationAccessScope`— Untuk menghapus pengaturan aplikasi AWS Redshift IAM Identity Center. Ini termasuk untuk AWS Lake Formation dan untuk Hibah [Akses Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html). **Menghapus aplikasi AWS Redshift/IAM Identity Center** + `sso:DeleteApplication`— Digunakan untuk menghapus aplikasi AWS IAM Identity Center. + `redshift:DeleteRedshiftIdcApplication`— Memberikan kemampuan untuk menghapus aplikasi Redshift AWS IAM Identity Center yang ada. #### Izin diperlukan untuk manajemen Redshift/query siklus hidup aplikasi editor v2 Anda harus membuat identitas IAM, yang digunakan administrator Redshift untuk mengonfigurasi Redshift untuk digunakan AWS dengan IAM Identity Center. Paling umum, Anda akan membuat peran IAM dengan izin dan menetapkannya ke identitas lain sesuai kebutuhan. Itu harus memiliki izin yang terdaftar untuk melakukan tindakan berikut. **Membuat aplikasi query editor v2** + `redshift:CreateQev2IdcApplication`— Digunakan untuk membuat QEV2 aplikasi. + `sso:CreateApplication`— Memberikan kemampuan untuk membuat aplikasi AWS IAM Identity Center. + `sso:PutApplicationAuthenticationMethod`— Memberikan akses otentikasi Redshift. + `sso:PutApplicationGrant`— Digunakan untuk mengubah informasi penerbit token tepercaya. + `sso:PutApplicationAccessScope`— Untuk pengaturan aplikasi Redshift AWS IAM Identity Center. Ini termasuk editor kueri v2. + `sso:PutApplicationAssignmentConfiguration`- Untuk keamanan. **Jelaskan aplikasi editor kueri v2** + `redshift:DescribeQev2IdcApplications`— Digunakan untuk menggambarkan QEV2 aplikasi AWS IAM Identity Center. **Ubah aplikasi editor kueri v2** + `redshift:ModifyQev2IdcApplication`— Digunakan untuk mengubah QEV2 aplikasi AWS IAM Identity Center. + `sso:UpdateApplication`— Digunakan untuk mengubah QEV2 aplikasi AWS IAM Identity Center. **Hapus aplikasi editor kueri v2** + `redshift:DeleteQev2IdcApplication`— Digunakan untuk menghapus QEV2 aplikasi. + `sso:DeleteApplication`— Digunakan untuk menghapus QEV2 aplikasi. **catatan** Di Amazon Redshift SDK, berikut ini APIs tidak tersedia: CreateQev2 IdcApplication DescribeQev2 IdcApplications ModifyQev2 IdcApplication DeleteQev2 IdcApplication Tindakan ini khusus untuk melakukan integrasi AWS IAM Identity Center dengan QEV2 Redshift di AWS konsol. Untuk informasi selengkapnya, lihat [Tindakan yang ditentukan oleh Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html#amazonredshift-actions-as-permissions). #### Izin yang diperlukan bagi administrator database untuk menghubungkan sumber daya baru di konsol Izin ini diperlukan untuk menghubungkan kluster baru yang disediakan atau grup kerja Amazon Redshift Tanpa Server selama proses pembuatan. Jika Anda memiliki izin ini, pilihan muncul di konsol untuk memilih untuk terhubung ke aplikasi yang dikelola Pusat Identitas AWS IAM untuk Redshift. + `redshift:DescribeRedshiftIdcApplications` + `sso:ListApplicationAccessScopes` + `sso:GetApplicationAccessScope` + `sso:GetApplicationGrant` Sebagai praktik terbaik, kami menyarankan untuk melampirkan kebijakan izin ke peran IAM dan kemudian menetapkannya ke pengguna dan grup sesuai kebutuhan. Untuk informasi selengkapnya, lihat [Identitas dan manajemen akses di Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html). ## Menyiapkan Redshift sebagai aplikasi AWS terkelola dengan AWS IAM Identity Center Sebelum Pusat AWS Identitas IAM dapat mengelola identitas untuk klaster yang disediakan Amazon Redshift atau grup kerja Tanpa Server Amazon Redshift, administrator Redshift harus menyelesaikan langkah-langkah untuk menjadikan Redshift sebagai aplikasi yang dikelola Pusat Identitas IAM: AWS 1. **Pilih **integrasi Pusat AWS Identitas IAM** di menu konsol Amazon Redshift atau Amazon Redshift Tanpa Server, lalu pilih Connect to IAM Identity Center. AWS ** Dari sana Anda melangkah melalui serangkaian pilihan untuk mengisi properti untuk integrasi AWS IAM Identity Center. 1. Pilih nama tampilan dan nama unik untuk aplikasi yang dikelola AWS IAM Identity Center Redshift. 1. Tentukan namespace untuk organisasi Anda. Ini biasanya merupakan versi singkat dari nama organisasi Anda. Ini ditambahkan sebagai awalan untuk pengguna dan peran yang dikelola Pusat AWS Identitas IAM Anda dalam database Redshift. 1. Pilih peran IAM yang akan digunakan. Peran IAM ini harus terpisah dari yang lain yang digunakan untuk Redshift, dan kami menyarankan agar tidak digunakan untuk tujuan lain. Izin kebijakan khusus yang diperlukan adalah sebagai berikut: + `sso:DescribeApplication`— Diperlukan untuk membuat entri penyedia identitas (iDP) di katalog. + `sso:DescribeInstance`— Digunakan untuk membuat peran atau pengguna federasi IDP secara manual. 1. Konfigurasikan koneksi klien dan penerbit token tepercaya. Mengkonfigurasi penerbit token tepercaya memfasilitasi propagasi identitas tepercaya dengan mengatur hubungan dengan penyedia identitas eksternal. Propagasi identitas memungkinkan pengguna, misalnya, untuk masuk ke satu aplikasi dan mengakses data tertentu di aplikasi lain. Hal ini memungkinkan pengguna untuk mengumpulkan data dari lokasi yang berbeda dengan lebih mulus. Pada langkah ini, di konsol, Anda menetapkan atribut untuk setiap penerbit token tepercaya. Atribut termasuk nama dan klaim audiens (atau *klaim aud*), yang mungkin harus Anda dapatkan dari atribut konfigurasi alat atau layanan. Anda mungkin juga perlu memberikan nama aplikasi dari JSON Web Token (JWT) alat pihak ketiga. **catatan** Yang `aud claim` diperlukan dari setiap alat atau layanan pihak ketiga dapat bervariasi, berdasarkan jenis token, yang dapat berupa token akses yang dikeluarkan oleh penyedia identitas, atau jenis lain, seperti token ID. Setiap vendor bisa berbeda. Saat Anda menerapkan propagasi identitas terpercaya dan berintegrasi dengan Redshift, Anda harus memberikan nilai *aud* yang benar untuk jenis token yang dikirimkan oleh alat pihak ketiga. AWS Periksa rekomendasi dari vendor alat atau layanan Anda. *Untuk informasi rinci mengenai propagasi identitas terpercaya, lihat [Ikhtisar propagasi identitas tepercaya di Panduan](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) Pengguna.AWS IAM Identity Center * Setelah administrator Redshift menyelesaikan langkah-langkah dan menyimpan konfigurasi, properti AWS IAM Identity Center muncul di konsol Redshift. Anda juga dapat menanyakan tampilan sistem [SVV\$1IDENTITY\$1PROVIDERS](https://docs.aws.amazon.com/redshift/latest/dg/r_SVV_IDENTITY_PROVIDERS.html) untuk memverifikasi properti aplikasi. Ini termasuk nama aplikasi dan namespace. Anda menggunakan namespace sebagai awalan untuk objek database Redshift yang terkait dengan aplikasi. Menyelesaikan tugas-tugas ini membuat Redshift menjadi aplikasi yang diaktifkan Pusat AWS Identitas IAM. Properti di konsol termasuk status integrasi. Dikatakan **Diaktifkan** ketika integrasi selesai. Setelah proses ini, integrasi AWS IAM Identity Center dapat diaktifkan pada setiap cluster baru. ****Setelah konfigurasi, Anda dapat menyertakan pengguna dan grup dari Pusat AWS Identitas IAM di Redshift dengan memilih tab Pengguna **atau** Grup dan memilih Tetapkan.**** ## Mengaktifkan integrasi AWS IAM Identity Center untuk cluster Amazon Redshift baru atau grup kerja Amazon Redshift Serverless Administrator database Anda mengonfigurasi sumber daya Redshift baru agar berfungsi sejajar AWS dengan IAM Identity Center untuk mempermudah proses masuk dan akses data. Ini dilakukan sebagai bagian dari langkah-langkah untuk membuat klaster yang disediakan atau grup kerja Tanpa Server. **Siapa pun yang memiliki izin untuk membuat resource Redshift dapat melakukan tugas integrasi Pusat Identitas IAM AWS ini.Saat Anda membuat klaster yang disediakan, Anda mulai dengan memilih Create Cluster di konsol Amazon Redshift.** Langkah-langkah berikut menunjukkan cara mengaktifkan manajemen AWS IAM Identity Center untuk database. (Itu tidak termasuk semua langkah untuk membuat cluster.) 1. Pilih **Aktifkan untuk** di bagian untuk **integrasi IAM Identity Center dalam langkah-langkah** create-cluster. 1. Ada langkah dalam proses ketika Anda mengaktifkan integrasi. Anda melakukan ini dengan memilih **Aktifkan integrasi IAM Identity Center** di konsol. 1. Untuk cluster atau workgroup baru, buat peran database di Redshift menggunakan perintah SQL. Berikut ini adalah perintahnya: ``` CREATE ROLE ; ``` Namespace dan nama peran adalah sebagai berikut: + *Awalan namespace IAM Identity Center* — Ini adalah namespace yang Anda tentukan saat Anda mengatur koneksi antara IAM AWS Identity Center dan Redshift. + *Nama peran* - Peran database Redshift ini harus cocok dengan nama grup di Pusat Identitas AWS IAM. Redshift terhubung dengan AWS IAM Identity Center dan mengambil informasi yang diperlukan untuk membuat dan memetakan peran database ke grup IAM AWS Identity Center. Perhatikan bahwa ketika gudang data baru dibuat, peran IAM yang ditentukan untuk integrasi Pusat Identitas AWS IAM secara otomatis dilampirkan ke klaster yang disediakan atau grup kerja Amazon Redshift Serverless. Setelah Anda selesai memasukkan metadata cluster yang diperlukan dan membuat sumber daya, Anda dapat memeriksa status integrasi Pusat Identitas AWS IAM di properti. Jika nama grup Anda di AWS IAM Identity Center memiliki spasi, Anda harus menggunakan tanda kutip di SQL saat Anda membuat peran yang cocok. Setelah Anda mengaktifkan database Redshift dan membuat peran, Anda siap untuk terhubung ke database dengan Amazon Redshift query editor v2 atau. Amazon Quick Rinciannya dijelaskan lebih lanjut di bagian berikutnya. ### Menyiapkan default `RedshiftIdcApplication` menggunakan API Pengaturan dilakukan oleh administrator identitas Anda. Menggunakan API, Anda membuat dan mengisi`RedshiftIdcApplication`, yang mewakili aplikasi Redshift AWS dalam IAM Identity Center. 1. Untuk memulai, Anda dapat membuat pengguna dan menambahkannya ke grup di Pusat AWS Identitas IAM. Anda melakukan ini di AWS konsol untuk AWS IAM Identity Center. 1. Hubungi `create-redshift-idc-application` untuk membuat aplikasi AWS IAM Identity Center dan membuatnya kompatibel dengan penggunaan Redshift. Anda membuat aplikasi dengan mengisi nilai yang diperlukan. Nama tampilan adalah nama yang akan ditampilkan di dasbor AWS IAM Identity Center. Peran IAM ARN adalah ARN yang memiliki izin AWS untuk IAM Identity Center dan juga dapat diasumsikan oleh Redshift. ``` aws redshift create-redshift-idc-application ––idc-instance-arn 'arn:aws:sso:::instance/ssoins-1234a01a1b12345d' ––identity-namespace 'MYCO' ––idc-display-name 'TEST-NEW-APPLICATION' ––iam-role-arn 'arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole' ––redshift-idc-application-name 'myredshiftidcapplication' ``` Contoh berikut menunjukkan `RedshiftIdcApplication` respons sampel yang dikembalikan dari panggilan ke`create-redshift-idc-application`. ``` "RedshiftIdcApplication": { "IdcInstanceArn": "arn:aws:sso:::instance/ssoins-1234a01a1b12345d", "RedshiftIdcApplicationName": "test-application-1", "RedshiftIdcApplicationArn": "arn:aws:redshift:us-east-1:012345678901:redshiftidcapplication:12aaa111-3ab2-3ab1-8e90-b2d72aea588b", "IdentityNamespace": "MYCO", "IdcDisplayName": "Redshift-Idc-Application", "IamRoleArn": "arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole", "IdcManagedApplicationArn": "arn:aws:sso::012345678901:application/ssoins-1234a01a1b12345d/apl-12345678910", "IdcOnboardStatus": "arn:aws:redshift:us-east-1:123461817589:redshiftidcapplication", "RedshiftIdcApplicationArn": "Completed", "AuthorizedTokenIssuerList": [ "TrustedTokenIssuerArn": ..., "AuthorizedAudiencesList": [...]... ]} ``` 1. Anda dapat menggunakan `create-application-assignment` untuk menetapkan grup tertentu atau pengguna individu ke aplikasi terkelola di Pusat Identitas AWS IAM. Dengan melakukan ini, Anda dapat menentukan grup untuk dikelola melalui AWS IAM Identity Center. Jika administrator database membuat peran database di Redshift, nama grup di Pusat Identitas AWS IAM memetakan ke nama peran di Redshift. Peran mengontrol izin dalam database. Untuk informasi selengkapnya, lihat [Menetapkan akses pengguna ke aplikasi di konsol Pusat AWS Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/assignuserstoapp.html). 1. Setelah Anda mengaktifkan aplikasi, panggil `create-cluster` dan sertakan ARN aplikasi terkelola Redshift dari AWS IAM Identity Center. Melakukan hal ini mengaitkan cluster dengan aplikasi terkelola di AWS IAM Identity Center. ### Mengaitkan aplikasi AWS IAM Identity Center dengan cluster atau workgroup yang ada Jika Anda memiliki cluster atau workgroup yang ingin Anda aktifkan untuk integrasi AWS IAM Identity Center, dimungkinkan untuk melakukannya, menjalankan perintah SQL. Anda juga dapat menjalankan perintah SQL untuk mengubah pengaturan untuk integrasi. Untuk informasi selengkapnya, lihat [MENGUBAH PENYEDIA IDENTITAS](https://docs.aws.amazon.com/redshift/latest/dg/r_ALTER_IDENTITY_PROVIDER.html). Dimungkinkan juga untuk menjatuhkan penyedia identitas yang ada. Contoh berikut menunjukkan bagaimana CASCADE menghapus pengguna dan peran yang dilampirkan ke penyedia identitas. ``` DROP IDENTITY PROVIDER [ CASCADE ] ``` ## Menyiapkan izin pengguna Administrator mengonfigurasi izin ke berbagai sumber daya, berdasarkan atribut identitas pengguna dan keanggotaan grup, dalam penyedia identitas mereka atau di dalam Pusat Identitas AWS IAM secara langsung.Misalnya, administrator penyedia identitas dapat menambahkan insinyur basis data ke grup yang sesuai dengan peran mereka. Nama grup ini dipetakan ke nama peran database Redshift. Peran menyediakan atau membatasi akses ke tabel atau tampilan tertentu di Redshift. # Secara otomatis membuat peran Amazon Redshift untuk AWS IAM Identity Center Fitur ini merupakan integrasi dengan AWS IAM Identity Center yang memungkinkan Anda untuk secara otomatis membuat peran di Redshift berdasarkan keanggotaan grup. Ada beberapa manfaat untuk membuat peran secara otomatis. Saat Anda membuat peran secara otomatis, Redshift membuat peran dengan keanggotaan grup di IDP Anda, sehingga Anda dapat menghindari pembuatan dan pemeliharaan peran manual yang membosankan. Anda juga memiliki opsi untuk memfilter grup mana yang dipetakan ke peran Redshift dengan pola include dan exclude. ## Cara kerjanya Saat Anda, sebagai pengguna iDP, masuk ke Redshift, urutan peristiwa berikut terjadi: 1. Redshift mengambil keanggotaan grup Anda dari IDP. 1. Redshift secara otomatis membuat pemetaan peran ke grup tersebut, dengan format peran. `idp_namespace:rolename` 1. Redshift memberi Anda izin dengan peran yang dipetakan. Setelah setiap login pengguna, setiap grup yang tidak ada dalam katalog tetapi pengguna adalah bagian darinya, dibuat secara otomatis. Anda dapat mengatur filter include dan exclude secara opsional untuk mengontrol grup IDP mana yang memiliki peran Redshift yang dibuat. ## Mengkonfigurasi peran buat otomatis Gunakan `ALTER IDENTITY PROVIDER` perintah `CREATE IDENTITY PROVIDER` and untuk mengaktifkan dan mengkonfigurasi pembuatan peran otomatis. ``` -- Create a new IdP with auto role creation enabled CREATE IDENTITY PROVIDER TYPE AWSIDC NAMESPACE '' APPLICATION_ARN 'app_arn' IAM_ROLE 'role_arn' AUTO_CREATE_ROLES TRUE; -- Enable on existing IdP ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES TRUE; -- Disable ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES FALSE; ``` ## Grup penyaringan Anda dapat secara opsional memfilter grup IDP mana yang dipetakan ke peran `INCLUDE` Redshift menggunakan dan pola. `EXCLUDE` Ketika pola konflik, `EXCLUDE` lebih diutamakan. `INCLUDE` ``` -- Only create roles for groups with 'dev' CREATE IDENTITY PROVIDER TYPE AWSIDC ... AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%'; -- Exclude 'test' groups ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES TRUE EXCLUDE GROUPS LIKE '%test%'; ``` ## Contoh Contoh berikut menunjukkan cara mengaktifkan peran buat otomatis tanpa pemfilteran. ``` CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC ... AUTO_CREATE_ROLES TRUE; ``` Contoh berikut mencakup kelompok pengembangan dan tidak termasuk kelompok uji. ``` ALTER IDENTITY PROVIDER prod_idc AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%' EXCLUDE GROUPS LIKE '%test%'; ``` ## Praktik terbaik Pertimbangkan praktik terbaik berikut saat Anda mengaktifkan pembuatan otomatis untuk peran: + Gunakan `INCLUDE` dan `EXCLUDE` filter untuk mengontrol grup mana yang mendapatkan peran. + Secara berkala mengaudit peran dan membersihkan yang tidak terpakai. + Manfaatkan hierarki peran Redshift untuk menyederhanakan manajemen izin. # Integrasi Amazon Redshift dengan Hibah Akses Amazon S3 Menggunakan integrasi dengan Amazon S3 Access Grants, Anda dapat menyebarkan identitas Pusat Identitas IAM Anda dengan mulus untuk mengontrol akses ke data Amazon S3. Integrasi ini memungkinkan Anda mengotorisasi akses data Amazon S3 berdasarkan pengguna dan grup Pusat Identitas IAM. Untuk informasi tentang Hibah Akses Amazon S3, lihat [Mengelola akses dengan Hibah Akses S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html). Menggunakan Amazon S3 Access Grants memberi aplikasi Anda manfaat berikut: + Kontrol akses berbutir halus ke data Amazon S3, berdasarkan identitas Pusat Identitas IAM. + Manajemen terpusat identitas IAM Identity Center di Amazon Redshift dan Amazon S3. + Anda dapat menghindari mengelola izin IAM terpisah untuk akses Amazon S3. ## Cara kerjanya Untuk mengintegrasikan aplikasi Anda dengan hibah akses Amazon S3, Anda melakukan hal berikut: + Pertama, Anda mengonfigurasi Amazon Redshift untuk berintegrasi dengan Amazon S3 Access Grants menggunakan atau. Konsol Manajemen AWS AWS CLI + Selanjutnya, pengguna dengan hak administrator IDC memberikan bucket Amazon S3 atau akses awalan ke pengguna/grup IDC tertentu, menggunakan layanan Amazon S3 Access Grants. Untuk informasi selengkapnya, lihat [Bekerja dengan hibah di Hibah Akses S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-grant.html). + Saat pengguna iDC diautentikasi ke Redshift menjalankan kueri yang mengakses S3 (seperti operasi COPY, UNLOAD, atau Spectrum), Amazon Redshift mengambil kredenal akses S3 sementara yang tercakup ke identitas idC tersebut dari layanan Amazon S3 Access Grants. + Amazon Redshift kemudian menggunakan kredensil sementara yang diambil untuk mengakses lokasi Amazon S3 resmi untuk kueri tersebut. ## Menyiapkan integrasi dengan Amazon S3 Access Grants Untuk mengatur integrasi dengan integrasi dengan Amazon S3 Access Grants for Amazon Redshift, lakukan hal berikut: **Topics** + [Menyiapkan integrasi dengan Amazon S3 Access Grants menggunakan Konsol Manajemen AWS](#redshift-iam-access-control-sso-s3idc-setup-console) + [Mengaktifkan integrasi dengan Amazon S3 Access Grants menggunakan AWS CLI](#redshift-iam-access-control-sso-s3idc-setup-cli) ### Menyiapkan integrasi dengan Amazon S3 Access Grants menggunakan Konsol Manajemen AWS 1. Buka konsol Amazon Redshift. 1. Pilih klaster Anda dari panel **Clusters**. 1. Di halaman detail klaster Anda, di bagian **Integrasi penyedia identitas**, aktifkan integrasi dengan layanan **S3 Access Grants**. **catatan** Bagian **integrasi penyedia Identity** tidak muncul jika Anda tidak memiliki IAM Identity Center yang dikonfigurasi. Untuk informasi selengkapnya, lihat [Mengaktifkan AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html). ### Mengaktifkan integrasi dengan Amazon S3 Access Grants menggunakan AWS CLI 1. Untuk membuat aplikasi Amazon Redshift iDC baru dengan integrasi S3 diaktifkan, lakukan hal berikut: ``` aws redshift create-redshift-idc-application --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]' ``` 1. Untuk memodifikasi aplikasi yang ada untuk mengaktifkan integrasi S3 Access Grants, lakukan hal berikut: ``` aws redshift modify-redshift-idc-application --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]' ``` 1. Untuk memodifikasi aplikasi yang ada untuk menonaktifkan integrasi S3 Access Grants, lakukan hal berikut: ``` aws redshift modify-redshift-idc-application --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Disabled"}}]} ]' ``` ## Menggunakan integrasi dengan S3 Access Grants Setelah Anda mengonfigurasi integrasi S3 Access Grants, kueri yang mengakses data S3 (seperti`COPY`,`UNLOAD`, atau kueri Spectrum) menggunakan identitas IDC untuk otorisasi. Pengguna yang tidak diautentikasi menggunakan IDC juga dapat menjalankan kueri ini, tetapi akun pengguna tersebut tidak memanfaatkan administrasi terpusat yang disediakan IDC. Contoh berikut menunjukkan kueri yang berjalan dengan integrasi S3 Access Grants: ``` COPY table FROM 's3://mybucket/data'; // -- Redshift uses IdC identity UNLOAD ('SELECT * FROM table') TO 's3://mybucket/unloaded/' // -- Redshift uses IdC identity ``` # Memeriksa data melalui AWS Lake Formation Menggunakan AWS Lake Formation membuatnya lebih mudah untuk mengatur dan mengamankan data lake Anda secara terpusat, dan untuk menyediakan akses data. Mengkonfigurasi propagasi identitas ke Lake Formation melalui AWS IAM Identity Center dan Redshift membuatnya sehingga administrator dapat mengizinkan akses halus ke danau data Amazon S3, berdasarkan grup penyedia identitas organisasi (iDP). Kelompok-kelompok ini dikelola melalui AWS IAM Identity Center. Bagian ini menunjukkan cara mengonfigurasi beberapa kasus penggunaan, kueri dari data lake dan kueri dari berbagi data, yang menunjukkan cara memanfaatkan Pusat Identitas AWS IAM dengan Redshift untuk terhubung ke sumber daya yang diatur oleh Lake Formation. ## Menggunakan Pusat AWS Identitas IAM dan koneksi Redshift untuk menanyakan data lake Langkah-langkah ini mencakup kasus penggunaan di mana Anda menggunakan Pusat AWS Identitas IAM yang terhubung ke Redshift untuk menanyakan data lake yang diatur oleh Lake Formation. **Prasyarat** Prosedur ini memiliki beberapa langkah prasyarat: 1. AWS Pusat Identitas IAM harus disiapkan untuk mendukung otentikasi dan manajemen identitas dengan Redshift. Anda dapat mengaktifkan Pusat AWS Identitas IAM dari konsol dan memilih sumber penyedia identitas (iDP). Setelah ini, sinkronkan satu set pengguna IDP Anda AWS dengan IAM Identity Center. Anda juga harus mengatur koneksi antara AWS IAM Identity Center dan Redshift, mengikuti langkah-langkah yang dijelaskan sebelumnya dalam dokumen ini. 1. Buat klaster Amazon Redshift baru dan aktifkan manajemen identitas melalui AWS IAM Identity Center dalam langkah-langkah konfigurasi. 1. Buat aplikasi Pusat Identitas AWS IAM terkelola untuk Lake Formation dan konfigurasikan. Ini mengikuti pengaturan koneksi antara AWS IAM Identity Center dan Redshift. Langkah-langkahnya adalah sebagai berikut: 1. Di AWS CLI, gunakan `modify-redshift-idc-application` perintah untuk mengaktifkan integrasi layanan Lake Formation dengan aplikasi yang dikelola Pusat AWS Identitas IAM untuk Redshift. Panggilan ini mencakup `service-integrations` parameter, yang diatur ke nilai string konfigurasi yang memungkinkan otorisasi ke Lake Formation. 1. Konfigurasikan Lake Formation dengan menggunakan `create-lake-formation-identity-center-configuration` perintah. Ini menciptakan aplikasi Pusat AWS Identitas IAM untuk Lake Formation, yang terlihat di portal AWS IAM Identity Center. Administrator harus mengatur `––cli-input-json` argumen, yang nilainya adalah jalur ke file JSON yang menggunakan format standar untuk semua panggilan AWS CLI API. Anda harus menyertakan nilai untuk hal-hal berikut: + `CatalogId`— ID katalog Lake Formation. + `InstanceArn`— Pusat AWS Identitas IAM misalnya nilai ARN. Setelah administrator menyelesaikan konfigurasi prasyarat, administrator database dapat membuat skema eksternal untuk tujuan kueri data lake. 1. **Administrator membuat skema eksternal** - Administrator database Redshift terhubung ke database dan membuat skema eksternal, menggunakan pernyataan SQL berikut: ``` CREATE EXTERNAL SCHEMA if not exists my_external_schema from DATA CATALOG database 'my_lf_integrated_db' catalog_id '12345678901234'; ``` Perhatikan bahwa menentukan peran IAM tidak diperlukan dalam kasus ini, karena akses dikelola melalui AWS IAM Identity Center. 1. **Administrator memberikan izin** — Administrator memberikan penggunaan ke grup Pusat Identitas AWS IAM, yang memberikan izin pada sumber daya Redshift. Hal ini dilakukan dengan menjalankan pernyataan SQL seperti berikut: ``` GRANT USAGE ON SCHEMA "my_external_schema" to "MYCO:sales"; ``` Selanjutnya, administrator memberikan izin Lake Formation pada objek, berdasarkan persyaratan untuk organisasi, menggunakan CLI AWS : ``` aws lakeformation grant-permissions ... ``` 1. **Pengguna menjalankan kueri** — Pada titik ini, pengguna Pusat AWS Identitas IAM yang merupakan bagian dari grup penjualan, untuk tujuan ilustrasi, dapat masuk melalui editor kueri v2 ke database Redshift. Kemudian mereka dapat menjalankan kueri yang mengakses tabel dalam skema eksternal, seperti contoh berikut: ``` SELECT * from my_external_schema.table1; ``` ## Menggunakan Pusat AWS Identitas IAM dan koneksi Redshift untuk terhubung ke datashare Anda dapat mengakses datashare dari gudang data Redshift yang berbeda saat akses dikelola melalui AWS IAM Identity Center. Untuk melakukan ini, Anda menjalankan kueri untuk menyiapkan database eksternal. Sebelum menyelesaikan langkah-langkah ini, diasumsikan bahwa Anda memiliki koneksi yang diatur antara Redshift dan AWS IAM Identity Center, dan Anda telah membuat AWS Lake Formation aplikasi, seperti yang dijelaskan dalam prosedur sebelumnya. 1. **Membuat database eksternal** — Administrator membuat database eksternal untuk berbagi data, mereferensikannya melalui ARN nya. Berikut ini adalah contoh yang menunjukkan cara melakukannya: ``` CREATE DATABASE "redshift_external_db" FROM ARN 'arn:aws:glue:us-east-1:123456789012:database/redshift_external_db-iad' WITH NO DATA CATALOG SCHEMA; ``` Dalam kasus penggunaan ini, di mana Anda menggunakan Pusat AWS Identitas IAM dengan Redshift untuk manajemen identitas, peran IAM tidak disertakan. 1. **Admin menyiapkan izin** — Setelah membuat database, administrator memberikan penggunaan ke grup Pusat Identitas AWS IAM. Ini memberikan izin pada sumber daya Redshift: ``` GRANT USAGE ON DATABASE "my_external_db" to "MYCO:sales"; ``` Administrator juga memberikan izin Lake Formation pada objek, menggunakan CLI AWS : ``` aws lakeformation grant-permissions ... ``` 1. **Pengguna menjalankan kueri** — Pengguna dari grup penjualan dapat melakukan kueri tabel di database, berdasarkan izin yang ditetapkan: ``` select * from redshift_external_db.public.employees; ``` Untuk informasi selengkapnya tentang pemberian izin di data lake dan pemberian izin pada pembagian data, lihat [Memberikan](https://docs.aws.amazon.com/lake-formation/latest/dg/grant-permissions-sso.html) izin kepada pengguna dan grup. [Untuk informasi selengkapnya tentang pemberian penggunaan skema atau database, lihat GRANT.](https://docs.aws.amazon.com/redshift/latest/dg/r_GRANT.html) # Mengintegrasikan aplikasi atau alat Anda dengan OAuth menggunakan penerbit token tepercaya Anda dapat menambahkan fungsionalitas ke alat klien yang Anda buat untuk terhubung ke Redshift melalui koneksi AWS IAM Identity Center. Jika Anda sudah mengonfigurasi integrasi Redshift ke AWS IAM Identity Center, gunakan properti yang dirinci di bagian ini untuk menyiapkan koneksi. ## Plugin otentikasi untuk menghubungkan ke Redshift AWS menggunakan IAM Identity Center Anda dapat menggunakan AWS IAM Identity Center untuk terhubung ke Amazon Redshift menggunakan plugin driver berikut: + `BrowserIdcAuthPlugin`- Plugin ini memfasilitasi single-sign-on integrasi tanpa batas dengan AWS IAM Identity Center. Ini menciptakan jendela browser bagi pengguna untuk masuk dengan kredensi pengguna yang ditentukan dalam penyedia identitas perusahaan mereka. + `IdpTokenAuthPlugin`- Plugin ini harus digunakan oleh aplikasi yang ingin mengelola aliran otentikasi sendiri, alih-alih membiarkan driver Amazon Redshift membuka jendela browser AWS untuk otentikasi IAM Identity Center. Ia menerima token Access vended AWS IAM Identity Center atau OpenID Connect (OIDC) JSON web token (JWT) dari penyedia identitas web apa pun yang terhubung AWS dengan IAM Identity Center, seperti Okta,, dan Microsoft Entra ID (Azure AD). PingOne Aplikasi klien bertanggung jawab untuk menghasilkan token akses/JWT yang diperlukan ini. ### Autentikasi dengan `BrowserIdcAuthPlugin` Gunakan nama plugin berikut untuk terhubung menggunakan`BrowserIdcAuthPlugin`, tergantung pada driver Amazon Redshift Anda. | Driver | Kunci opsi koneksi | Nilai | Catatan | | --- | --- | --- | --- | | JDBC | `plugin_name` | com.amazon.redshift.plugin. BrowserIdcAuthPlugin | Anda harus memasukkan nama kelas plugin yang sepenuhnya memenuhi syarat saat Anda terhubung. | | ODBC | `plugin_name` | BrowserIdcAuthPlugin | | | Python | `credentials_provider` | BrowserIdcAuthPlugin | Tidak ada `plugin_name` pilihan yang tersedia untuk driver Python. Sebaliknya, gunakan `credentials_provider`. | `BrowserIdcAuthPlugin`Plugin ini memiliki opsi koneksi tambahan berikut: | Nama opsi | Wajib? | Deskripsi | Contoh | | --- | --- | --- | --- | | idc\$1region | Diperlukan | Di Wilayah AWS mana instans AWS IAM Identity Center berada. | us-east-1 | | issuer\$1url | Diperlukan | Titik akhir instance server AWS IAM Identity Center. Anda dapat menemukan nilai ini menggunakan konsol Pusat AWS Identitas IAM. | https://identitycenter.amazonaws.com/ssoins-g5j2k6yc5nsc | | listen\$1port | Opsional | Port yang digunakan driver Amazon Redshift untuk menerima `auth_code` respons dari AWS IAM Identity Center melalui pengalihan browser. | 7890 | | idc\$1client\$1display\$1name | Opsional | Nama yang digunakan klien AWS IAM Identity Center untuk aplikasi dalam popup persetujuan masuk tunggal AWS IAM Identity Center. | Pengemudi Amazon Redshift | | idp\$1response\$1timeout | Opsional | Jumlah waktu, dalam hitungan detik, driver Redshift menunggu aliran autentikasi selesai. | 60 | Anda harus memasukkan nilai-nilai ini di properti koneksi alat yang Anda buat dan hubungkan. Untuk informasi selengkapnya, lihat dokumentasi opsi koneksi untuk setiap driver masing-masing: + [Opsi untuk konfigurasi driver JDBC versi 2.x](jdbc20-configuration-options.md) + [Opsi driver ODBC](odbc20-configuration-options.md) + [Opsi konfigurasi untuk konektor Amazon Redshift Python](python-configuration-options.md) ### Autentikasi dengan `IdpTokenAuthPlugin` Gunakan nama plugin berikut untuk terhubung menggunakan`IdpTokenAuthPlugin`, tergantung pada driver Amazon Redshift Anda. | Driver | Kunci opsi koneksi | Nilai | Catatan | | --- | --- | --- | --- | | JDBC | `plugin_name` | com.amazon.redshift.plugin. IdpTokenAuthPlugin | Anda harus memasukkan nama kelas plugin yang sepenuhnya memenuhi syarat saat Anda terhubung. | | ODBC | `plugin_name` | IdpTokenAuthPlugin | | | Python | `credentials_provider` | IdpTokenAuthPlugin | Tidak ada `plugin_name` pilihan yang tersedia untuk driver Python. Sebaliknya, gunakan `credentials_provider`. | `IdpTokenAuthPlugin`Plugin ini memiliki opsi koneksi tambahan berikut: | Nama opsi | Wajib? | Deskripsi | | --- | --- | --- | | token | Diperlukan | Pusat AWS Identitas IAM menjual token akses atau OpenID Connect (OIDC) JSON Web Token (JWT) yang disediakan oleh penyedia identitas web yang terhubung dengan IAM Identity Center. AWS Aplikasi Anda harus menghasilkan token ini dengan mengautentikasi pengguna aplikasi Anda dengan AWS IAM Identity Center atau penyedia identitas yang terhubung dengan AWS IAM Identity Center. | | token\$1type | Diperlukan | Jenis token yang digunakan untuk`IdpTokenAuthPlugin`. Nilai yang mungkin adalah sebagai berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/redshift/latest/mgmt/redshift-iam-access-control-idp-connect-oauth.html) | Anda harus memasukkan nilai-nilai ini di properti koneksi alat yang Anda buat dan hubungkan. Untuk informasi selengkapnya, lihat dokumentasi opsi koneksi untuk setiap driver masing-masing: + [Opsi untuk konfigurasi driver JDBC versi 2.x](jdbc20-configuration-options.md) + [Opsi driver ODBC](odbc20-configuration-options.md) + [Opsi konfigurasi untuk konektor Amazon Redshift Python](python-configuration-options.md) # Memecahkan masalah koneksi dari editor kueri Amazon Redshift v2 Daftar ini merinci kesalahan yang biasanya terjadi dan dapat membantu Anda terhubung ke database Redshift Anda dengan editor kueri v2, menggunakan identitas Pusat Identitas AWS IAM. + Kesalahan: **Masalah Koneksi: Tidak ada informasi sesi pusat identitas yang tersedia.** — Ketika kesalahan ini terjadi, periksa pengaturan keamanan dan privasi browser Anda. Pengaturan browser ini, terutama untuk cookie aman, seperti fitur Perlindungan Cookie Total Firefox, dapat mengakibatkan upaya koneksi yang diblokir dari editor kueri Amazon Redshift v2 ke database Redshift. Ikuti langkah-langkah remediasi yang dirinci untuk browser Anda: + **Firefox** — Saat ini, cookie pihak ketiga diblokir secara default. Klik perisai di bilah alamat browser dan alihkan sakelar untuk mematikan perlindungan pelacakan yang disempurnakan untuk editor kueri v2. + Mode **penyamaran Chrome — Secara default, mode** Penyamaran Chrome memblokir cookie pihak ketiga. Klik ikon mata di bilah alamat untuk mengizinkan cookie pihak ketiga untuk editor kueri v2. Setelah Anda mengubah pengaturan untuk mengizinkan cookie, Anda mungkin tidak melihat ikon mata di bilah alamat. + **Safari** — Di Mac, buka aplikasi Safari. Pilih **Pengaturan**, lalu pilih **Advanced**. Beralih untuk mematikan: **Blokir semua cookie**. + **Edge** — Pilih **Pengaturan**, lalu pilih **Cookie dan izin situs**. Kemudian pilih **Kelola dan hapus cookie dan data situs** dan matikan **Blokir cookie pihak ketiga**. Jika Anda mencoba menghubungkan setelah mengubah pengaturan dan terus menerima pesan kesalahan **Masalah Koneksi: Tidak ada informasi sesi pusat Identitas yang tersedia**, kami sarankan Anda menyegarkan koneksi Anda dengan AWS IAM Identity Center. **Untuk melakukan ini, klik kanan instance database Redshift Anda dan pilih Refresh.** Jendela baru muncul, yang dapat Anda gunakan untuk mengautentikasi. + Kesalahan: **Masalah koneksi: Sesi pusat identitas kedaluwarsa atau tidak valid**. — Setelah integrasi cluster yang disediakan Redshift atau grup kerja Tanpa Server dengan AWS IAM Identity Center, pengguna mungkin menerima kesalahan ini ketika mereka mencoba terhubung ke database Redshift dari editor kueri v2. Ini dapat mengikuti upaya koneksi yang berhasil. Dalam hal ini, kami sarankan Anda mengautentikasi ulang. **Untuk melakukan ini, klik kanan instance database Redshift Anda dan pilih Refresh.** Jendela baru muncul, yang dapat Anda gunakan untuk mengautentikasi. + Kesalahan: **Cakupan tidak valid. Kredensi pengguna tidak diizinkan untuk terhubung ke Redshift.** — Setelah integrasi cluster yang disediakan Redshift atau grup kerja Tanpa Server dengan Pusat Identitas AWS IAM untuk manajemen identitas, pengguna mungkin menerima kesalahan ini ketika mereka mencoba terhubung ke database Redshift dari editor kueri v2. Dalam hal ini, agar editor kueri v2 berhasil menghubungkan dan mengautentikasi pengguna melalui AWS IAM Identity Center untuk mengakses sumber daya yang benar, administrator harus menetapkan pengguna ke aplikasi Redshift AWS IAM Identity Center melalui konsol Redshift. Ini diselesaikan di bawah **koneksi IAM Identity Center**. Setelah ini, pengguna dapat membuat koneksi yang sukses setelah satu jam, yang merupakan batas caching sesi AWS IAM Identity Center. + Kesalahan: **Database tidak dapat dicantumkan. FATAL: Kueri gagal saat cluster dijeda secara otomatis.** — Saat database Amazon Redshift Tanpa Server dalam keadaan idle, tidak memproses beban kerja apa pun, database tersebut dapat tetap dijeda saat Anda terhubung dengan identitas Pusat Identitas IAM. AWS Untuk memperbaiki ini, masuk dengan metode otentikasi lain untuk melanjutkan workgroup Tanpa Server. Kemudian sambungkan ke database dengan identitas AWS IAM Identity Center Anda. + Kesalahan: **Terjadi kesalahan selama upaya untuk berfederasi dengan AWS IAM Identity Center. Administrator Amazon Redshift harus menghapus dan membuat ulang QEV2 aplikasi Pusat Identitas AWS IAM, menggunakan konsol Redshift.** — Kesalahan ini biasanya terjadi ketika instance aplikasi AWS IAM Identity Center yang terkait dengan editor kueri v2 dihapus. Untuk mengatasinya, administrator Amazon Redshift harus menghapus dan membuat ulang aplikasi Redshift dan query editor v2 untuk IAM Identity Center. AWS Ini dapat dilakukan pada konsol Redshift atau menggunakan perintah CLI[https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-redshift-idc-application.html](https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-redshift-idc-application.html).