Onboarding - Amazon Redshift
Registrazione del cluster RedshiftRegistrazione dello spazio dei nomi Redshift ServerlessAbilita la propagazione delle identità AWS IAM Identity CenterMODIFICA L'IDENTITÀ GLOBALE DEL SET UTENTE

Amazon Redshift non supporterà più la creazione di nuovi Python UDFs a partire dalla Patch 198. Python esistente UDFs continuerà a funzionare fino al 30 giugno 2026. Per ulteriori informazioni, consulta il post del blog.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Onboarding

Registrazione del cluster Redshift

Redshift supporta la creazione di un nuovo cluster o il ripristino di un cluster da uno snapshot con registrazione AWS Glue Data Catalog (GDC). È possibile specificare il nome del catalogo GDC come parte di questa registrazione. Per supportare la propagazione dell'identità iDC è possibile specificare un'applicazione Redshift iDC arn di tipo Lakehouse per abilitare la propagazione dell'identità iDC.

Crea un nuovo cluster con la registrazione del catalogo dati Glue

CLI

Per registrare automaticamente il cluster appena creato con Data Catalog, fornisci il nome del catalogo che verrà utilizzato per creare e registrare il tuo Data Catalog. Il redshift-idc-application-arn parametro è facoltativo: includilo se desideri collegare il tuo cluster all'applicazione Redshift iDC di tipo Lakehouse. È possibile stabilire questa associazione di applicazioni iDC anche in un secondo momento.

aws redshift create-cluster \
    --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. Accedi a Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. https://console.aws.amazon.com/redshiftv2/

  2. Passa alla dashboard dei cluster forniti e seleziona Crea cluster.

  3. Configura le impostazioni generali del cluster.

  4. Nella AWS Glue Data Catalog sezione Registra con, seleziona Registra con le autorizzazioni federate di Amazon Redshift.

    • Inserisci un identificatore del nome del catalogo.

    • (Consigliato) Seleziona le autorizzazioni federate di Amazon Redshift da utilizzare per l' AWS IAM Identity Center associazione all'applicazione IDC Redshift.

  5. Completa le impostazioni rimanenti del cluster e scegli Crea cluster.

Ripristina un nuovo cluster con AWS Glue Data Catalog registrazione

CLI

Per ripristinare un'istantanea in un nuovo cluster con AWS Glue Data Catalog integrazione, fornisci il nome del catalogo che verrà utilizzato per creare e registrare il catalogo. AWS Glue Il redshift-idc-application-arn parametro è facoltativo: includilo se desideri collegare il tuo cluster all'applicazione Redshift iDC di tipo Lakehouse. Puoi anche stabilire questa associazione di applicazioni iDC in un secondo momento.

aws redshift restore-from-cluster-snapshot \
   --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --snapshot-identifier 'redshift-cluster-snapshot' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. Accedi a Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. https://console.aws.amazon.com/redshiftv2/

  2. Vai alla pagina delle istantanee fornite. Dalla tabella delle istantanee, seleziona Restore to provisioned cluster dal menu a discesa Restore snapshot.

  3. Configura le impostazioni generali del cluster.

  4. Nella AWS Glue Data Catalog sezione Registra con, seleziona Registra con le autorizzazioni federate di Amazon Redshift.

    • Inserisci un identificatore del nome del catalogo.

    • (Consigliato) Seleziona le autorizzazioni federate di Amazon Redshift da utilizzare per l' AWS IAM Identity Center associazione all'applicazione IDC Redshift.

  5. Completa le impostazioni rimanenti del cluster e scegli Crea cluster.

Modifica un cluster esistente con AWS Glue Data Catalog registrazione

Se il cluster Redshift è già associato a un'applicazione Redshift iDC di tipo non lakehouse, durante la registrazione si verifica quanto segue: AWS Glue Data Catalog

  • Se non viene fornito l'ARN dell'applicazione Redshift iDC, l'applicazione Redshift iDC esistente nel catalogo verrà impostata sullo stato di disabilitazione.

  • Quando viene specificata un'applicazione Redshift iDC di tipo Lakehouse da un' AWS IAM Identity Center istanza diversa, il provider iDC corrente viene disabilitato.

  • Quando viene fornita un'applicazione Redshift iDC di tipo Lakehouse dalla stessa istanza AWS IAM Identity Center

    • L'ARN dell'applicazione Redshift iDC nel catalogo verrà modificato nell'ARN dell'applicazione Redshift iDC di tipo Lakehouse. Il catalogo aggiornato può essere verificato interrogando svv_identity_providers. Per ulteriori informazioni su svv_identity_providers, vedi svv_identity_providers.

    • AWS IAM Identity Center gli utenti federati che in precedenza avevano accesso al cluster Redshift devono ricevere esplicitamente i privilegi CONNECT dagli amministratori per accedere al cluster. Per ulteriori informazioni sulla concessione dei privilegi CONNECT, consulta. Privilegi Connect

    • Dopo la registrazione AWS Glue Data Catalog, le identità AWS IAM Identity Center federate esistenti e le relative risorse di proprietà rimangono invariate. Vengono inoltre preservate le associazioni dei namespace per queste identità federate.

CLI

È possibile utilizzare modify-lakehouse-configuration il comando per registrare il cluster in AWS Glue Data Catalog, mentre il catalog-name viene utilizzato per creare e registrare il catalogo. AWS Glue Per supportare la propagazione dell'identità iDC, specifica l'arn del tuo tipo di lakehouse, RedshiftIdcApplication ciò richiede un'applicazione Redshift iDC di tipo Lakehouse, fai riferimento a Creare una nuova applicazione Redshift iDC di tipo Lakehouse: Configurazione dell'applicazione Identity Center per Redshift Warehouse con autorizzazioni federate.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Accedi a Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. https://console.aws.amazon.com/redshiftv2/

  2. Passa al cluster predisposto che desideri registrare e selezionalo.

  3. Dalla pagina dei dettagli del cluster, seleziona Registra con AWS Glue Data Catalog dal menu a discesa Azioni.

  4. Seleziona l'opzione di autorizzazioni federate Registrati con Amazon Redshift e

    • Inserisci un identificatore del nome del catalogo.

    • (Consigliato) Seleziona le autorizzazioni federate di Amazon Redshift da utilizzare per l' AWS IAM Identity Center associazione all'applicazione IDC Redshift e scegli Registra.

Registrazione dello spazio dei nomi Redshift Serverless

Redshift Serverless consente la registrazione di namespace Serverless collegati a gruppi di lavoro. AWS Glue Data Catalog Tieni presente che il database verrà riavviato durante questo aggiornamento.

Se lo spazio dei nomi Redshift Serverless è già associato a un'applicazione Redshift iDC di tipo non lakehouse, durante la registrazione di Glue Data Catalog si verifica quanto segue:

  • Se non viene fornito l'ARN dell'applicazione Redshift iDC, l'applicazione Redshift iDC esistente nel catalogo verrà impostata sullo stato di disabilitazione.

  • Quando viene specificata un'applicazione Redshift iDC di tipo Lakehouse da un' AWS IAM Identity Center istanza diversa, il provider iDC corrente viene disabilitato.

  • Quando viene fornita un'applicazione Redshift iDC di tipo Lakehouse dalla stessa istanza AWS IAM Identity Center

    • L'ARN dell'applicazione Redshift iDC nel catalogo verrà modificato nell'ARN dell'applicazione Redshift iDC di tipo Lakehouse. Il catalogo aggiornato può essere verificato interrogando svv_identity_providers. Per ulteriori informazioni su svv_identity_providers, vedi svv_identity_providers.

    • AWS IAM Identity Center gli utenti federati che in precedenza avevano accesso al cluster Redshift devono ricevere esplicitamente i privilegi CONNECT dagli amministratori per accedere al cluster. Per ulteriori informazioni sulla concessione dei privilegi CONNECT, consulta. Privilegi Connect

    • Dopo la registrazione AWS Glue Data Catalog, le identità AWS IAM Identity Center federate esistenti e le relative risorse di proprietà rimangono invariate. Vengono inoltre preservate le associazioni dei namespace per queste identità federate.

CLI

Puoi usare il update-lakehouse-configuration comando per registrare il tuo spazio dei nomi Redshift Serverless su AWS Glue Data Catalog, che catalog-name viene utilizzato per creare e registrare il tuo catalogo Glue. Per supportare la propagazione dell'identità Idc, specifica l'arn di un'applicazione Redshift Idc di tipo Lakehouse.

aws redshift-serverless update-lakehouse-configuration \
    --namespace-name 'serverless-namespace-name' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17'
Console

  1. Accedi a Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. https://console.aws.amazon.com/redshiftv2/

  2. Passa al cluster predisposto che desideri registrare e selezionalo.

  3. Dalla pagina dei dettagli del cluster, seleziona Registra con AWS Glue Data Catalog dal menu a discesa Azioni.

  4. Seleziona l'opzione di autorizzazioni federate Registrati con Amazon Redshift e

    • Inserisci un identificatore del nome del catalogo.

    • (Consigliato) Seleziona le autorizzazioni federate di Amazon Redshift da utilizzare per l' AWS IAM Identity Center associazione all'applicazione IDC Redshift e scegli Registra.

Abilita la propagazione delle identità AWS IAM Identity Center

Amazon Redshift supporta la propagazione delle identità di Identity Center (iDC) per trasferire senza problemi le identità degli utenti iDC tra istanze Redshift e servizi/. AWS Lake FormationAWS Glue

Prerequisiti

Se il tuo Redshift Cluster o Redshift Serverless Namespace è già associato a un'applicazione Redshift iDC di tipo diverso da Lakehouse, durante la registrazione si verifica quanto segue: AWS Glue Data Catalog

  • Se non viene fornito l'ARN dell'applicazione Redshift iDC, l'applicazione Redshift iDC esistente nel catalogo verrà impostata sullo stato di disabilitazione.

  • Quando viene specificata un'applicazione Redshift iDC di tipo Lakehouse da un' AWS IAM Identity Center istanza diversa, il provider iDC corrente viene disabilitato.

  • Quando viene fornita un'applicazione Redshift iDC di tipo Lakehouse dalla stessa istanza AWS IAM Identity Center

    • L'ARN dell'applicazione Redshift iDC nel catalogo verrà modificato nell'ARN dell'applicazione Redshift iDC di tipo Lakehouse. Il catalogo aggiornato può essere verificato interrogando svv_identity_providers. Per ulteriori informazioni su svv_identity_providers, vedi svv_identity_providers.

    • AWS IAM Identity Center gli utenti federati che in precedenza avevano accesso al cluster Redshift devono ricevere esplicitamente i privilegi CONNECT dagli amministratori per accedere al cluster. Per ulteriori informazioni sulla concessione dei privilegi CONNECT, consulta. Privilegi Connect

    • Dopo la registrazione AWS Glue Data Catalog, le identità AWS IAM Identity Center federate esistenti e le relative risorse di proprietà rimangono invariate. Vengono inoltre preservate le associazioni dei namespace per queste identità federate.

Abilita AWS IAM Identity Center la propagazione delle identità per i cluster con provisioning di Amazon Redshift

Per Amazon Redshift Provisioned Cluster su cui ha registrato il proprio namespace AWS Glue Data Catalog, è necessaria l'applicazione Lakehouse Amazon Redshift iDC che non richiede l'assegnazione esplicita dell' AWS IAM Identity Center identità dell'utente all'applicazione. Il privilegio di accesso degli utenti iDC è gestito dal privilegio CONNECT nel magazzino Redshift.

CLI

Puoi usare il modify-lakehouse-configuration comando per abilitare la propagazione dell'identità iDC per i tuoi cluster con autorizzazioni federate Redshift, specificare l'arn del tuo tipo di lakehouse, RedshiftIdcApplication ciò richiede un'applicazione Redshift Lakehouse iDC, fai riferimento a Creare una nuova applicazione Redshift iDC di tipo Lakehouse: Identity Center Application Configuration for Redshift Warehouse con permessi federati.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Accedi a Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. https://console.aws.amazon.com/redshiftv2/

  2. Passa al cluster predisposto che desideri registrare e selezionalo.

  3. Dalla pagina dei dettagli del cluster, seleziona Registra con AWS Glue Data Catalog dal menu a discesa Azioni.

  4. Seleziona Abilita dalle autorizzazioni federate di Amazon Redshift utilizzando il menu a AWS IAM Identity Center discesa per associare l'applicazione IDC e scegli Salva modifiche.

Abilita AWS IAM Identity Center la propagazione delle identità per i namespace Serverless di Amazon Redshift

CLI

Puoi usare il modify-lakehouse-configuration comando per abilitare la propagazione dell'identità iDC per il tuo spazio dei nomi con autorizzazioni federate Redshift, specificare l'arn del tuo tipo di lakehouse, ciò richiede un'applicazione Redshift Lakehouse iDC RedshiftIdcApplication, fai riferimento a Creare una nuova applicazione Redshift iDC di tipo Lakehouse: Identity Center Application Configuration for Redshift Warehouse con autorizzazioni federate.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Accedi a Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. https://console.aws.amazon.com/redshiftv2/

  2. Passa allo spazio dei nomi serverless di cui desideri modificare la registrazione e selezionalo.

  3. Dalla pagina dei dettagli del cluster, seleziona Modifica AWS Glue Data Catalog registrazione dal menu a discesa Azioni.

  4. Seleziona Abilita dalle autorizzazioni federate di Amazon Redshift utilizzando il menu a AWS IAM Identity Center discesa per associare l'applicazione IDC e scegli Salva modifiche.

MODIFICA L'IDENTITÀ GLOBALE DEL SET UTENTE

Oltre a IAM e alle AWS IAM Identity Center credenziali, l'utente che esegue query su Redshift Warehouses con autorizzazioni federate può autenticarsi utilizzando un ruolo IAM. Un superutente può impostare un ruolo IAM per un altro utente non federato da associare automaticamente all'istituzione della sessione e questo ruolo IAM verrà assunto quando si effettuano query su Redshift Warehouses with Federated Permissions. Questa funzionalità viene fornita per consentire agli utenti iDC di autenticarsi in modo non interattivo. AWS

Questa funzionalità è utile per i seguenti casi d'uso:

  • Clienti con configurazioni ampie e complesse con utenti esistenti del magazzino locale oltre a utenti con identità globale.

  • Clienti che utilizzano iDC, ma che desiderano poter accedere automaticamente senza l'azione interattiva del browser per accedere.

Requisiti e limitazioni:

  • Solo un super utente può impostare il ruolo IAM tramiteALTER USER.

  • Il ruolo IAM deve essere collegato al cluster.

  • Il ruolo IAM deve disporre delle autorizzazioni per accedere alle risorse necessarie per eseguire le query sui magazzini Redshift con autorizzazioni federate. Consigliamo di utilizzare policy gestite. AmazonRedshiftFederatedAuthorization AWS

  • Gli utenti che si autenticano tramite il ruolo IAM di GLOBAL IDENTITY possono interrogare le viste nei magazzini Redshift con autorizzazioni federate, ma non possono CREARLE, ALTERARLE, AGGIORNARLE o ELIMINARLE.

Sintassi

La sintassi seguente descrive il ALTER USER SET GLOBAL IDENTITY comando utilizzato per impostare il ruolo IAM per un utente di database non federato per eseguire query su Redshift Warehouses with Federated Permissions.

ALTER USER username SET
GLOBAL IDENTITY IAM_ROLE 'arn:aws:iam::<AWS-account-id>:role/<role-name>'

Ora, una volta autenticato come utente di destinazione (connettendosi direttamente come o utilizzando SET SESSION AUTHORIZATION)username, è possibile verificare il ruolo di identità globale utilizzando

SHOW GLOBAL IDENTITY

Nota, il ruolo di identità globale è associato all'utente al momento dell'istituzione della sessione. Se imposti l'identità globale per l'utente attualmente connesso, quell'utente dovrà riconnettersi affinché l'identità globale abbia effetto.

Il comando seguente può essere utilizzato per rimuovere il ruolo IAM associato.

ALTER USER username RESET GLOBAL IDENTITY

Parameters

username

Nome dell'utente. Non può essere un utente federato, come un utente IAM o un utente AWS IDC.

<account-id><role-name>IAM_ROLE 'arn:aws:iam: :role/ '

Utilizza Amazon Resource Name (ARN) per un ruolo IAM utilizzato dal cluster per l'autenticazione e l'autorizzazione quando l'utente username esegue query sui magazzini Redshift con autorizzazioni federate. Questo ruolo deve disporre delle autorizzazioni necessarie per eseguire la query. Si consiglia di utilizzare AmazonRedshiftFederatedAuthorization AWS Managed Policy.