Requisiti della policy IAM Configurazione dell’applicazione Prerequisiti di Lake Formation Privilegi Connect

Prerequisiti

Requisiti delle policy IAM per la configurazione delle autorizzazioni federate di Amazon Redshift

Le autorizzazioni federate di Amazon Redshift ti consentono di gestire centralmente l'accesso ai dati tra i carichi di lavoro di analisi, con autorizzazioni gestite direttamente dal magazzino Redshift.

Per abilitare le autorizzazioni federate di Amazon Redshift, sono necessarie autorizzazioni IAM specifiche oltre alle autorizzazioni standard necessarie per creare cluster e namespace serverless con provisioning Redshift.

Affinché Redshift provisioned warehouse abiliti le autorizzazioni federate Redshift:

redshift:ModifyLakehouseConfiguration
redshift:RegisterNamespace

Affinché Redshift Serverless Warehouse abiliti le autorizzazioni federate Redshift:

redshift-serverless:UpdateLakehouseConfiguration
redshift:RegisterNamespace

Per AWS Glue Data Catalog l'integrazione per creare un catalogo con autorizzazioni federate Redshift:

glue:CreateCatalog
glue:GetCatalog

Per la registrazione delle risorse di Lake Formation come registrazione unica per abilitare la federazione delle autorizzazioni Redshift dal magazzino remoto con autorizzazioni federate:

lakeformation:RegisterResource
lakeformation:RegisterResourceWithPrivilegedAccess

Configurazione dell'applicazione IAM Identity Center per il magazzino Redshift con autorizzazioni federate

Amazon Redshift supporta la propagazione delle identità dei centri di identità per trasferire senza problemi le identità degli utenti tra istanze e servizi Redshift. AWS Lake Formation AWS Glue Questa funzionalità richiede la configurazione di applicazioni iDC dedicate.

Autorizzazioni IAM richieste

Per creare e gestire l'applicazione Identity Center per la propagazione delle identità Identity Center, assicurati che le tue autorizzazioni IAM includano le seguenti autorizzazioni:

Per la gestione delle applicazioni Amazon Redshift iDC:

redshift:CreateRedshiftIdcApplication
redshift:ModifyRedshiftIdcApplication
redshift:DescribeRedshiftIdcApplications

Per la gestione delle applicazioni Lake Formation iDC:

lakeformation:CreateLakeFormationIdentityCenterConfiguration
lakeformation:DescribeLakeFormationIdentityCenterConfiguration
lakeformation:UpdateLakeFormationIdentityCenterConfiguration

Crea le applicazioni e la configurazione iDC corrispondenti

Per stabilire la propagazione delle identità per i tuoi carichi di lavoro di analisi, crea un'applicazione Amazon Redshift iDC di tipo Lakehouse. Gestisce le autorizzazioni senza richiedere assegnazioni esplicite agli utenti. I magazzini Redshift collegati a questa applicazione richiedono i privilegi CONNECT per consentire agli utenti iDC di autenticare le connessioni.

Puoi creare una sola applicazione Amazon Redshift iDC di tipo Lakehouse per. Account AWS Questa applicazione gestisce la propagazione delle identità in tutti i magazzini Redshift integrati con Lake Formation e i servizi. AWS Glue L'applicazione può essere utilizzata solo con i magazzini Redshift registrati presso. AWS Glue Data Catalog

Preparare il ruolo IAM assunto da Redshift e utilizzato dalla propagazione dell'identità IdC

La creazione di applicazioni Redshift Lakehouse iDC richiede un ruolo IAM dall'account con determinate autorizzazioni IAM. Il ruolo IAM utilizzato nelle applicazioni Redshift iDC deve avere la seguente relazione di fiducia per consentire a Redshift di assumerlo e impostare il contesto per la propagazione dell'identità iDC.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "redshift-serverless.amazonaws.com",
                    "redshift.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

Di seguito sono riportate le autorizzazioni relative al ruolo IAM di iDC per supportare la propagazione delle identità iDC.

AmazonRedshiftFederatedAuthorization— Questa policy consente ad Amazon Redshift di interrogare i AWS Glue Data Catalog database tramite autorizzazioni federate.

AWSIDC Imposta la politica contestuale


 {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "*"
        }
    ]
}

Configurazione di Redshift come applicazione AWS gestita con. AWS IAM Identity Center

AWSIDC policy SSO IAM del centro di identità:

sso:DescribeApplication: necessario per creare una voce del gestore dell'identità digitale nel catalogo.

sso:DescribeInstance: utilizzato per creare manualmente ruoli o utenti federati del gestore dell'identità digitale.


{
  "Sid": "VisualEditor1",
  "Effect": "Allow",
  "Action": [
    "sso:DescribeApplication",
    "sso:DescribeInstance"
  ],
  "Resource": [
    "arn:aws:sso:::instance/<IAM Identity Center Instance ID>",
    "arn:aws:sso::<AWS-account-id>:application/<IAM Identity Center Instance ID>/*"
  ]
}

Crea una nuova applicazione Redshift iDC tipo Lakehouse

CLI

Crea la tua applicazione Lakehouse iDC specificando il tipo di applicazione Lakehouse nella create-redshift-idc-application richiesta, in modo da eliminare la necessità di assegnazioni esplicite degli utenti in Identity Center e abilitando al contempo i requisiti di privilegi per l'autenticazione degli utenti iDC: CONNECT


aws redshift create-redshift-idc-application \
--idc-instance-arn <your_idc_instance_arn> \
--idc-display-name '<name_of_idc_application_display_on_idc_console>' \
--iam-role-arn <idc_carrier_role_arn> \
--application-type Lakehouse \
--redshift-idc-application-name '<name_of_idc_display_on_redshift_console>' \
--service-integrations '[
        {
            "LakeFormation":[
                {
                    "LakeFormationQuery":{"Authorization": "Enabled"}
                }
            ]
        },
        {
            "Redshift":[
                {
                    "Connect" : {
                        "Authorization": "Enabled"
                    }
                }
            ]
        }
    ]'

Questa configurazione consente la propagazione affidabile dell'identità tra Redshift e Lake Formation, consentendo agli utenti di accedere ai dati tra i servizi utilizzando le proprie credenziali Identity Center senza assegnazioni di autorizzazioni aggiuntive.

Console

Accedi a Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. https://console.aws.amazon.com/redshiftv2/
Passa alla pagina delle connessioni di IAM Identity Center e seleziona Crea applicazione.
Configura le impostazioni generali dell'applicazione idc.
Seleziona Configura le autorizzazioni federate di Amazon Redshift utilizzando AWS IAM Identity Center (Consigliato) per impostare il tipo di applicazione.
Le integrazioni di propagazione delle identità di Lake Formation e Redshift connect sono abilitate per impostazione predefinita.
Completa le restanti impostazioni del cluster e scegli Crea applicazione.

Modificare un'applicazione Redshift iDC esistente

Se disponi di un'applicazione Redshift iDC esistente che non ha le integrazioni di servizio richieste abilitate, puoi aggiornarla per supportare la propagazione delle identità tra servizi e cluster/namespace.

Crea la configurazione del centro di identità di Lake Formation

Il tuo servizio Lake Formation richiede un'applicazione iDC dedicata se non ne è stata ancora creata una. È inoltre necessario abilitare Redshift:Connect l'autorizzazione affinché la configurazione funzioni correttamente.

Aggiorna la configurazione del centro di identità di Lake Formation

Se hai configurato un'applicazione Lake Formation iDC che non ha le integrazioni di servizio richieste abilitate, puoi aggiornarla per supportare la propagazione dell'identità tra servizi e cluster/namespace.

Prerequisiti di Lake Formation

Il cliente necessita delle CREATE_CATALOG autorizzazioni Lake Formation per l'abilitazione AWS Glue Data Catalog con le autorizzazioni federate di Amazon Redshift.

Se l'account appartiene a un cliente esistente di Lake Formation, l'amministratore di Lake Formation deve concedere esplicitamente l'autorizzazione CREATE_CATALOG a ciascun creatore di cluster. Utilizza il seguente comando CLI di esempio:


aws lakeformation grant-permissions \
    --cli-input-json \
    '{
        "Principal": {
            "DataLakePrincipalIdentifier": "<PrincipalArn>"
        },
        "Resource": {
            "Catalog": {}
        },
        "Permissions": [
            "CREATE_CATALOG"
        ]
    }'

Se l'account non ha mai utilizzato Lake Formation, verifica che Catalog Creators sia impostato su IAMAllowed Principal nella pagina Ruoli e attività amministrative della console Lake Formation. Se non è configurato, configura un amministratore del Data Lake seguendo la procedura Crea un amministratore del data lake. In alternativa, puoi creare un amministratore di Data Lake con le policy minime richieste se lo utilizzerai solo AWS Glue Data Catalog con le autorizzazioni federate di Amazon Redshift.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "lakeformation:PutDataLakeSettings",
                "lakeformation:GrantPermissions",
                "lakeformation:GetDataLakeSettings",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:ListPermissions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Chiedi all' DataLake amministratore di concedere le autorizzazioni ai Responsabili per la creazione del catalogo IAMAllowed. L'accesso può essere concesso tramite il pulsante Concedi ai creatori del catalogo nella pagina Ruolo e attività amministrative.

Privilegi Connect

Nell'ambito delle autorizzazioni federate di Amazon Redshift, Amazon Redshift ha introdotto i privilegi CONNECT per gestire l'accesso AWS IAM Identity Center degli utenti federati ai gruppi di lavoro o ai cluster di Amazon Redshift. Questa funzionalità è disponibile quando le autorizzazioni federate di Amazon Redshift sono abilitate sul gruppo di lavoro o sul cluster.

Questo privilegio consente agli amministratori di controllare l'accesso degli utenti tramite autorizzazioni granulari per ogni gruppo di lavoro o cluster di Amazon Redshift in cui sono abilitate le autorizzazioni federate di Amazon Redshift. L'amministratore di Amazon Redshift può specificare quali utenti o gruppi AWS IAM Identity Center federati hanno accesso per connettersi direttamente al gruppo di lavoro o cluster Amazon Redshift, fornendo un controllo granulare sull'accesso degli utenti a ciascun gruppo di lavoro o cluster. AWS IAM Identity Center

Sintassi


GRANT CONNECT [ON WORKGROUP]
TO [USER] <prefix>:<username> | ROLE <prefix>:<rolename> | PUBLIC;

CONNETTI [SUL GRUPPO DI LAVORO]: Concede il permesso di connettersi a un gruppo di lavoro. L'autorizzazione CONNECT è applicabile solo alle AWS IAM Identity Center identità (utenti e ruoli).
<prefix>PER: <username>: Indica l'utente AWS IAM Identity Center federato che riceve le autorizzazioni.
<prefix>AL RUOLO: <rolename>: Indica il gruppo AWS IAM Identity Center federato che riceve le autorizzazioni.
PUBLIC: Concede le autorizzazioni CONNECT a tutti gli utenti AWS IAM Identity Center federati, inclusi gli utenti creati in seguito.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Considerazioni

Onboarding