Amazon Redshift non supporterà più la creazione di nuovi Python UDFs a partire dalla Patch 198. Python esistente UDFs continuerà a funzionare fino al 30 giugno 2026. Per ulteriori informazioni, consulta il [post del blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Prerequisiti
## Requisiti delle policy IAM per la configurazione delle autorizzazioni federate di Amazon Redshift
Le autorizzazioni federate di Amazon Redshift ti consentono di gestire centralmente l'accesso ai dati tra i carichi di lavoro di analisi, con autorizzazioni gestite direttamente dal magazzino Redshift.
Per abilitare le autorizzazioni federate di Amazon Redshift, sono necessarie autorizzazioni IAM specifiche oltre alle autorizzazioni standard necessarie per creare cluster e namespace serverless con provisioning Redshift.
Affinché Redshift provisioned warehouse abiliti le autorizzazioni federate Redshift:
+ `redshift:ModifyLakehouseConfiguration`
+ `redshift:RegisterNamespace`
Affinché Redshift Serverless Warehouse abiliti le autorizzazioni federate Redshift:
+ `redshift-serverless:UpdateLakehouseConfiguration`
+ `redshift:RegisterNamespace`
Per AWS Glue Data Catalog l'integrazione per creare un catalogo con autorizzazioni federate Redshift:
+ `glue:CreateCatalog`
+ `glue:GetCatalog`
*Per la registrazione delle risorse di Lake Formation come registrazione unica per abilitare la federazione delle autorizzazioni Redshift dal magazzino remoto con autorizzazioni federate:*
+ `lakeformation:RegisterResource`
+ `lakeformation:RegisterResourceWithPrivilegedAccess`
## Configurazione dell'applicazione IAM Identity Center per il magazzino Redshift con autorizzazioni federate
Amazon Redshift supporta la propagazione delle identità dei centri di identità per trasferire senza problemi le identità degli utenti tra istanze e servizi Redshift. AWS Lake Formation AWS Glue Questa funzionalità richiede la configurazione di applicazioni iDC dedicate.
*Autorizzazioni IAM richieste*
Per creare e gestire l'applicazione Identity Center per la propagazione delle identità Identity Center, assicurati che le tue autorizzazioni IAM includano le seguenti autorizzazioni:
*Per la gestione delle applicazioni Amazon Redshift iDC:*
+ `redshift:CreateRedshiftIdcApplication`
+ `redshift:ModifyRedshiftIdcApplication`
+ `redshift:DescribeRedshiftIdcApplications`
*Per la gestione delle applicazioni Lake Formation iDC:*
+ `lakeformation:CreateLakeFormationIdentityCenterConfiguration`
+ `lakeformation:DescribeLakeFormationIdentityCenterConfiguration`
+ `lakeformation:UpdateLakeFormationIdentityCenterConfiguration`
**Crea le applicazioni e la configurazione iDC corrispondenti**
Per stabilire la propagazione delle identità per i tuoi carichi di lavoro di analisi, crea un'applicazione Amazon Redshift iDC di tipo Lakehouse. Gestisce le autorizzazioni senza richiedere assegnazioni esplicite agli utenti. I magazzini Redshift collegati a questa applicazione richiedono i privilegi CONNECT per consentire agli utenti iDC di autenticare le connessioni.
Puoi creare una sola applicazione Amazon Redshift iDC di tipo Lakehouse per. Account AWS Questa applicazione gestisce la propagazione delle identità in tutti i magazzini Redshift integrati con Lake Formation e i servizi. AWS Glue L'applicazione può essere utilizzata solo con i magazzini Redshift registrati presso. AWS Glue Data Catalog
**Preparare il ruolo IAM assunto da Redshift e utilizzato dalla propagazione dell'identità IdC**
La creazione di applicazioni Redshift Lakehouse iDC richiede un ruolo IAM dall'account con determinate autorizzazioni IAM. Il ruolo IAM utilizzato nelle applicazioni Redshift iDC deve avere la seguente relazione di fiducia per consentire a Redshift di assumerlo e impostare il contesto per la propagazione dell'identità iDC.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
Di seguito sono riportate le autorizzazioni relative al ruolo IAM di iDC per supportare la propagazione delle identità iDC.
+ [AmazonRedshiftFederatedAuthorization](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRedshiftFederatedAuthorization.html)— Questa policy consente ad Amazon Redshift di interrogare i AWS Glue Data Catalog database tramite autorizzazioni federate.
+ AWSIDC Imposta la politica contestuale
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:SetContext"
],
"Resource": "*"
}
]
}
```
+ [Configurazione di Redshift come applicazione AWS gestita](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-access-control-idp-connect-console.html#redshift-iam-access-control-idp-connect-admin-tasks) con. AWS IAM Identity Center
+ AWSIDC policy SSO IAM del centro di identità:
+ `sso:DescribeApplication`: necessario per creare una voce del gestore dell'identità digitale nel catalogo.
+ `sso:DescribeInstance`: utilizzato per creare manualmente ruoli o utenti federati del gestore dell'identità digitale.
```
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/",
"arn:aws:sso:::application//*"
]
}
```
Crea una nuova applicazione Redshift iDC tipo Lakehouse
------
#### [ CLI ]
Crea la tua applicazione Lakehouse iDC specificando il tipo di applicazione Lakehouse nella `create-redshift-idc-application` richiesta, in modo da eliminare la necessità di assegnazioni esplicite degli utenti in Identity Center e abilitando al contempo i requisiti di privilegi per l'autenticazione degli utenti iDC: `CONNECT`
```
aws redshift create-redshift-idc-application \
--idc-instance-arn \
--idc-display-name '' \
--iam-role-arn \
--application-type Lakehouse \
--redshift-idc-application-name '' \
--service-integrations '[
{
"LakeFormation":[
{
"LakeFormationQuery":{"Authorization": "Enabled"}
}
]
},
{
"Redshift":[
{
"Connect" : {
"Authorization": "Enabled"
}
}
]
}
]'
```
Questa configurazione consente la propagazione affidabile dell'identità tra Redshift e Lake Formation, consentendo agli utenti di accedere ai dati tra i servizi utilizzando le proprie credenziali Identity Center senza assegnazioni di autorizzazioni aggiuntive.
------
#### [ Console ]
1. Accedi a Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Passa alla pagina delle connessioni di IAM Identity Center e seleziona **Crea applicazione**.
1. Configura le impostazioni generali dell'applicazione idc.
1. Seleziona **Configura le autorizzazioni federate di Amazon Redshift utilizzando AWS IAM Identity Center (Consigliato) per impostare il tipo** di applicazione.
1. Le integrazioni di propagazione delle identità di Lake Formation e Redshift connect sono abilitate per impostazione predefinita.
1. **Completa le restanti impostazioni del cluster e scegli Crea applicazione.**
------
Modificare un'applicazione Redshift iDC esistente
Se disponi di un'applicazione Redshift iDC esistente che non ha le integrazioni di servizio richieste abilitate, puoi aggiornarla per supportare la propagazione delle identità tra servizi e cluster/namespace.
------
#### [ CLI ]
Utilizzate il comando per abilitare sia l'autorizzazione che l'autorizzazione. `modify-redshift-idc-application` `LakeFormation:query` `Redshift:Connect` Queste integrazioni sono essenziali per la propagazione delle identità IDC tra servizi e cluster:
```
aws redshift modify-redshift-idc-application \
--redshift-idc-application-arn '' \
--service-integrations '[
{
"LakeFormation":[
{
"LakeFormationQuery":{"Authorization": "Enabled"}
}
]
},
{
"Redshift":[
{
"Connect" : {
"Authorization": "Enabled"
}
}
]
}
]'
```
------
#### [ Console ]
1. Accedi a Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Vai alla pagina delle connessioni di IAM Identity Center e scegli un'applicazione IDC esistente che desideri modificare.
1. **Scegli le integrazioni di propagazione delle identità per abilitare e configurare altre impostazioni e scegli Salva modifiche.**
------
**Crea la configurazione del centro di identità di Lake Formation**
Il tuo servizio Lake Formation richiede un'applicazione iDC dedicata se non ne è stata ancora creata una. È inoltre necessario abilitare `Redshift:Connect` l'autorizzazione affinché la configurazione funzioni correttamente.
------
#### [ CLI ]
Utilizzate il `create-lake-formation-identity-center-configuration` comando per abilitare `Redshift:Connect` l'autorizzazione. Queste integrazioni sono essenziali per Lake Formation, che propaga l'identità iDC ai cluster Redshift e ai namespace Serverless Redshift.
```
aws lakeformation create-lake-formation-identity-center-configuration \
--instance-arn \
--service-integrations '[{
"Redshift": [{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}]
}]'
```
------
#### [ Console ]
1. Accedi a Console di gestione AWS, e apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Nel riquadro di navigazione a sinistra, seleziona **IAM Identity Center integration**.
1. Nella pagina di integrazione di IAM Identity Center puoi abilitare la propagazione affidabile delle identità per Amazon Redshift connect. Lake Formation propaga l'identità a valle sulla base delle autorizzazioni effettive, in modo che le applicazioni autorizzate possano accedere ai dati per conto degli utenti.
------
**Aggiorna la configurazione del centro di identità di Lake Formation**
Se hai configurato un'applicazione Lake Formation iDC che non ha le integrazioni di servizio richieste abilitate, puoi aggiornarla per supportare la propagazione dell'identità tra servizi e cluster/namespace.
------
#### [ CLI ]
`update-lake-formation-identity-center-configuration``Redshift:Connect`Usa il comando per abilitare l'autorizzazione. Queste integrazioni sono essenziali per la propagazione delle identità IDC tra servizi e cluster:
```
aws lakeformation update-lake-formation-identity-center-configuration \
--service-integrations '[{
"Redshift": [{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}]
}]'
```
------
#### [ Console ]
1. Accedi a Console di gestione AWS, e apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Nel riquadro di navigazione a sinistra, seleziona **IAM Identity Center integration**.
1. Nella pagina di integrazione di IAM Identity Center puoi abilitare la propagazione affidabile delle identità per Amazon Redshift connect. Lake Formation propaga l'identità a valle sulla base delle autorizzazioni effettive, in modo che le applicazioni autorizzate possano accedere ai dati per conto degli utenti.
------
## Prerequisiti di Lake Formation
Il cliente necessita delle `CREATE_CATALOG` autorizzazioni Lake Formation per l'abilitazione AWS Glue Data Catalog con le autorizzazioni federate di Amazon Redshift.
1. Se l'account appartiene a un cliente esistente di Lake Formation, l'amministratore di Lake Formation deve concedere esplicitamente l'autorizzazione CREATE\$1CATALOG a ciascun creatore di cluster. Utilizza il seguente comando CLI di esempio:
```
aws lakeformation grant-permissions \
--cli-input-json \
'{
"Principal": {
"DataLakePrincipalIdentifier": ""
},
"Resource": {
"Catalog": {}
},
"Permissions": [
"CREATE_CATALOG"
]
}'
```
1. Se l'account non ha mai utilizzato Lake Formation, verifica che Catalog Creators sia impostato su IAMAllowed Principal nella pagina Ruoli e attività amministrative della console Lake Formation. Se non è configurato, configura un amministratore del Data Lake seguendo la procedura [Crea un amministratore del data lake](https://docs.aws.amazon.com/lake-formation/latest/dg/initial-lf-config.html#create-data-lake-admin). In alternativa, puoi creare un amministratore di Data Lake con le policy minime richieste se lo utilizzerai solo AWS Glue Data Catalog con le autorizzazioni federate di Amazon Redshift.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"lakeformation:PutDataLakeSettings",
"lakeformation:GrantPermissions",
"lakeformation:GetDataLakeSettings",
"lakeformation:BatchGrantPermissions",
"lakeformation:ListPermissions"
],
"Resource": [
"*"
]
}
]
}
```
1. Chiedi all' DataLake amministratore di concedere le autorizzazioni ai Responsabili per la creazione del catalogo IAMAllowed. L'accesso può essere concesso tramite il pulsante **Concedi** ai creatori del catalogo nella pagina Ruolo e attività amministrative.
## Privilegi Connect
Nell'ambito delle autorizzazioni federate di Amazon Redshift, Amazon Redshift ha introdotto i privilegi CONNECT per gestire l'accesso AWS IAM Identity Center degli utenti federati ai gruppi di lavoro o ai cluster di Amazon Redshift. Questa funzionalità è disponibile quando le autorizzazioni federate di Amazon Redshift sono abilitate sul gruppo di lavoro o sul cluster.
Questo privilegio consente agli amministratori di controllare l'accesso degli utenti tramite autorizzazioni granulari per ogni gruppo di lavoro o cluster di Amazon Redshift in cui sono abilitate le autorizzazioni federate di Amazon Redshift. L'amministratore di Amazon Redshift può specificare quali utenti o gruppi AWS IAM Identity Center federati hanno accesso per connettersi direttamente al gruppo di lavoro o cluster Amazon Redshift, fornendo un controllo granulare sull'accesso degli utenti a ciascun gruppo di lavoro o cluster. AWS IAM Identity Center
### Sintassi
```
GRANT CONNECT [ON WORKGROUP]
TO [USER] : | ROLE : | PUBLIC;
```
CONNETTI [SUL GRUPPO DI LAVORO]
Concede il permesso di connettersi a un gruppo di lavoro. L'autorizzazione CONNECT è applicabile solo alle AWS IAM Identity Center identità (utenti e ruoli).
PER:
Indica l'utente AWS IAM Identity Center federato che riceve le autorizzazioni.
AL RUOLO:
Indica il gruppo AWS IAM Identity Center federato che riceve le autorizzazioni.
PUBLIC
Concede le autorizzazioni CONNECT a tutti gli utenti AWS IAM Identity Center federati, inclusi gli utenti creati in seguito.