Amazon Redshift non supporterà più la creazione di nuovi Python UDFs a partire dalla Patch 198. Python esistente UDFs continuerà a funzionare fino al 30 giugno 2026. Per ulteriori informazioni, consulta il [post del blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Connect Redshift con AWS IAM Identity Center per un'esperienza Single Sign-On
Puoi gestire l'accesso di utenti e gruppi ai data warehouse Amazon Redshift tramite la propagazione di identità affidabili.
[La propagazione affidabile delle identità](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html) è una AWS IAM Identity Center funzionalità che gli amministratori di connected Servizi AWS possono utilizzare per concedere e controllare l'accesso ai dati del servizio. L’accesso a questi dati si basa su attributi utente come le associazioni di gruppo. La configurazione di una propagazione affidabile delle identità richiede la collaborazione tra gli amministratori di connected Servizi AWS e gli amministratori di IAM Identity Center. Per ulteriori informazioni, consulta [Prerequisites and considerations](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html).
Per illustrare un end-to-end caso, puoi utilizzare una Amazon Quick dashboard o l'editor di query Amazon Redshift v2 per accedere a Redshift. L'accesso in questo caso si basa su gruppi AWS IAM Identity Center. Redshift può determinare chi è un utente e le sue appartenenze ai gruppi. AWS IAM Identity Center consente inoltre di connettere e gestire le identità tramite un provider di identità (IdP) di terze parti come Okta o. PingOne
Dopo aver configurato la connessione tra Redshift e AWS IAM Identity Center, l'amministratore può configurare un accesso granulare basato su gruppi di provider di identità per autorizzare l'accesso degli utenti ai dati.
**Importante**
Quando elimini un utente da un AWS IAM Identity Center o da una directory di provider di identità (IdP) connesso, l'utente non viene eliminato automaticamente dal catalogo Amazon Redshift. Per eliminare manualmente l'utente dal catalogo Amazon Redshift, esegui il `DROP USER` comando per eliminare completamente l'utente che è stato rimosso da un AWS IAM Identity Center o IDP. Per ulteriori informazioni su come rimuovere un utente, consulta [DROP USER](https://docs.aws.amazon.com/redshift/latest/dg/r_DROP_USER.html) nella *Guida per sviluppatori di database di Amazon Redshift*.
## Vantaggi dell'integrazione di Redshift con AWS IAM Identity Center
L'utilizzo di AWS IAM Identity Center con Redshift può apportare vantaggi alla tua organizzazione nei seguenti modi:
+ Gli autori di dashboard Amazon Quick possono connettersi alle fonti di dati Redshift senza dover reinserire le password o richiedere a un amministratore di configurare i ruoli IAM con autorizzazioni complesse.
+ AWS IAM Identity Center fornisce una posizione centrale per gli utenti della tua forza lavoro in. AWS Puoi creare utenti e gruppi direttamente in AWS IAM Identity Center o connettere utenti e gruppi esistenti che gestisci in un provider di identità basato su standard come Okta PingOne o Microsoft Entra ID (Azure AD). AWS IAM Identity Center indirizza l'autenticazione verso la fonte di verità prescelta per utenti e gruppi e mantiene un elenco di utenti e gruppi a cui può accedere Redshift. Per ulteriori informazioni, consulta [Manage your identity source](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) e [Supported identity providers](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) nella *Guida per l'utente di Centro identitàAWS IAM*.
+ Puoi condividere un'istanza di AWS IAM Identity Center con più cluster e gruppi di lavoro Redshift con una semplice funzionalità di rilevamento automatico e connessione. Ciò semplifica l'aggiunta di cluster senza lo sforzo aggiuntivo di configurazione della connessione AWS IAM Identity Center per ciascuno di essi e garantisce che tutti i cluster e i gruppi di lavoro abbiano una visione coerente degli utenti, dei loro attributi e dei gruppi. Tieni presente che l'istanza AWS IAM Identity Center della tua organizzazione deve trovarsi nella stessa regione di tutte le condivisioni di dati Redshift a cui ti stai connettendo.
+ Con le identità degli utenti note e registrate insieme all'accesso ai dati, è più facile soddisfare le normative di conformità attraverso il controllo degli accessi degli utenti in AWS CloudTrail.
## Utenti tipo amministratore per il collegamento delle applicazioni
Di seguito sono riportati gli utenti tipo per connettere le applicazioni di analisi all’applicazione gestita da Centro identità AWS IAM per Redshift:
+ **Amministratore dell'applicazione**: crea un'applicazione e configura i servizi con cui abilita gli scambi di token di identità. Questo amministratore specifica inoltre quali utenti o gruppi hanno accesso all'applicazione.
+ **Amministratore dei dati**: configura l'accesso granulare ai dati. Gli utenti e i gruppi in AWS IAM Identity Center possono mappare autorizzazioni specifiche.
## Connessione ad Amazon Redshift con AWS IAM Identity Center tramite Amazon Quick
Di seguito viene illustrato come utilizzare Quick per l'autenticazione con Redshift quando è connesso e l'accesso è gestito AWS tramite IAM Identity Center[: Autorizzazione delle connessioni da Quick ai cluster Amazon Redshift](https://docs.aws.amazon.com/quick/latest/userguide/enabling-access-redshift.html). I passaggi illustrati si applicano anche ad Amazon Redshift serverless.
## Connessione ad Amazon Redshift con AWS IAM Identity Center tramite Amazon Redshift Query Editor v2
Dopo aver completato i passaggi per configurare una connessione AWS IAM Identity Center con Redshift, l'utente può accedere al database e agli oggetti appropriati nel database tramite la propria identità basata su AWS IAM Identity Center con prefisso nello spazio dei nomi. Per ulteriori informazioni sulla connessione ai database Redshift con Query Editor V2, consulta [Esecuzione di query su un database con Query Editor V2Esecuzione di query in un database con l'editor di query v2 di Amazon Redshift](query-editor-v2.md).
## AWS Utilizzo di IAM Identity Center su più Regioni AWS
Amazon Redshift supporta AWS IAM Identity Center in più versioni. Regioni AWS Puoi estendere AWS IAM Identity Center dalla tua regione principale Regione AWS a regioni aggiuntive per migliorare le prestazioni grazie alla vicinanza agli utenti e all'affidabilità. Quando viene aggiunta una nuova regione in AWS IAM Identity Center, è possibile creare applicazioni Redshift IAM Identity Center nella nuova regione senza replicare le identità dalla regione principale. Puoi configurare le autorizzazioni federate di Amazon Redshift utilizzando AWS IAM Identity Center nella nuova regione, dove puoi abilitare i controlli a livello di riga, colonna e mascheramento. *Per maggiori dettagli su come iniziare a usare AWS IAM Identity Center in più regioni, consulta [Manage IAM Identity Center in multiple Regioni AWS nella AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) User Guide.AWS *
## Limitazioni per la connessione ad Amazon Redshift con AWS IAM Identity Center
Quando utilizzi il single sign-on di AWS IAM Identity Center, considera la seguente limitazione:
+ **Nessun supporto per VPC avanzato: il VPC** avanzato non è supportato quando utilizzi il single sign-on di AWS IAM Identity Center per Amazon Redshift. Per ulteriori informazioni sul VPC avanzato, consulta [Routing VPC avanzato in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html).
# Configurazione dell'integrazione di AWS IAM Identity Center con Amazon Redshift
L'amministratore del cluster Amazon Redshift o l'amministratore di Amazon Redshift Serverless deve eseguire diversi passaggi per configurare Redshift come AWS applicazione abilitata per IAM Identity Center. In questo modo Redshift può rilevare e connettersi automaticamente a AWS IAM Identity Center per ricevere i servizi di accesso e di elenco utenti. Dopodiché, quando l'amministratore di Redshift crea un cluster o un gruppo di lavoro, può consentire al nuovo data warehouse di utilizzare AWS IAM Identity Center per gestire l'accesso al database.
Lo scopo dell'abilitazione di Redshift come applicazione gestita da AWS IAM Identity Center è la possibilità di controllare le autorizzazioni di utenti e gruppi dall'interno di AWS IAM Identity Center o da un provider di identità di terze parti integrato con esso. Quando gli utenti del tuo database accedono a un database Redshift, ad esempio un analista o un data scientist, controlla i loro gruppi in AWS IAM Identity Center e questi corrispondono ai nomi dei ruoli in Redshift. In questo modo, un gruppo che definisce il nome per un ruolo del database Redshift può accedere, ad esempio, a un set di tabelle per l'analisi delle vendite. Nelle seguenti sezioni viene mostrato come si configura.
## Prerequisiti
Questi sono i prerequisiti per l'integrazione di AWS IAM Identity Center con Amazon Redshift:
+ *Configurazione dell'account*: devi configurare AWS IAM Identity Center nell'account di gestione della tua AWS organizzazione se prevedi di avere casi d'uso tra account o se utilizzi i cluster Redshift in account diversi con la AWS stessa istanza di IAM Identity Center. È inclusa la configurazione dell'origine di identità. Per ulteriori informazioni, consulta [Getting Started](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html), [Workforce Identities](https://docs.aws.amazon.com/singlesignon/latest/userguide/identities.html) e [Supported identity providers](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) nella *Guida per l'utente di Centro identitàAWS IAM*. Devi assicurarti di aver creato utenti o gruppi in AWS IAM Identity Center o di aver sincronizzato utenti e gruppi dalla tua fonte di identità prima di poterli assegnare ai dati in Redshift.
**Nota**
È possibile utilizzare un'istanza di account di AWS IAM Identity Center, a condizione che Redshift e AWS IAM Identity Center si trovino nello stesso account. Puoi creare questa istanza utilizzando un widget al momento della creazione e configurazione di un cluster o un gruppo di lavoro Redshift.
+ *Configurazione di un emittente di token attendibile*: in alcuni casi, potrebbe essere necessario utilizzare un emittente di token attendibile, ovvero un'entità in grado di emettere e verificare token attendibili. Prima di farlo, sono necessari passaggi preliminari prima che l'amministratore di Redshift che configura l'integrazione con AWS IAM Identity Center possa selezionare l'emittente affidabile del token e aggiungere gli attributi necessari per completare la configurazione. Ciò può includere la configurazione di un provider di identità esterno che funga da emittente di token affidabile e l'aggiunta dei relativi attributi nella console IAM Identity Center. AWS Per completare queste fasi, consulta [Utilizzo di applicazioni con un emittente di token attendibile](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-apps-with-trusted-token-issuer.html#setuptrustedtokenissuer).
**Nota**
La configurazione di un emittente di token attendibile non è richiesta per tutte le connessioni esterne. La connessione al database Redshift con l'Editor di query Amazon Redshift v2 non richiede la configurazione di un emittente di token attendibile. Può invece essere eseguita per applicazioni di terze parti come pannelli di controllo o applicazioni personalizzate che si autenticano con il tuo gestore dell'identità digitale.
+ *Configurazione di uno o più ruoli IAM*: nelle sezioni che seguono sono indicate le autorizzazioni che devono essere configurate. Dovrai aggiungere le autorizzazioni seguendo le best practice IAM. Le autorizzazioni specifiche sono illustrate nelle procedure che seguono.
Per ulteriori informazioni, consulta [Nozioni di base su Centro identità AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html).
## Configurazione del provider di identità per l'utilizzo con AWS IAM Identity Center
La prima fase nel controllo della gestione delle identità di utenti e gruppi consiste nel connettersi a Centro identità AWS IAM e configurare il provider di identità. Puoi utilizzare lo stesso AWS IAM Identity Center come provider di identità oppure puoi connettere un archivio di identità di terze parti, come Okta, ad esempio. Per ulteriori informazioni sulla configurazione della connessione e del provider di identità, consulta [Connettersi a un provider di identità esterno](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) nella *Guida per l’utente di Centro identitàAWS IAM*. Assicurati che alla fine di questo processo sia stata aggiunta una piccola raccolta di utenti e gruppi a AWS IAM Identity Center, a scopo di test.
### Autorizzazioni di amministrazione
#### Autorizzazioni richieste per la gestione del ciclo di vita delle applicazioni Redshift/AWS IAM Identity Center
È necessario creare un'identità IAM, che un amministratore di Redshift utilizza per configurare Redshift da utilizzare con AWS IAM Identity Center. Nella maggior parte dei casi dovresti creare un ruolo IAM con autorizzazioni e assegnarlo ad altre identità in base alle esigenze. Deve disporre delle autorizzazioni elencate per eseguire le seguenti azioni.
**Creazione dell'applicazione Redshift/AWS IAM Identity Center**
+ `sso:PutApplicationAssignmentConfiguration`: utilizzato per la sicurezza.
+ `sso:CreateApplication`— Utilizzato per creare un'applicazione AWS IAM Identity Center.
+ `sso:PutApplicationAuthenticationMethod`: fornisce l'accesso all'autenticazione Redshift.
+ `sso:PutApplicationGrant`: utilizzato per modificare le informazioni sull'emittente di token attendibile.
+ `sso:PutApplicationAccessScope`— Per la configurazione dell'applicazione Redshift AWS IAM Identity Center. Ciò include per AWS Lake Formation e per [Amazon S3 Access](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) Grants.
+ `redshift:CreateRedshiftIdcApplication`— Utilizzato per creare l'applicazione Redshift AWS IAM Identity Center.
**Descrizione dell'applicazione Redshift/AWS IAM Identity Center**
+ `sso:GetApplicationGrant`: utilizzato per elencare informazioni sull'emittente di token attendibile.
+ `sso:ListApplicationAccessScopes`: per la configurazione dell’applicazione Centro identità AWS IAM per Redshift per elencare le integrazioni downstream, come per AWS Lake Formation e S3 Access Grants.
+ `redshift:DescribeRedshiftIdcApplications`— Utilizzato per descrivere le applicazioni AWS IAM Identity Center esistenti.
**Modifica dell'applicazione Redshift/AWS IAM Identity Center**
+ `redshift:ModifyRedshiftIdcApplication`: utilizzato per modificare un'applicazione Redshift esistente.
+ `sso:UpdateApplication`— Utilizzato per aggiornare un'applicazione AWS IAM Identity Center.
+ `sso:GetApplicationGrant`: ottiene le informazioni sull’emittente di token attendibile.
+ `sso:ListApplicationAccessScopes`: per la configurazione dell’applicazione Centro identità AWS IAM per Redshift.
+ `sso:DeleteApplicationGrant`: elimina le informazioni sull'emittente di token attendibile.
+ `sso:PutApplicationGrant`: utilizzato per modificare le informazioni sull'emittente di token attendibile.
+ `sso:PutApplicationAccessScope`— Per la configurazione dell'applicazione Redshift AWS IAM Identity Center. Ciò include per AWS Lake Formation e per [Amazon S3 Access](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) Grants.
+ `sso:DeleteApplicationAccessScope`: utilizzato per l’eliminazione della configurazione dell’applicazione Centro identità AWS IAM per Redshift. Ciò include per AWS Lake Formation e per [Amazon S3 Access](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) Grants.
**Eliminazione dell’applicazione Redshift/Centro identitàAWS IAM**
+ `sso:DeleteApplication`— Utilizzato per eliminare un'applicazione AWS IAM Identity Center.
+ `redshift:DeleteRedshiftIdcApplication`— Offre la possibilità di eliminare un'applicazione Redshift AWS IAM Identity Center esistente.
#### Autorizzazioni necessarie per la gestione del ciclo di vita delle Redshift/query applicazioni Editor v2
È necessario creare un'identità IAM, che un amministratore di Redshift utilizza per configurare Redshift da utilizzare con AWS IAM Identity Center. Nella maggior parte dei casi dovresti creare un ruolo IAM con autorizzazioni e assegnarlo ad altre identità in base alle esigenze. Deve disporre delle autorizzazioni elencate per eseguire le seguenti azioni.
**Creazione dell’applicazione Query Editor V2**
+ `redshift:CreateQev2IdcApplication`— Utilizzato per creare l'applicazione. QEV2
+ `sso:CreateApplication`: offre la possibilità di creare un’applicazione Centro identità AWS IAM.
+ `sso:PutApplicationAuthenticationMethod`: fornisce l'accesso all'autenticazione Redshift.
+ `sso:PutApplicationGrant`: utilizzato per modificare le informazioni sull'emittente di token attendibile.
+ `sso:PutApplicationAccessScope`— Per la configurazione dell'applicazione Redshift AWS IAM Identity Center. È incluso l'editor di query v2.
+ `sso:PutApplicationAssignmentConfiguration`: utilizzato per la sicurezza.
**Descrivere l’applicazione Query Editor V2**
+ `redshift:DescribeQev2IdcApplications`— Utilizzato per descrivere l' QEV2 applicazione AWS IAM Identity Center.
**Modificare l’applicazione Query Editor V2**
+ `redshift:ModifyQev2IdcApplication`— Utilizzato per modificare l' QEV2 applicazione AWS IAM Identity Center.
+ `sso:UpdateApplication`— Utilizzato per modificare l' QEV2 applicazione AWS IAM Identity Center.
**Eliminare l’applicazione Query Editor V2**
+ `redshift:DeleteQev2IdcApplication`— Utilizzato per eliminare l' QEV2 applicazione.
+ `sso:DeleteApplication`— Utilizzato per eliminare l' QEV2applicazione.
**Nota**
Nell'SDK Amazon Redshift, APIs non sono disponibili:
CreateQev2IdcApplication
DescribeQev2IdcApplications
ModifyQev2IdcApplication
DeleteQev2IdcApplication
Queste azioni sono specifiche per eseguire l'integrazione di AWS IAM Identity Center con Redshift QEV2 nella AWS console. Per ulteriori informazioni, consulta [Azioni definite da Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html#amazonredshift-actions-as-permissions).
#### Autorizzazioni del Database Administrator necessarie per connettere nuove risorse nella console
Le seguenti autorizzazioni sono necessarie per connettere nuovi cluster con provisioning o gruppi di lavoro Amazon Redshift serverless durante il processo di creazione. Se disponi di queste autorizzazioni, nella console viene visualizzata la selezione per connettersi all’applicazione gestita da Centro identità AWS IAM per Redshift.
+ `redshift:DescribeRedshiftIdcApplications`
+ `sso:ListApplicationAccessScopes`
+ `sso:GetApplicationAccessScope`
+ `sso:GetApplicationGrant`
Come best practice, consigliamo di collegare le policy di autorizzazioni a un ruolo IAM, che quindi viene assegnato a utenti e gruppi secondo le necessità. Per ulteriori informazioni, consulta [Identity and access management in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
## Configurazione di Redshift come applicazione AWS gestita con AWS IAM Identity Center
Prima che AWS IAM Identity Center possa gestire le identità per un cluster con provisioning di Amazon Redshift o un gruppo di lavoro Serverless Amazon Redshift, l'amministratore di Redshift deve completare i passaggi per rendere Redshift un'applicazione gestita da IAM Identity Center: AWS
1. Seleziona **l'integrazione con AWS IAM Identity Center** nel menu della console Amazon Redshift o Amazon Redshift Serverless, quindi seleziona ** AWS Connect** to IAM Identity Center. Quindi esegui una serie di selezioni per compilare le proprietà dell’integrazione di Centro identità AWS IAM.
1. Scegli un nome visualizzato e un nome univoco per l'applicazione gestita da AWS IAM Identity Center di Redshift.
1. Specifica lo spazio dei nomi dell'organizzazione. In genere è una versione abbreviata del nome dell'organizzazione che viene aggiunta come prefisso per gli utenti e i ruoli gestiti da Centro identità AWS IAM nel database Redshift.
1. Seleziona un ruolo IAM da utilizzare. Questo ruolo IAM deve essere separato da quelli utilizzati per Redshift e consigliamo di non usarlo per altri scopi. Le specifiche autorizzazioni policy richieste sono riportate di seguito:
+ `sso:DescribeApplication`: necessario per creare una voce del gestore dell'identità digitale nel catalogo.
+ `sso:DescribeInstance`: utilizzato per creare manualmente ruoli o utenti federati del gestore dell'identità digitale.
1. Configura le connessioni client e gli emittenti di token attendibili. La configurazione di emittenti di token attendibili facilita la propagazione delle identità attendibili impostando una relazione con un gestore dell'identità digitale esterno. La propagazione dell'identità consente a un utente, ad esempio, di accedere a un'applicazione e a dati specifici in un'altra applicazione. In tal modo gli utenti possono raccogliere dati da diverse postazioni in modo più semplice. In questa fase, si impostano nella console gli attributi per ogni emittente di token attendibile. Gli attributi includono il nome e l'attestazione del pubblico (o *aud claim*), che potresti dover ricavare dagli attributi di configurazione dello strumento o del servizio. Inoltre, potrebbe essere necessario fornire il nome dell'applicazione dal JSON Web Token (JWT) dello strumento di terze parti.
**Nota**
L'attributo `aud claim` richiesto da ogni strumento o servizio di terze parti può variare in base al tipo di token, che può essere un token di accesso emesso da un gestore dell'identità digitale o un altro tipo, come un token ID. Ogni fornitore può essere diverso. Quando si implementa la propagazione di identità attendibili e si integra con Redshift, è necessario fornire il valore *aud* corretto per il tipo di token che lo strumento di terze parti invia ad AWS. Consulta i suggerimenti del provider di strumenti o servizi.
Per informazioni dettagliate sulla propagazione affidabile delle identità, consulta [Panoramica della propagazione affidabile delle identità](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) nella *Guida per l’utente di AWS IAM Identity Center *.
Dopo che l’amministratore di Redshift ha completato la procedura e salvato la configurazione, le proprietà di Centro identità AWS IAM vengono visualizzate nella console Redshift. Puoi anche eseguire query sulla vista di sistema [SVV\$1IDENTITY\$1PROVIDERS](https://docs.aws.amazon.com/redshift/latest/dg/r_SVV_IDENTITY_PROVIDERS.html) per verificare le proprietà dell'applicazione, che includono il nome dell'applicazione e lo spazio dei nomi. Lo spazio dei nomi viene utilizzato come prefisso per gli oggetti del database Redshift associati all'applicazione. Il completamento di queste attività rende Redshift un'applicazione compatibile con AWS IAM Identity Center. Le proprietà della console includono lo stato dell'integrazione. Quando l'integrazione è completata, lo stato è **Abilitato**. Dopo questo processo, l’integrazione di Centro identità AWS IAM può essere abilitata su ogni nuovo cluster.
**Dopo la configurazione, puoi includere utenti e gruppi di AWS IAM Identity Center in Redshift scegliendo la scheda **Utenti** o **Gruppi** e selezionando Assegna.**
## Abilitazione dell'integrazione di AWS IAM Identity Center per un nuovo cluster Amazon Redshift o un gruppo di lavoro Serverless Amazon Redshift
L'amministratore del database configura le nuove risorse Redshift in modo che funzionino in linea AWS con IAM Identity Center per semplificare l'accesso e l'accesso ai dati. Questa operazione viene eseguita come parte dei passaggi per creare un cluster con provisioning o un gruppo di lavoro serverless. Chiunque disponga delle autorizzazioni per creare risorse Redshift può eseguire AWS queste attività di integrazione con IAM Identity Center. Quando crei un cluster con provisioning, inizi scegliendo Create **Cluster nella** console Amazon Redshift. I passaggi seguenti mostrano come abilitare la gestione di AWS IAM Identity Center per un database. ma non sono inclusi tutti i passaggi per creare un cluster.
1. Scegli **Abilita per ** nella sezione **Integrazione con il Centro identità IAM** nei passaggi di creazione del cluster.
1. C'è un passaggio del processo in cui abiliti l'integrazione. Puoi farlo scegliendo **Abilita l'integrazione con il Centro identità IAM** nella console.
1. Per il nuovo cluster o gruppo di lavoro, crea i ruoli di database in Redshift utilizzando i comandi SQL. Il comando è il seguente:
```
CREATE ROLE ;
```
Lo spazio dei nomi e il nome del ruolo sono i seguenti:
+ *Prefisso dello spazio dei nomi IAM Identity Center*: questo è lo spazio dei nomi che hai definito quando hai impostato la connessione tra IAM AWS Identity Center e Redshift.
+ *Nome ruolo*: questo ruolo del database Redshift deve corrispondere al nome del gruppo in AWS IAM Identity Center.
Redshift si connette a AWS IAM Identity Center e recupera le informazioni necessarie per creare e mappare il ruolo del database al gruppo AWS IAM Identity Center.
Tieni presente che quando viene creato un nuovo data warehouse, il ruolo IAM specificato per l’integrazione di Centro identità AWS IAM viene automaticamente collegato al cluster o al gruppo di lavoro Amazon Redshift serverless fornito. Dopo aver inserito i metadati del cluster richiesti e aver creato la risorsa, puoi verificare lo stato dell'integrazione di AWS IAM Identity Center nelle proprietà. Se i nomi dei gruppi in AWS IAM Identity Center contengono spazi, è necessario utilizzare le virgolette in SQL quando si crea il ruolo corrispondente.
Dopo aver abilitato il database Redshift e creato i ruoli, puoi connetterti al database con l'Editor di query Amazon Redshift v2 o Amazon Quick. I dettagli sono spiegati ampiamente nelle sezioni che seguono.
### Configurazione dell'impostazione predefinita di `RedshiftIdcApplication` tramite l'API
La configurazione viene eseguita dall'amministratore delle identità. Utilizzando l'API, crei e compili un file`RedshiftIdcApplication`, che rappresenta l'applicazione Redshift all' AWS interno di IAM Identity Center.
1. Per iniziare, puoi creare utenti e aggiungerli ai gruppi in AWS IAM Identity Center. Puoi farlo nella AWS console di AWS IAM Identity Center.
1. Chiama `create-redshift-idc-application` per creare un'applicazione AWS IAM Identity Center e renderla compatibile con l'utilizzo di Redshift. L'applicazione viene creata inserendo i valori richiesti. Il nome visualizzato è quello che viene mostrato nella dashboard di Centro identità AWS IAM. L’ARN del ruolo IAM è un nome della risorsa Amazon che dispone delle autorizzazioni per Centro identità AWS IAM e può essere utilizzato anche da Redshift.
```
aws redshift create-redshift-idc-application
––idc-instance-arn 'arn:aws:sso:::instance/ssoins-1234a01a1b12345d'
––identity-namespace 'MYCO'
––idc-display-name 'TEST-NEW-APPLICATION'
––iam-role-arn 'arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole'
––redshift-idc-application-name 'myredshiftidcapplication'
```
L'esempio seguente mostra la risposta `RedshiftIdcApplication` restituita dalla chiamata a `create-redshift-idc-application`.
```
"RedshiftIdcApplication": {
"IdcInstanceArn": "arn:aws:sso:::instance/ssoins-1234a01a1b12345d",
"RedshiftIdcApplicationName": "test-application-1",
"RedshiftIdcApplicationArn": "arn:aws:redshift:us-east-1:012345678901:redshiftidcapplication:12aaa111-3ab2-3ab1-8e90-b2d72aea588b",
"IdentityNamespace": "MYCO",
"IdcDisplayName": "Redshift-Idc-Application",
"IamRoleArn": "arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole",
"IdcManagedApplicationArn": "arn:aws:sso::012345678901:application/ssoins-1234a01a1b12345d/apl-12345678910",
"IdcOnboardStatus": "arn:aws:redshift:us-east-1:123461817589:redshiftidcapplication",
"RedshiftIdcApplicationArn": "Completed",
"AuthorizedTokenIssuerList": [
"TrustedTokenIssuerArn": ...,
"AuthorizedAudiencesList": [...]...
]}
```
1. Puoi utilizzarlo `create-application-assignment` per assegnare gruppi particolari o singoli utenti all'applicazione gestita in AWS IAM Identity Center. In questo modo, puoi specificare i gruppi da gestire tramite AWS IAM Identity Center. Se l'amministratore del database crea i ruoli del database in Redshift, i nomi dei gruppi in AWS IAM Identity Center vengono mappati ai nomi dei ruoli in Redshift. I ruoli controllano le autorizzazioni nel database. Per ulteriori informazioni, consulta [Assegnare l'accesso degli utenti alle applicazioni nella console AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/assignuserstoapp.html).
1. Dopo aver abilitato l'applicazione, chiama `create-cluster` e includi l'ARN dell'applicazione gestita Redshift da AWS IAM Identity Center. In questo modo il cluster viene associato all'applicazione gestita in AWS IAM Identity Center.
### Associazione di un'applicazione AWS IAM Identity Center a un cluster o gruppo di lavoro esistente
Se disponi di un cluster o un gruppo di lavoro e desideri abilitarlo per l’integrazione di Centro identità AWS IAM, puoi eseguire un comando SQL. Puoi anche eseguire comandi SQL per modificare le impostazioni per l’integrazione. Per ulteriori informazioni, consulta [ALTER IDENTITY PROVIDER](https://docs.aws.amazon.com/redshift/latest/dg/r_ALTER_IDENTITY_PROVIDER.html).
È anche possibile rimuovere un provider di identità esistente. L'esempio seguente mostra come CASCADE elimina gli utenti e i ruoli collegati al gestore dell'identità digitale.
```
DROP IDENTITY PROVIDER
[ CASCADE ]
```
## Impostazione delle autorizzazioni degli utenti
Un amministratore configura le autorizzazioni per varie risorse, in base agli attributi di identità degli utenti e all'appartenenza ai gruppi, all'interno del proprio provider di identità o direttamente all'interno di AWS IAM Identity Center. Ad esempio, l'amministratore del provider di identità può aggiungere un ingegnere di database a un gruppo appropriato al proprio ruolo. Questo nome di gruppo corrisponde a un nome di ruolo del database Redshift. Il ruolo fornisce o limita l'accesso a tabelle o viste specifiche in Redshift.
# Creazione automatica di ruoli Amazon Redshift per AWS IAM Identity Center
Questa funzionalità è un'integrazione AWS IAM Identity Center che consente di creare automaticamente ruoli in Redshift in base all'appartenenza al gruppo.
La creazione automatica dei ruoli offre diversi vantaggi. Quando crei automaticamente un ruolo, Redshift crea il ruolo con l’appartenenza al gruppo nel gestore dell’identità digitale in modo che tu possa evitare noiose operazioni manuali di creazione e manutenzione dei ruoli. Hai anche la possibilità di filtrare quali gruppi sono mappati ai ruoli di Redshift con modelli di inclusione ed esclusione.
## Come funziona
Quando, come utente gestore dell’identità digitale, accedi a Redshift, si verifica la seguente sequenza di eventi:
1. Redshift recupera le appartenenze ai gruppi dal gestore dell’identità digitale.
1. Redshift crea automaticamente la mappatura dei ruoli a tali gruppi, con il formato del ruolo `idp_namespace:rolename`.
1. Redshift concede le autorizzazioni con i ruoli mappati.
Dopo ciascun accesso utente, ogni gruppo che non è presente nel catalogo ma di cui l’utente fa parte viene creato automaticamente. Facoltativamente puoi impostare i filtri di inclusione ed esclusione per controllare quali gruppi di gestori dell’identità digitale hanno creato i ruoli Redshift.
## Configurazione dei ruoli di creazione automatica
Utilizza i comandi `CREATE IDENTITY PROVIDER` e `ALTER IDENTITY PROVIDER` per abilitare e configurare la creazione automatica dei ruoli.
```
-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER TYPE AWSIDC
NAMESPACE ''
APPLICATION_ARN 'app_arn'
IAM_ROLE 'role_arn'
AUTO_CREATE_ROLES TRUE;
-- Enable on existing IdP
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE;
-- Disable
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES FALSE;
```
## Filtraggio dei gruppi
Facoltativamente puoi filtrare quali gruppi di gestori dell’identità digitale sono mappati ai ruoli Redshift utilizzando i modelli `INCLUDE` e `EXCLUDE`. Quando i modelli sono in conflitto, `EXCLUDE` ha la precedenza su `INCLUDE`.
```
-- Only create roles for groups with 'dev'
CREATE IDENTITY PROVIDER TYPE AWSIDC
...
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%';
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE
EXCLUDE GROUPS LIKE '%test%';
```
## Esempi
L’esempio seguente mostra come attivare la creazione automatica dei ruoli senza filtri.
```
CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC ...
AUTO_CREATE_ROLES TRUE;
```
L’esempio seguente include i gruppi di sviluppo ed esclude i gruppi di test.
```
ALTER IDENTITY PROVIDER prod_idc
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%'
EXCLUDE GROUPS LIKE '%test%';
```
## Best practice
Prendi in considerazione le seguenti best practice quando abiliti la creazione automatica per i ruoli:
+ Utilizza i filtri `INCLUDE` e `EXCLUDE` per controllare a quali gruppi vengono assegnati i ruoli.
+ Controlla periodicamente i ruoli ed elimina quelli inutilizzati.
+ Sfrutta le gerarchie di ruoli di Redshift per semplificare la gestione delle autorizzazioni.
# Integrazione di Amazon Redshift con Amazon S3 Access Grants
Utilizzando l’integrazione con Amazon S3 Access Grants, puoi propagare facilmente le identità di Centro identità IAM per controllare l’accesso ai dati di Amazon S3. Questa integrazione consente di autorizzare l’accesso ai dati di Amazon S3 in base agli utenti e ai gruppi di Centro identità IAM.
Per informazioni su Amazon S3 Access Grants, consulta [Gestione dell’accesso con S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
L’uso di Amazon S3 Access Grants offre all’applicazione i seguenti vantaggi:
+ Controllo granulare degli accessi ai dati di Amazon S3, basato sulle identità di Centro identità IAM.
+ Gestione centralizzata delle identità di Centro identità IAM in Amazon Redshift e Amazon S3.
+ Puoi evitare di gestire autorizzazioni IAM separate per l’accesso ad Amazon S3.
## Come funziona
Per integrare l’applicazione con Amazon S3 Access Grants, segui la procedura descritta:
+ Innanzitutto, configuri Amazon Redshift per l'integrazione con Amazon S3 Access Grants utilizzando o. Console di gestione AWS AWS CLI
+ Quindi un utente con privilegi di amministratore IdC concede l’accesso al bucket o al prefisso Amazon S3 a utenti/gruppi IdC specifici, utilizzando il servizio Amazon S3 Access Grants. Per ulteriori informazioni, consulta [Utilizzo delle concessioni in S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-grant.html).
+ Quando un utente IdC autenticato in Redshift esegue una query di accesso a S3 (ad esempio un’operazione COPY, UNLOAD o Spectrum), Amazon Redshift recupera le credenziali di accesso temporanee S3 relative a tale IdC dal servizio Amazon S3 Access Grants.
+ Amazon Redshift utilizza quindi le credenziali temporanee recuperate per accedere alle posizioni Amazon S3 autorizzate per tale query.
## Configurazione dell’integrazione con Amazon S3 Access Grants
Per configurare l’integrazione con Amazon S3 Access Grants per Amazon Redshift, segui la procedura descritta:
**Topics**
+ [
### Configurazione dell'integrazione con Amazon S3 Access Grants utilizzando Console di gestione AWS
](#redshift-iam-access-control-sso-s3idc-setup-console)
+ [
### Abilitazione dell'integrazione con Amazon S3 Access Grants utilizzando AWS CLI
](#redshift-iam-access-control-sso-s3idc-setup-cli)
### Configurazione dell'integrazione con Amazon S3 Access Grants utilizzando Console di gestione AWS
1. Apri la console Amazon Redshift.
1. Scegli il cluster dal riquadro **Cluster**.
1. Nella pagina dei dettagli del cluster, nella sezione **Integrazione del provider di identità**, abilita l’integrazione con il servizio **S3 Access Grants**.
**Nota**
La sezione **Integrazione del provider di identità** non viene visualizzata se non hai configurato Centro identità IAM. [Per ulteriori informazioni, consulta Abilitazione. AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)
### Abilitazione dell'integrazione con Amazon S3 Access Grants utilizzando AWS CLI
1. Per creare una nuova applicazione IdC Amazon Redshift con l’integrazione di S3 abilitata, segui la procedura descritta:
```
aws redshift create-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
```
1. Per modificare un’applicazione esistente per abilitare l’integrazione di S3 Access Grants, segui la procedura descritta:
```
aws redshift modify-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
```
1. Per modificare un’applicazione esistente per disabilitare l’integrazione di S3 Access Grants, segui la procedura descritta:
```
aws redshift modify-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Disabled"}}]} ]'
```
## Utilizzo dell’integrazione con S3 Access Grants
Dopo che hai configurato l’integrazione di S3 Access Grants, le query che accedono ai dati S3 (ad esempio `COPY`, `UNLOAD` o le query Spectrum) utilizzano l’identità IdC per l’autorizzazione. Anche gli utenti che non sono autenticati tramite IdC possono eseguire queste query, ma tali account utente non sfruttano l’amministrazione centralizzata fornita da IdC.
L’esempio seguente mostra le query eseguite con l’integrazione di S3 Access Grants:
```
COPY table FROM 's3://mybucket/data'; // -- Redshift uses IdC identity
UNLOAD ('SELECT * FROM table') TO 's3://mybucket/unloaded/' // -- Redshift uses IdC identity
```