Amazon Redshift non supporterà più la creazione di nuovi Python UDFs a partire dalla Patch 198. Python esistente UDFs continuerà a funzionare fino al 30 giugno 2026. Per ulteriori informazioni, consulta il [post del blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Native identity provider (IdP) federation for Amazon Redshift (Federazione di provider di identità nativi (IdP) per Amazon Redshift)
<a name="redshift-iam-access-control-native-idp"></a>

La gestione delle identità e delle autorizzazioni per Amazon Redshift è semplificata con la federazione dei provider di identità nativi perché sfrutta il provider di identità esistente per semplificare l'autenticazione e la gestione delle autorizzazioni. Ciò consente di condividere i metadati di identità con Redshift dal proprio provider di identità. Per la prima iterazione di questa caratteristica, il provider di identità supportato è [Microsoft Azure Active Directory (Azure AD)](https://azure.microsoft.com/en-us/services/active-directory/). 

Per configurare Amazon Redshift in modo che possa autenticare le identità dal provider di identità di terze parti, è necessario registrare il provider di identità con Amazon Redshift. Ciò consente a Redshift di autenticare utenti e ruoli definiti dal provider di identità. In questo modo è possibile evitare di eseguire una gestione granulare delle identità sia nel proprio provider di identità di terze parti che in Amazon Redshift, poiché le informazioni sull'identità sono condivise.

Per informazioni sull'utilizzo dei ruoli di sessione trasferiti dai gruppi di gestori dell'identità digitale, consulta [PG\$1GET\$1SESSION\$1ROLES](https://docs.aws.amazon.com/redshift/latest/dg/PG_GET_SESSION_ROLES.html) nella *Guida per gli sviluppatori di database di Amazon Redshift*. 

## Federazione dei gestori dell’identità digitale (IdP) nativi
<a name="redshift-iam-access-control-native-idp-login"></a>

 Per completare la configurazione preliminare tra il provider di identità e Amazon Redshift, eseguire un paio di passaggi: innanzitutto, registrare Amazon Redshift come applicazione di terze parti presso il proprio provider di identità, richiedendo le autorizzazioni API necessarie. Quindi creare utenti e gruppi nel provider di identità. Infine, registrare il provider di identità con Amazon Redshift, utilizzando istruzioni SQL, che impostano parametri di autenticazione univoci per il provider di identità. Come parte della registrazione del provider di identità con Redshift, si assegna uno spazio dei nomi per assicurarsi che utenti e ruoli siano raggruppati correttamente. 

 Con il provider di identità registrato con Amazon Redshift, viene impostata la comunicazione tra Redshift e il provider di identità. Un client può quindi passare token e autenticarsi con Redshift come entità provider di identità. Amazon Redshift utilizza le informazioni sull'appartenenza al gruppo IdP per mappare i ruoli di Redshift. Se l'utente non esiste in precedenza in Redshift, viene creato. Vengono creati ruoli che mappano ai gruppi di provider di identità, se non esistono. L'amministratore di Amazon Redshift concede l'autorizzazione per i ruoli e gli utenti possono eseguire query e altre attività di database. 

La procedura seguente illustra il funzionamento della federazione di provider di identità nativi quando un utente accede:

1. Quando un utente accede utilizzando l'opzione IdP nativi dal client, il token del provider di identità viene inviato dal client al driver.

1. L'utente è autenticato. Se l'utente non esiste già in Amazon Redshift, viene creato un nuovo utente. Redshift mappa i gruppi del provider di identità dell'utente ai ruoli Redshift.

1. Le autorizzazioni vengono assegnate in base ai ruoli Redshift dell'utente. Questi sono concessi agli utenti e ai ruoli da parte di un amministratore.

1. L'utente può eseguire query su Redshift.

## Strumenti client desktop
<a name="redshift-iam-access-control-native-idp-oauth"></a>

Per istruzioni su come utilizzare la federazione dei provider di identità nativi per connettersi ad Amazon Redshift con Power BI, consultare il post del blog [Integrate Amazon Redshift native IdP federation with Microsoft Azure Active Directory (AD) and Power BI](https://aws.amazon.com/blogs/big-data/integrate-amazon-redshift-native-idp-federation-with-microsoft-azure-ad-and-power-bi/) (Integrazione della federazione IdP nativi di Amazon Redshift con Microsoft Azure Active Directory (AD) e Power BI). Descrive un' step-by-stepimplementazione della configurazione IdP nativa di Amazon Redshift con Azure AD. Inoltre, descrive in dettaglio i passaggi per configurare la connessione client per Power BI Desktop o per il servizio Power BI. I passaggi includono la registrazione dell'applicazione, la configurazione delle autorizzazioni e la configurazione delle credenziali.

Per informazioni su come integrare la federazione IdP nativa di Amazon Redshift con Azure AD, utilizzando Power BI Desktop e JDBC Client-SQL Workbench/J, guarda il seguente video:

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/S3MQLvZ-NiI/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/S3MQLvZ-NiI)


Per istruzioni su come utilizzare la federazione nativa dei provider di identità per connettersi ad Amazon Redshift con un client SQL, in particolare DBeaver SQL Workbench/J, consulta il post del blog Integrare la [federazione IdP nativa di Amazon Redshift con](https://aws.amazon.com/blogs/big-data/integrate-amazon-redshift-native-idp-federation-with-microsoft-azure-ad-using-a-sql-client/) Microsoft Azure AD utilizzando un client SQL.

## Limitazioni
<a name="redshift-iam-access-control-idp-connect-limitations"></a>

Si applicano le limitazioni indicate di seguito:
+  I driver Amazon Redshift supportano `BrowserIdcAuthPlugin` a partire dalle seguenti versioni: 
  +  Driver JDBC v2.1.0.30 Amazon Redshift 
  +  Driver ODBC v2.1.3 Amazon Redshift 
  +  Driver Python v2.1.3 Amazon Redshift 
+  I driver Amazon Redshift supportano `IdpTokenAuthPlugin` a partire dalle seguenti versioni: 
  +  Driver JDBC v2.1.0.19 Amazon Redshift 
  +  Driver ODBC v2.0.0.9 Amazon Redshift 
  +  Driver Python v2.0.914 Amazon Redshift 
+ **Nessun supporto per VPC avanzato**: il VPC avanzato non è supportato quando configuri la propagazione affidabile delle identità di Redshift con Centro identità AWS IAM. Per ulteriori informazioni sul VPC avanzato, consulta [Routing VPC avanzato in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html).
+  **AWS IAM Identity Center caching: IAM Identity Center memorizza nella cache** le informazioni sulla sessione. AWS Ciò potrebbe causare problemi di accesso imprevedibili quando tenti di connetterti al database Redshift tramite Redshift Query Editor V2. Questo perché la sessione AWS IAM Identity Center associata nell'editor di query v2 rimane valida, anche nel caso in cui l'utente del database sia disconnesso dalla console. AWS La cache scade dopo un’ora, il che in genere risolve eventuali problemi.

# Configurazione del provider di identità su Amazon Redshift
<a name="redshift-iam-access-control-native-idp-setup"></a>

In questa sezione vengono illustrati i passaggi per configurare il provider di identità e Amazon Redshift per stabilire la comunicazione per la federazione dei provider di identità nativi. È necessario un account attivo con il proprio provider di identità. Prima di configurare Amazon Redshift, registrare Redshift come applicazione presso il proprio provider di identità, concedendo il consenso dell'amministratore.

Completare la seguente procedura in Amazon Redshift:

1. È possibile eseguire un'istruzione SQL per registrare il provider di identità, incluse le descrizioni dei metadati dell'applicazione Azure. Per creare il provider di identità in Amazon Redshift, eseguire il comando seguente dopo aver sostituito i valori dei parametri *issuer*, *client\$1id*, *client\$1secret* e *audience*. Questi parametri sono specifici di Microsoft Azure AD. Sostituire il nome del provider di identità con un nome a scelta e sostituire lo spazio dei nomi con un nome univoco per contenere utenti e ruoli dalla directory del provider di identità.

   ```
   CREATE IDENTITY PROVIDER oauth_standard TYPE azure
   NAMESPACE 'aad'
   PARAMETERS '{
   "issuer":"https://sts.windows.net/2sdfdsf-d475-420d-b5ac-667adad7c702/",
   "client_id":"<client_id>",
   "client_secret":"BUAH~ewrqewrqwerUUY^%tHe1oNZShoiU7",
   "audience":["https://analysis.windows.net/powerbi/connector/AmazonRedshift"]
   }'
   ```

   Il tipo `azure` indica che il provider facilita specificamente la comunicazione con Microsoft Azure AD. Questo è attualmente l'unico provider di identità di terze parti supportato.
   + *issuer*: l'ID emittente da considerare attendibile quando viene ricevuto un token. L'identificatore univoco per *tenant\$1id* viene aggiunto all'emittente.
   + *client\$1id*: l'identificativo pubblico univoco dell'applicazione registrata presso il provider di identità. Questo può essere indicato come ID dell'applicazione.
   + *client\$1secret*: un identificatore segreto o password noto solo al provider di identità e all'applicazione registrata.
   + *audience*: l'ID applicazione assegnato all'applicazione in Azure.

   

   Invece di utilizzare un segreto client condiviso, è possibile impostare i parametri per specificare un certificato, una chiave privata e una password per chiave privata quando si crea il gestore dell'identità digitale.

   ```
   CREATE IDENTITY PROVIDER example_idp TYPE azure 
   NAMESPACE 'example_aad' 
   PARAMETERS '{"issuer":"https://sts.windows.net/2sdfdsf-d475-420d-b5ac-667adad7c702/", 
   "client_id":"<client_id>", 
   "audience":["https://analysis.windows.net/powerbi/connector/AmazonRedshift"], 
   "client_x5t":"<certificate thumbprint>", 
   "client_pk_base64":"<private key in base64 encoding>", 
   "client_pk_password":"test_password"}';
   ```

   La password della chiave privata, *client\$1pk\$1password*, è facoltativa.

1. Facoltativo: eseguire comandi SQL in Amazon Redshift per creare in anticipo utenti e ruoli. Ciò facilita la concessione anticipata delle autorizzazioni. Il nome del ruolo in Amazon Redshift è simile al seguente*: < GroupName su Azure* <Namespace>AD>. Ad esempio, quando si crea un gruppo in Microsoft Azure AD denominato `rsgroup` e uno spazio dei nomi denominato `aad`, il nome del ruolo è `aad:rsgroup`. Il nome dell'utente e del ruolo in Amazon Redshift sono definiti da questi nomi utente e appartenenze ai gruppi nello spazio dei nomi del gestore dell'identità digitale.

   La mappatura per ruoli e utenti include la verifica del loro valore `external_id` per garantire che sia aggiornato. L'ID esterno viene mappato all'identificatore del gruppo o dell'utente nel provider di identità. Ad esempio, l'ID esterno di un ruolo viene mappato all'ID del gruppo Azure AD corrispondente. Allo stesso modo, l'ID esterno di ogni utente viene mappato al relativo ID nel provider di identità.

   ```
   create role "aad:rsgroup";
   ```

1. Concedere le autorizzazioni pertinenti ai ruoli in base alle proprie esigenze. Ad esempio:

   ```
   GRANT SELECT on all tables in schema public to role "aad:rsgroup";
   ```

1. È anche possibile concedere autorizzazioni a un utente specifico.

   ```
   GRANT SELECT on table foo to aad:alice@example.com
   ```

   Si noti che l'appartenenza ai ruoli di un utente esterno federato è disponibile solo nella sessione di quell'utente. Ciò ha implicazioni per la creazione di oggetti di database. Quando un utente esterno federato crea una visualizzazione o una procedura archiviata, ad esempio, lo stesso utente non può delegare l'autorizzazione di tali oggetti ad altri utenti e ruoli.

**Una spiegazione degli spazi dei nomi**

Uno spazio dei nomi mappa un utente o un ruolo a un provider di identità specifico. Ad esempio, il prefisso per gli utenti creati in IAM è. AWS `iam:` Questo prefisso impedisce le collisioni tra nomi utente e rende possibile il supporto per più archivi di identità. Se accede un utente alice@example.com dall'origine di identità registrata con lo spazio dei nomi *aad*, in Redshift viene creato l'utente `aad:alice@example.com`, se non è già esistente. Si noti che uno spazio dei nomi di utente e ruolo ha una funzione diversa rispetto a uno spazio dei nomi di cluster di Amazon Redshift, che è un identificatore univoco associato a un cluster.

# Creazione automatica dei ruoli Amazon Redshift per i provider di identità
<a name="redshift-iam-access-control-native-idp-autocreate"></a>

Questa funzionalità consente di creare automaticamente i ruoli in Redshift in base all’appartenenza al gruppo del gestore dell’identità digitale. La creazione automatica di ruoli supporta Azure Active Directory con l’integrazione del gestore dell’identità digitale nativo.

La creazione automatica dei ruoli offre diversi vantaggi. Quando crei automaticamente un ruolo, Redshift crea il ruolo con l’appartenenza al gruppo nel gestore dell’identità digitale in modo che tu possa evitare noiose operazioni manuali di creazione e manutenzione dei ruoli. Hai anche la possibilità di filtrare i gruppi mappati ai ruoli Redshift.

## Come funziona
<a name="sso-autocreate-overview"></a>

Quando, come utente gestore dell’identità digitale, accedi a Redshift, si verifica la seguente sequenza di eventi: 

1. Redshift recupera le appartenenze ai gruppi dal gestore dell’identità digitale.

1. Redshift crea automaticamente la mappatura dei ruoli a tali gruppi, con il formato del ruolo `idp_namespace:rolename`. 

1. Redshift concede le autorizzazioni con i ruoli mappati. 

Dopo ciascun accesso utente, ogni gruppo che non è presente nel catalogo ma di cui l’utente fa parte viene creato automaticamente. Facoltativamente puoi impostare i filtri di inclusione ed esclusione per controllare quali gruppi di gestori dell’identità digitale hanno creato i ruoli Redshift.

## Configurazione dei ruoli di creazione automatica
<a name="sso-autocreate-configuring"></a>

Utilizza i comandi `CREATE IDENTITY PROVIDER` e `ALTER IDENTITY PROVIDER` per abilitare e configurare la creazione automatica dei ruoli.

```
-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER <idp_name> TYPE azure
  NAMESPACE '<namespace>' 
  APPLICATION_ARN 'app_arn'
  IAM_ROLE 'role_arn'
  AUTO_CREATE_ROLES TRUE; 

-- Enable on existing IdP 
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES TRUE;

-- Disable  
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES FALSE;
```

## Filtraggio dei gruppi
<a name="sso-autocreate-filtering"></a>

Facoltativamente puoi filtrare quali gruppi di gestori dell’identità digitale sono mappati ai ruoli Redshift utilizzando i modelli `INCLUDE` e `EXCLUDE`. Quando i modelli sono in conflitto, `EXCLUDE` ha la precedenza su `INCLUDE`.

```
-- Only create roles for groups with 'dev' 
CREATE IDENTITY PROVIDER <idp_name> TYPE azure
  ...
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%';
    
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER <idp_name> 
  AUTO_CREATE_ROLES TRUE
  EXCLUDE GROUPS LIKE '%test%';
```

## Esempi
<a name="sso-autocreate-filtering"></a>

L’esempio seguente mostra come attivare la creazione automatica dei ruoli senza filtri.

```
CREATE IDENTITY PROVIDER prod_idc TYPE azure ...
  AUTO_CREATE_ROLES TRUE;
```

L’esempio seguente include i gruppi di sviluppo ed esclude i gruppi di test.

```
ALTER IDENTITY PROVIDER prod_idc
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%'
  EXCLUDE GROUPS LIKE '%test%';
```

## Best practice
<a name="sso-autocreate-bp"></a>

Prendi in considerazione le seguenti best practice quando abiliti la creazione automatica per i ruoli:
+ Utilizza i filtri `INCLUDE` e `EXCLUDE` per controllare a quali gruppi vengono assegnati i ruoli.
+ Controlla periodicamente i ruoli ed elimina quelli inutilizzati.
+ Sfrutta le gerarchie di ruoli di Redshift per semplificare la gestione delle autorizzazioni.

# Connect Redshift con AWS IAM Identity Center per un'esperienza Single Sign-On
<a name="redshift-iam-access-control-idp-connect"></a>

Puoi gestire l'accesso di utenti e gruppi ai data warehouse Amazon Redshift tramite la propagazione di identità affidabili.

[La propagazione affidabile delle identità](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html) è una AWS IAM Identity Center funzionalità che gli amministratori di connected Servizi AWS possono utilizzare per concedere e controllare l'accesso ai dati del servizio. L’accesso a questi dati si basa su attributi utente come le associazioni di gruppo. La configurazione di una propagazione affidabile delle identità richiede la collaborazione tra gli amministratori di connected Servizi AWS e gli amministratori di IAM Identity Center. Per ulteriori informazioni, consulta [Prerequisites and considerations](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html).

Per illustrare un end-to-end caso, puoi utilizzare una Amazon Quick dashboard o l'editor di query Amazon Redshift v2 per accedere a Redshift. L'accesso in questo caso si basa su gruppi AWS IAM Identity Center. Redshift può determinare chi è un utente e le sue appartenenze ai gruppi. AWS IAM Identity Center consente inoltre di connettere e gestire le identità tramite un provider di identità (IdP) di terze parti come Okta o. PingOne

Dopo aver configurato la connessione tra Redshift e AWS IAM Identity Center, l'amministratore può configurare un accesso granulare basato su gruppi di provider di identità per autorizzare l'accesso degli utenti ai dati.

**Importante**  
Quando elimini un utente da un AWS IAM Identity Center o da una directory di provider di identità (IdP) connesso, l'utente non viene eliminato automaticamente dal catalogo Amazon Redshift. Per eliminare manualmente l'utente dal catalogo Amazon Redshift, esegui il `DROP USER` comando per eliminare completamente l'utente che è stato rimosso da un AWS IAM Identity Center o IDP. Per ulteriori informazioni su come rimuovere un utente, consulta [DROP USER](https://docs.aws.amazon.com/redshift/latest/dg/r_DROP_USER.html) nella *Guida per sviluppatori di database di Amazon Redshift*.

## Vantaggi dell'integrazione di Redshift con AWS IAM Identity Center
<a name="redshift-iam-access-control-idp-connect-benefits"></a>

L'utilizzo di AWS IAM Identity Center con Redshift può apportare vantaggi alla tua organizzazione nei seguenti modi:
+  Gli autori di dashboard Amazon Quick possono connettersi alle fonti di dati Redshift senza dover reinserire le password o richiedere a un amministratore di configurare i ruoli IAM con autorizzazioni complesse. 
+  AWS IAM Identity Center fornisce una posizione centrale per gli utenti della tua forza lavoro in. AWS Puoi creare utenti e gruppi direttamente in AWS IAM Identity Center o connettere utenti e gruppi esistenti che gestisci in un provider di identità basato su standard come Okta PingOne o Microsoft Entra ID (Azure AD). AWS IAM Identity Center indirizza l'autenticazione verso la fonte di verità prescelta per utenti e gruppi e mantiene un elenco di utenti e gruppi a cui può accedere Redshift. Per ulteriori informazioni, consulta [Manage your identity source](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) e [Supported identity providers](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) nella *Guida per l'utente di Centro identitàAWS IAM*. 
+ Puoi condividere un'istanza di AWS IAM Identity Center con più cluster e gruppi di lavoro Redshift con una semplice funzionalità di rilevamento automatico e connessione. Ciò semplifica l'aggiunta di cluster senza lo sforzo aggiuntivo di configurazione della connessione AWS IAM Identity Center per ciascuno di essi e garantisce che tutti i cluster e i gruppi di lavoro abbiano una visione coerente degli utenti, dei loro attributi e dei gruppi. Tieni presente che l'istanza AWS IAM Identity Center della tua organizzazione deve trovarsi nella stessa regione di tutte le condivisioni di dati Redshift a cui ti stai connettendo.
+ Con le identità degli utenti note e registrate insieme all'accesso ai dati, è più facile soddisfare le normative di conformità attraverso il controllo degli accessi degli utenti in AWS CloudTrail.

## Utenti tipo amministratore per il collegamento delle applicazioni
<a name="redshift-iam-access-control-idp-personas"></a>

Di seguito sono riportati gli utenti tipo per connettere le applicazioni di analisi all’applicazione gestita da Centro identità AWS IAM per Redshift:
+ **Amministratore dell'applicazione**: crea un'applicazione e configura i servizi con cui abilita gli scambi di token di identità. Questo amministratore specifica inoltre quali utenti o gruppi hanno accesso all'applicazione.
+ **Amministratore dei dati**: configura l'accesso granulare ai dati. Gli utenti e i gruppi in AWS IAM Identity Center possono mappare autorizzazioni specifiche.

## Connessione ad Amazon Redshift con AWS IAM Identity Center tramite Amazon Quick
<a name="redshift-iam-access-control-idp-connect-qs"></a>

Di seguito viene illustrato come utilizzare Quick per l'autenticazione con Redshift quando è connesso e l'accesso è gestito AWS tramite IAM Identity Center[: Autorizzazione delle connessioni da Quick ai cluster Amazon Redshift](https://docs.aws.amazon.com/quick/latest/userguide/enabling-access-redshift.html). I passaggi illustrati si applicano anche ad Amazon Redshift serverless.

## Connessione ad Amazon Redshift con AWS IAM Identity Center tramite Amazon Redshift Query Editor v2
<a name="redshift-iam-access-control-idp-connect-qe"></a>

Dopo aver completato i passaggi per configurare una connessione AWS IAM Identity Center con Redshift, l'utente può accedere al database e agli oggetti appropriati nel database tramite la propria identità basata su AWS IAM Identity Center con prefisso nello spazio dei nomi. Per ulteriori informazioni sulla connessione ai database Redshift con Query Editor V2, consulta [Esecuzione di query su un database con Query Editor V2Esecuzione di query in un database con l'editor di query v2 di Amazon Redshift](query-editor-v2.md).



## AWS Utilizzo di IAM Identity Center su più Regioni AWS
<a name="redshift-iam-access-control-idp-connect-multi-region"></a>

Amazon Redshift supporta AWS IAM Identity Center in più versioni. Regioni AWS Puoi estendere AWS IAM Identity Center dalla tua regione principale Regione AWS a regioni aggiuntive per migliorare le prestazioni grazie alla vicinanza agli utenti e all'affidabilità. Quando viene aggiunta una nuova regione in AWS IAM Identity Center, è possibile creare applicazioni Redshift IAM Identity Center nella nuova regione senza replicare le identità dalla regione principale. Puoi configurare le autorizzazioni federate di Amazon Redshift utilizzando AWS IAM Identity Center nella nuova regione, dove puoi abilitare i controlli a livello di riga, colonna e mascheramento. *Per maggiori dettagli su come iniziare a usare AWS IAM Identity Center in più regioni, consulta [Manage IAM Identity Center in multiple Regioni AWS nella AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) User Guide.AWS *

## Limitazioni per la connessione ad Amazon Redshift con AWS IAM Identity Center
<a name="redshift-iam-access-control-idp-connect-limitations"></a>

Quando utilizzi il single sign-on di AWS IAM Identity Center, considera la seguente limitazione:


+  **Nessun supporto per VPC avanzato: il VPC** avanzato non è supportato quando utilizzi il single sign-on di AWS IAM Identity Center per Amazon Redshift. Per ulteriori informazioni sul VPC avanzato, consulta [Routing VPC avanzato in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html). 

# Configurazione dell'integrazione di AWS IAM Identity Center con Amazon Redshift
<a name="redshift-iam-access-control-idp-connect-console"></a>

L'amministratore del cluster Amazon Redshift o l'amministratore di Amazon Redshift Serverless deve eseguire diversi passaggi per configurare Redshift come AWS applicazione abilitata per IAM Identity Center. In questo modo Redshift può rilevare e connettersi automaticamente a AWS IAM Identity Center per ricevere i servizi di accesso e di elenco utenti. Dopodiché, quando l'amministratore di Redshift crea un cluster o un gruppo di lavoro, può consentire al nuovo data warehouse di utilizzare AWS IAM Identity Center per gestire l'accesso al database.

Lo scopo dell'abilitazione di Redshift come applicazione gestita da AWS IAM Identity Center è la possibilità di controllare le autorizzazioni di utenti e gruppi dall'interno di AWS IAM Identity Center o da un provider di identità di terze parti integrato con esso. Quando gli utenti del tuo database accedono a un database Redshift, ad esempio un analista o un data scientist, controlla i loro gruppi in AWS IAM Identity Center e questi corrispondono ai nomi dei ruoli in Redshift. In questo modo, un gruppo che definisce il nome per un ruolo del database Redshift può accedere, ad esempio, a un set di tabelle per l'analisi delle vendite. Nelle seguenti sezioni viene mostrato come si configura.

## Prerequisiti
<a name="redshift-iam-access-control-idp-connect-prerequisites"></a>

Questi sono i prerequisiti per l'integrazione di AWS IAM Identity Center con Amazon Redshift:
+ *Configurazione dell'account*: devi configurare AWS IAM Identity Center nell'account di gestione della tua AWS organizzazione se prevedi di avere casi d'uso tra account o se utilizzi i cluster Redshift in account diversi con la AWS stessa istanza di IAM Identity Center. È inclusa la configurazione dell'origine di identità. Per ulteriori informazioni, consulta [Getting Started](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html), [Workforce Identities](https://docs.aws.amazon.com/singlesignon/latest/userguide/identities.html) e [Supported identity providers](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) nella *Guida per l'utente di Centro identitàAWS IAM*. Devi assicurarti di aver creato utenti o gruppi in AWS IAM Identity Center o di aver sincronizzato utenti e gruppi dalla tua fonte di identità prima di poterli assegnare ai dati in Redshift.
**Nota**  
È possibile utilizzare un'istanza di account di AWS IAM Identity Center, a condizione che Redshift e AWS IAM Identity Center si trovino nello stesso account. Puoi creare questa istanza utilizzando un widget al momento della creazione e configurazione di un cluster o un gruppo di lavoro Redshift.
+ *Configurazione di un emittente di token attendibile*: in alcuni casi, potrebbe essere necessario utilizzare un emittente di token attendibile, ovvero un'entità in grado di emettere e verificare token attendibili. Prima di farlo, sono necessari passaggi preliminari prima che l'amministratore di Redshift che configura l'integrazione con AWS IAM Identity Center possa selezionare l'emittente affidabile del token e aggiungere gli attributi necessari per completare la configurazione. Ciò può includere la configurazione di un provider di identità esterno che funga da emittente di token affidabile e l'aggiunta dei relativi attributi nella console IAM Identity Center. AWS Per completare queste fasi, consulta [Utilizzo di applicazioni con un emittente di token attendibile](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-apps-with-trusted-token-issuer.html#setuptrustedtokenissuer).
**Nota**  
La configurazione di un emittente di token attendibile non è richiesta per tutte le connessioni esterne. La connessione al database Redshift con l'Editor di query Amazon Redshift v2 non richiede la configurazione di un emittente di token attendibile. Può invece essere eseguita per applicazioni di terze parti come pannelli di controllo o applicazioni personalizzate che si autenticano con il tuo gestore dell'identità digitale.
+ *Configurazione di uno o più ruoli IAM*: nelle sezioni che seguono sono indicate le autorizzazioni che devono essere configurate. Dovrai aggiungere le autorizzazioni seguendo le best practice IAM. Le autorizzazioni specifiche sono illustrate nelle procedure che seguono. 

Per ulteriori informazioni, consulta [Nozioni di base su Centro identità AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html).

## Configurazione del provider di identità per l'utilizzo con AWS IAM Identity Center
<a name="redshift-iam-access-control-idp-connect-admin-config"></a>

La prima fase nel controllo della gestione delle identità di utenti e gruppi consiste nel connettersi a Centro identità AWS IAM e configurare il provider di identità. Puoi utilizzare lo stesso AWS IAM Identity Center come provider di identità oppure puoi connettere un archivio di identità di terze parti, come Okta, ad esempio. Per ulteriori informazioni sulla configurazione della connessione e del provider di identità, consulta [Connettersi a un provider di identità esterno](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) nella *Guida per l’utente di Centro identitàAWS IAM*. Assicurati che alla fine di questo processo sia stata aggiunta una piccola raccolta di utenti e gruppi a AWS IAM Identity Center, a scopo di test.

### Autorizzazioni di amministrazione
<a name="redshift-iam-access-control-idp-connect-admin-permissions"></a>

#### Autorizzazioni richieste per la gestione del ciclo di vita delle applicazioni Redshift/AWS IAM Identity Center
<a name="redshift-iam-access-control-permissions-application"></a>

È necessario creare un'identità IAM, che un amministratore di Redshift utilizza per configurare Redshift da utilizzare con AWS IAM Identity Center. Nella maggior parte dei casi dovresti creare un ruolo IAM con autorizzazioni e assegnarlo ad altre identità in base alle esigenze. Deve disporre delle autorizzazioni elencate per eseguire le seguenti azioni.

**Creazione dell'applicazione Redshift/AWS IAM Identity Center**
+ `sso:PutApplicationAssignmentConfiguration`: utilizzato per la sicurezza.
+ `sso:CreateApplication`— Utilizzato per creare un'applicazione AWS IAM Identity Center.
+ `sso:PutApplicationAuthenticationMethod`: fornisce l'accesso all'autenticazione Redshift.
+ `sso:PutApplicationGrant`: utilizzato per modificare le informazioni sull'emittente di token attendibile.
+ `sso:PutApplicationAccessScope`— Per la configurazione dell'applicazione Redshift AWS IAM Identity Center. Ciò include per AWS Lake Formation e per [Amazon S3 Access](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) Grants.
+ `redshift:CreateRedshiftIdcApplication`— Utilizzato per creare l'applicazione Redshift AWS IAM Identity Center.

**Descrizione dell'applicazione Redshift/AWS IAM Identity Center**
+ `sso:GetApplicationGrant`: utilizzato per elencare informazioni sull'emittente di token attendibile.
+ `sso:ListApplicationAccessScopes`: per la configurazione dell’applicazione Centro identità AWS IAM per Redshift per elencare le integrazioni downstream, come per AWS Lake Formation e S3 Access Grants.
+ `redshift:DescribeRedshiftIdcApplications`— Utilizzato per descrivere le applicazioni AWS IAM Identity Center esistenti.

**Modifica dell'applicazione Redshift/AWS IAM Identity Center**
+ `redshift:ModifyRedshiftIdcApplication`: utilizzato per modificare un'applicazione Redshift esistente.
+ `sso:UpdateApplication`— Utilizzato per aggiornare un'applicazione AWS IAM Identity Center.
+ `sso:GetApplicationGrant`: ottiene le informazioni sull’emittente di token attendibile.
+ `sso:ListApplicationAccessScopes`: per la configurazione dell’applicazione Centro identità AWS IAM per Redshift.
+ `sso:DeleteApplicationGrant`: elimina le informazioni sull'emittente di token attendibile.
+ `sso:PutApplicationGrant`: utilizzato per modificare le informazioni sull'emittente di token attendibile.
+ `sso:PutApplicationAccessScope`— Per la configurazione dell'applicazione Redshift AWS IAM Identity Center. Ciò include per AWS Lake Formation e per [Amazon S3 Access](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) Grants.
+ `sso:DeleteApplicationAccessScope`: utilizzato per l’eliminazione della configurazione dell’applicazione Centro identità AWS IAM per Redshift. Ciò include per AWS Lake Formation e per [Amazon S3 Access](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) Grants.

**Eliminazione dell’applicazione Redshift/Centro identitàAWS IAM**
+ `sso:DeleteApplication`— Utilizzato per eliminare un'applicazione AWS IAM Identity Center.
+ `redshift:DeleteRedshiftIdcApplication`— Offre la possibilità di eliminare un'applicazione Redshift AWS IAM Identity Center esistente.

#### Autorizzazioni necessarie per la gestione del ciclo di vita delle Redshift/query applicazioni Editor v2
<a name="redshift-iam-access-control-permissions-application-qev2"></a>

È necessario creare un'identità IAM, che un amministratore di Redshift utilizza per configurare Redshift da utilizzare con AWS IAM Identity Center. Nella maggior parte dei casi dovresti creare un ruolo IAM con autorizzazioni e assegnarlo ad altre identità in base alle esigenze. Deve disporre delle autorizzazioni elencate per eseguire le seguenti azioni.

**Creazione dell’applicazione Query Editor V2**
+ `redshift:CreateQev2IdcApplication`— Utilizzato per creare l'applicazione. QEV2 
+ `sso:CreateApplication`: offre la possibilità di creare un’applicazione Centro identità AWS IAM.
+ `sso:PutApplicationAuthenticationMethod`: fornisce l'accesso all'autenticazione Redshift.
+ `sso:PutApplicationGrant`: utilizzato per modificare le informazioni sull'emittente di token attendibile.
+ `sso:PutApplicationAccessScope`— Per la configurazione dell'applicazione Redshift AWS IAM Identity Center. È incluso l'editor di query v2.
+ `sso:PutApplicationAssignmentConfiguration`: utilizzato per la sicurezza.

**Descrivere l’applicazione Query Editor V2**
+ `redshift:DescribeQev2IdcApplications`— Utilizzato per descrivere l' QEV2 applicazione AWS IAM Identity Center.

**Modificare l’applicazione Query Editor V2**
+ `redshift:ModifyQev2IdcApplication`— Utilizzato per modificare l' QEV2 applicazione AWS IAM Identity Center.
+ `sso:UpdateApplication`— Utilizzato per modificare l' QEV2 applicazione AWS IAM Identity Center.

**Eliminare l’applicazione Query Editor V2**
+ `redshift:DeleteQev2IdcApplication`— Utilizzato per eliminare l' QEV2 applicazione.
+ `sso:DeleteApplication`— Utilizzato per eliminare l' QEV2applicazione.

**Nota**  
Nell'SDK Amazon Redshift, APIs non sono disponibili:  
CreateQev2IdcApplication
DescribeQev2IdcApplications
ModifyQev2IdcApplication
DeleteQev2IdcApplication
Queste azioni sono specifiche per eseguire l'integrazione di AWS IAM Identity Center con Redshift QEV2 nella AWS console. Per ulteriori informazioni, consulta [Azioni definite da Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html#amazonredshift-actions-as-permissions). 

#### Autorizzazioni del Database Administrator necessarie per connettere nuove risorse nella console
<a name="redshift-iam-access-control-permissions-application-new-resources"></a>

Le seguenti autorizzazioni sono necessarie per connettere nuovi cluster con provisioning o gruppi di lavoro Amazon Redshift serverless durante il processo di creazione. Se disponi di queste autorizzazioni, nella console viene visualizzata la selezione per connettersi all’applicazione gestita da Centro identità AWS IAM per Redshift.
+ `redshift:DescribeRedshiftIdcApplications`
+ `sso:ListApplicationAccessScopes`
+ `sso:GetApplicationAccessScope`
+ `sso:GetApplicationGrant`

Come best practice, consigliamo di collegare le policy di autorizzazioni a un ruolo IAM, che quindi viene assegnato a utenti e gruppi secondo le necessità. Per ulteriori informazioni, consulta [Identity and access management in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).

## Configurazione di Redshift come applicazione AWS gestita con AWS IAM Identity Center
<a name="redshift-iam-access-control-idp-connect-admin-tasks"></a>

Prima che AWS IAM Identity Center possa gestire le identità per un cluster con provisioning di Amazon Redshift o un gruppo di lavoro Serverless Amazon Redshift, l'amministratore di Redshift deve completare i passaggi per rendere Redshift un'applicazione gestita da IAM Identity Center: AWS 

1. Seleziona **l'integrazione con AWS IAM Identity Center** nel menu della console Amazon Redshift o Amazon Redshift Serverless, quindi seleziona ** AWS Connect** to IAM Identity Center. Quindi esegui una serie di selezioni per compilare le proprietà dell’integrazione di Centro identità AWS IAM.

1. Scegli un nome visualizzato e un nome univoco per l'applicazione gestita da AWS IAM Identity Center di Redshift.

1. Specifica lo spazio dei nomi dell'organizzazione. In genere è una versione abbreviata del nome dell'organizzazione che viene aggiunta come prefisso per gli utenti e i ruoli gestiti da Centro identità AWS IAM nel database Redshift.

1. Seleziona un ruolo IAM da utilizzare. Questo ruolo IAM deve essere separato da quelli utilizzati per Redshift e consigliamo di non usarlo per altri scopi. Le specifiche autorizzazioni policy richieste sono riportate di seguito:
   + `sso:DescribeApplication`: necessario per creare una voce del gestore dell'identità digitale nel catalogo.
   + `sso:DescribeInstance`: utilizzato per creare manualmente ruoli o utenti federati del gestore dell'identità digitale.

1. Configura le connessioni client e gli emittenti di token attendibili. La configurazione di emittenti di token attendibili facilita la propagazione delle identità attendibili impostando una relazione con un gestore dell'identità digitale esterno. La propagazione dell'identità consente a un utente, ad esempio, di accedere a un'applicazione e a dati specifici in un'altra applicazione. In tal modo gli utenti possono raccogliere dati da diverse postazioni in modo più semplice. In questa fase, si impostano nella console gli attributi per ogni emittente di token attendibile. Gli attributi includono il nome e l'attestazione del pubblico (o *aud claim*), che potresti dover ricavare dagli attributi di configurazione dello strumento o del servizio. Inoltre, potrebbe essere necessario fornire il nome dell'applicazione dal JSON Web Token (JWT) dello strumento di terze parti.
**Nota**  
L'attributo `aud claim` richiesto da ogni strumento o servizio di terze parti può variare in base al tipo di token, che può essere un token di accesso emesso da un gestore dell'identità digitale o un altro tipo, come un token ID. Ogni fornitore può essere diverso. Quando si implementa la propagazione di identità attendibili e si integra con Redshift, è necessario fornire il valore *aud* corretto per il tipo di token che lo strumento di terze parti invia ad AWS. Consulta i suggerimenti del provider di strumenti o servizi.

   Per informazioni dettagliate sulla propagazione affidabile delle identità, consulta [Panoramica della propagazione affidabile delle identità](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) nella *Guida per l’utente di AWS IAM Identity Center *. 

Dopo che l’amministratore di Redshift ha completato la procedura e salvato la configurazione, le proprietà di Centro identità AWS IAM vengono visualizzate nella console Redshift. Puoi anche eseguire query sulla vista di sistema [SVV\$1IDENTITY\$1PROVIDERS](https://docs.aws.amazon.com/redshift/latest/dg/r_SVV_IDENTITY_PROVIDERS.html) per verificare le proprietà dell'applicazione, che includono il nome dell'applicazione e lo spazio dei nomi. Lo spazio dei nomi viene utilizzato come prefisso per gli oggetti del database Redshift associati all'applicazione. Il completamento di queste attività rende Redshift un'applicazione compatibile con AWS IAM Identity Center. Le proprietà della console includono lo stato dell'integrazione. Quando l'integrazione è completata, lo stato è **Abilitato**. Dopo questo processo, l’integrazione di Centro identità AWS IAM può essere abilitata su ogni nuovo cluster.

**Dopo la configurazione, puoi includere utenti e gruppi di AWS IAM Identity Center in Redshift scegliendo la scheda **Utenti** o **Gruppi** e selezionando Assegna.**

## Abilitazione dell'integrazione di AWS IAM Identity Center per un nuovo cluster Amazon Redshift o un gruppo di lavoro Serverless Amazon Redshift
<a name="redshift-iam-access-control-idp-connect-resource-creation"></a>

L'amministratore del database configura le nuove risorse Redshift in modo che funzionino in linea AWS con IAM Identity Center per semplificare l'accesso e l'accesso ai dati. Questa operazione viene eseguita come parte dei passaggi per creare un cluster con provisioning o un gruppo di lavoro serverless. Chiunque disponga delle autorizzazioni per creare risorse Redshift può eseguire AWS queste attività di integrazione con IAM Identity Center. Quando crei un cluster con provisioning, inizi scegliendo Create **Cluster nella** console Amazon Redshift. I passaggi seguenti mostrano come abilitare la gestione di AWS IAM Identity Center per un database. ma non sono inclusi tutti i passaggi per creare un cluster.

1. Scegli **Abilita per <nome del cluster>** nella sezione **Integrazione con il Centro identità IAM** nei passaggi di creazione del cluster.

1. C'è un passaggio del processo in cui abiliti l'integrazione. Puoi farlo scegliendo **Abilita l'integrazione con il Centro identità IAM** nella console.

1. Per il nuovo cluster o gruppo di lavoro, crea i ruoli di database in Redshift utilizzando i comandi SQL. Il comando è il seguente:

   ```
   CREATE ROLE <idcnamespace:rolename>;
   ```

   Lo spazio dei nomi e il nome del ruolo sono i seguenti: 
   + *Prefisso dello spazio dei nomi IAM Identity Center*: questo è lo spazio dei nomi che hai definito quando hai impostato la connessione tra IAM AWS Identity Center e Redshift.
   + *Nome ruolo*: questo ruolo del database Redshift deve corrispondere al nome del gruppo in AWS IAM Identity Center.

   Redshift si connette a AWS IAM Identity Center e recupera le informazioni necessarie per creare e mappare il ruolo del database al gruppo AWS IAM Identity Center.

Tieni presente che quando viene creato un nuovo data warehouse, il ruolo IAM specificato per l’integrazione di Centro identità AWS IAM viene automaticamente collegato al cluster o al gruppo di lavoro Amazon Redshift serverless fornito. Dopo aver inserito i metadati del cluster richiesti e aver creato la risorsa, puoi verificare lo stato dell'integrazione di AWS IAM Identity Center nelle proprietà. Se i nomi dei gruppi in AWS IAM Identity Center contengono spazi, è necessario utilizzare le virgolette in SQL quando si crea il ruolo corrispondente.

Dopo aver abilitato il database Redshift e creato i ruoli, puoi connetterti al database con l'Editor di query Amazon Redshift v2 o Amazon Quick. I dettagli sono spiegati ampiamente nelle sezioni che seguono.

### Configurazione dell'impostazione predefinita di `RedshiftIdcApplication` tramite l'API
<a name="redshift-iam-access-control-idp-connect-admin-config-api"></a>

La configurazione viene eseguita dall'amministratore delle identità. Utilizzando l'API, crei e compili un file`RedshiftIdcApplication`, che rappresenta l'applicazione Redshift all' AWS interno di IAM Identity Center.

1. Per iniziare, puoi creare utenti e aggiungerli ai gruppi in AWS IAM Identity Center. Puoi farlo nella AWS console di AWS IAM Identity Center.

1. Chiama `create-redshift-idc-application` per creare un'applicazione AWS IAM Identity Center e renderla compatibile con l'utilizzo di Redshift. L'applicazione viene creata inserendo i valori richiesti. Il nome visualizzato è quello che viene mostrato nella dashboard di Centro identità AWS IAM. L’ARN del ruolo IAM è un nome della risorsa Amazon che dispone delle autorizzazioni per Centro identità AWS IAM e può essere utilizzato anche da Redshift.

   ```
   aws redshift create-redshift-idc-application
   ––idc-instance-arn 'arn:aws:sso:::instance/ssoins-1234a01a1b12345d'
   ––identity-namespace 'MYCO'
   ––idc-display-name 'TEST-NEW-APPLICATION'
   ––iam-role-arn 'arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole'
   ––redshift-idc-application-name 'myredshiftidcapplication'
   ```

   L'esempio seguente mostra la risposta `RedshiftIdcApplication` restituita dalla chiamata a `create-redshift-idc-application`.

   ```
   "RedshiftIdcApplication": {
                   "IdcInstanceArn": "arn:aws:sso:::instance/ssoins-1234a01a1b12345d",
                   "RedshiftIdcApplicationName": "test-application-1",
                   "RedshiftIdcApplicationArn": "arn:aws:redshift:us-east-1:012345678901:redshiftidcapplication:12aaa111-3ab2-3ab1-8e90-b2d72aea588b",
                   "IdentityNamespace": "MYCO",
                   "IdcDisplayName": "Redshift-Idc-Application",
                   "IamRoleArn": "arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole",
                   "IdcManagedApplicationArn": "arn:aws:sso::012345678901:application/ssoins-1234a01a1b12345d/apl-12345678910",
                   "IdcOnboardStatus": "arn:aws:redshift:us-east-1:123461817589:redshiftidcapplication",
                   "RedshiftIdcApplicationArn": "Completed",
                   "AuthorizedTokenIssuerList": [
                          "TrustedTokenIssuerArn": ...,
                          "AuthorizedAudiencesList": [...]...
                   ]}
   ```

1. Puoi utilizzarlo `create-application-assignment` per assegnare gruppi particolari o singoli utenti all'applicazione gestita in AWS IAM Identity Center. In questo modo, puoi specificare i gruppi da gestire tramite AWS IAM Identity Center. Se l'amministratore del database crea i ruoli del database in Redshift, i nomi dei gruppi in AWS IAM Identity Center vengono mappati ai nomi dei ruoli in Redshift. I ruoli controllano le autorizzazioni nel database. Per ulteriori informazioni, consulta [Assegnare l'accesso degli utenti alle applicazioni nella console AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/assignuserstoapp.html).

1. Dopo aver abilitato l'applicazione, chiama `create-cluster` e includi l'ARN dell'applicazione gestita Redshift da AWS IAM Identity Center. In questo modo il cluster viene associato all'applicazione gestita in AWS IAM Identity Center.

### Associazione di un'applicazione AWS IAM Identity Center a un cluster o gruppo di lavoro esistente
<a name="redshift-iam-access-control-idp-connect-admin-config-existing"></a>

Se disponi di un cluster o un gruppo di lavoro e desideri abilitarlo per l’integrazione di Centro identità AWS IAM, puoi eseguire un comando SQL. Puoi anche eseguire comandi SQL per modificare le impostazioni per l’integrazione. Per ulteriori informazioni, consulta [ALTER IDENTITY PROVIDER](https://docs.aws.amazon.com/redshift/latest/dg/r_ALTER_IDENTITY_PROVIDER.html).

È anche possibile rimuovere un provider di identità esistente. L'esempio seguente mostra come CASCADE elimina gli utenti e i ruoli collegati al gestore dell'identità digitale.

```
DROP IDENTITY PROVIDER
<provider_name> [ CASCADE ]
```

## Impostazione delle autorizzazioni degli utenti
<a name="redshift-iam-access-control-idp-connect-user-permissions"></a>

Un amministratore configura le autorizzazioni per varie risorse, in base agli attributi di identità degli utenti e all'appartenenza ai gruppi, all'interno del proprio provider di identità o direttamente all'interno di AWS IAM Identity Center. Ad esempio, l'amministratore del provider di identità può aggiungere un ingegnere di database a un gruppo appropriato al proprio ruolo. Questo nome di gruppo corrisponde a un nome di ruolo del database Redshift. Il ruolo fornisce o limita l'accesso a tabelle o viste specifiche in Redshift.

# Creazione automatica di ruoli Amazon Redshift per AWS IAM Identity Center
<a name="redshift-iam-access-control-sso-autocreate"></a>

Questa funzionalità è un'integrazione AWS IAM Identity Center che consente di creare automaticamente ruoli in Redshift in base all'appartenenza al gruppo.

La creazione automatica dei ruoli offre diversi vantaggi. Quando crei automaticamente un ruolo, Redshift crea il ruolo con l’appartenenza al gruppo nel gestore dell’identità digitale in modo che tu possa evitare noiose operazioni manuali di creazione e manutenzione dei ruoli. Hai anche la possibilità di filtrare quali gruppi sono mappati ai ruoli di Redshift con modelli di inclusione ed esclusione.

## Come funziona
<a name="autocreate-overview"></a>

Quando, come utente gestore dell’identità digitale, accedi a Redshift, si verifica la seguente sequenza di eventi: 

1. Redshift recupera le appartenenze ai gruppi dal gestore dell’identità digitale.

1. Redshift crea automaticamente la mappatura dei ruoli a tali gruppi, con il formato del ruolo `idp_namespace:rolename`. 

1. Redshift concede le autorizzazioni con i ruoli mappati. 

Dopo ciascun accesso utente, ogni gruppo che non è presente nel catalogo ma di cui l’utente fa parte viene creato automaticamente. Facoltativamente puoi impostare i filtri di inclusione ed esclusione per controllare quali gruppi di gestori dell’identità digitale hanno creato i ruoli Redshift.

## Configurazione dei ruoli di creazione automatica
<a name="autocreate-configuring"></a>

Utilizza i comandi `CREATE IDENTITY PROVIDER` e `ALTER IDENTITY PROVIDER` per abilitare e configurare la creazione automatica dei ruoli.

```
-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER <idp_name> TYPE AWSIDC
  NAMESPACE '<namespace>' 
  APPLICATION_ARN 'app_arn'
  IAM_ROLE 'role_arn'
  AUTO_CREATE_ROLES TRUE; 

-- Enable on existing IdP 
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES TRUE;

-- Disable  
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES FALSE;
```

## Filtraggio dei gruppi
<a name="autocreate-filtering"></a>

Facoltativamente puoi filtrare quali gruppi di gestori dell’identità digitale sono mappati ai ruoli Redshift utilizzando i modelli `INCLUDE` e `EXCLUDE`. Quando i modelli sono in conflitto, `EXCLUDE` ha la precedenza su `INCLUDE`.

```
-- Only create roles for groups with 'dev' 
CREATE IDENTITY PROVIDER <idp_name> TYPE AWSIDC
  ...
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%';
    
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER <idp_name>  
  AUTO_CREATE_ROLES TRUE
  EXCLUDE GROUPS LIKE '%test%';
```

## Esempi
<a name="autocreate-filtering"></a>

L’esempio seguente mostra come attivare la creazione automatica dei ruoli senza filtri.

```
CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC  ...
  AUTO_CREATE_ROLES TRUE;
```

L’esempio seguente include i gruppi di sviluppo ed esclude i gruppi di test.

```
ALTER IDENTITY PROVIDER prod_idc
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%'
  EXCLUDE GROUPS LIKE '%test%';
```

## Best practice
<a name="autocreate-bp"></a>

Prendi in considerazione le seguenti best practice quando abiliti la creazione automatica per i ruoli:
+ Utilizza i filtri `INCLUDE` e `EXCLUDE` per controllare a quali gruppi vengono assegnati i ruoli.
+ Controlla periodicamente i ruoli ed elimina quelli inutilizzati.
+ Sfrutta le gerarchie di ruoli di Redshift per semplificare la gestione delle autorizzazioni.

# Integrazione di Amazon Redshift con Amazon S3 Access Grants
<a name="redshift-iam-access-control-sso-s3idc"></a>

Utilizzando l’integrazione con Amazon S3 Access Grants, puoi propagare facilmente le identità di Centro identità IAM per controllare l’accesso ai dati di Amazon S3. Questa integrazione consente di autorizzare l’accesso ai dati di Amazon S3 in base agli utenti e ai gruppi di Centro identità IAM.

Per informazioni su Amazon S3 Access Grants, consulta [Gestione dell’accesso con S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).

L’uso di Amazon S3 Access Grants offre all’applicazione i seguenti vantaggi:
+ Controllo granulare degli accessi ai dati di Amazon S3, basato sulle identità di Centro identità IAM.
+ Gestione centralizzata delle identità di Centro identità IAM in Amazon Redshift e Amazon S3.
+ Puoi evitare di gestire autorizzazioni IAM separate per l’accesso ad Amazon S3.

## Come funziona
<a name="redshift-iam-access-control-sso-s3idc-howitworks"></a>

Per integrare l’applicazione con Amazon S3 Access Grants, segui la procedura descritta:
+ Innanzitutto, configuri Amazon Redshift per l'integrazione con Amazon S3 Access Grants utilizzando o. Console di gestione AWS AWS CLI
+ Quindi un utente con privilegi di amministratore IdC concede l’accesso al bucket o al prefisso Amazon S3 a utenti/gruppi IdC specifici, utilizzando il servizio Amazon S3 Access Grants. Per ulteriori informazioni, consulta [Utilizzo delle concessioni in S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-grant.html).
+ Quando un utente IdC autenticato in Redshift esegue una query di accesso a S3 (ad esempio un’operazione COPY, UNLOAD o Spectrum), Amazon Redshift recupera le credenziali di accesso temporanee S3 relative a tale IdC dal servizio Amazon S3 Access Grants.
+ Amazon Redshift utilizza quindi le credenziali temporanee recuperate per accedere alle posizioni Amazon S3 autorizzate per tale query.

## Configurazione dell’integrazione con Amazon S3 Access Grants
<a name="redshift-iam-access-control-sso-s3idc-setup"></a>

Per configurare l’integrazione con Amazon S3 Access Grants per Amazon Redshift, segui la procedura descritta:

**Topics**
+ [Configurazione dell'integrazione con Amazon S3 Access Grants utilizzando Console di gestione AWS](#redshift-iam-access-control-sso-s3idc-setup-console)
+ [Abilitazione dell'integrazione con Amazon S3 Access Grants utilizzando AWS CLI](#redshift-iam-access-control-sso-s3idc-setup-cli)

### Configurazione dell'integrazione con Amazon S3 Access Grants utilizzando Console di gestione AWS
<a name="redshift-iam-access-control-sso-s3idc-setup-console"></a>

1. Apri la console Amazon Redshift.

1. Scegli il cluster dal riquadro **Cluster**.

1. Nella pagina dei dettagli del cluster, nella sezione **Integrazione del provider di identità**, abilita l’integrazione con il servizio **S3 Access Grants**.
**Nota**  
La sezione **Integrazione del provider di identità** non viene visualizzata se non hai configurato Centro identità IAM. [Per ulteriori informazioni, consulta Abilitazione. AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)

### Abilitazione dell'integrazione con Amazon S3 Access Grants utilizzando AWS CLI
<a name="redshift-iam-access-control-sso-s3idc-setup-cli"></a>

1. Per creare una nuova applicazione IdC Amazon Redshift con l’integrazione di S3 abilitata, segui la procedura descritta:

   ```
   aws redshift create-redshift-idc-application <other parameters> 
     --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
   ```

1. Per modificare un’applicazione esistente per abilitare l’integrazione di S3 Access Grants, segui la procedura descritta:

   ```
   aws redshift modify-redshift-idc-application <other parameters>
     --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
   ```

1. Per modificare un’applicazione esistente per disabilitare l’integrazione di S3 Access Grants, segui la procedura descritta:

   ```
   aws redshift modify-redshift-idc-application <other parameters>
     --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Disabled"}}]} ]'
   ```

## Utilizzo dell’integrazione con S3 Access Grants
<a name="redshift-iam-access-control-sso-s3idc-using"></a>

Dopo che hai configurato l’integrazione di S3 Access Grants, le query che accedono ai dati S3 (ad esempio `COPY`, `UNLOAD` o le query Spectrum) utilizzano l’identità IdC per l’autorizzazione. Anche gli utenti che non sono autenticati tramite IdC possono eseguire queste query, ma tali account utente non sfruttano l’amministrazione centralizzata fornita da IdC.

L’esempio seguente mostra le query eseguite con l’integrazione di S3 Access Grants: 

```
COPY table FROM 's3://mybucket/data';  // -- Redshift uses IdC identity 
UNLOAD ('SELECT * FROM table') TO 's3://mybucket/unloaded/'    // -- Redshift uses IdC identity
```

# Interrogazione dei dati tramite AWS Lake Formation
<a name="redshift-iam-access-control-idp-analytics-connecting-steps"></a>

L'utilizzo AWS Lake Formation semplifica la gestione e la protezione centralizzate del data lake e l'accesso ai dati. La configurazione della propagazione delle identità su Lake Formation tramite AWS IAM Identity Center e Redshift consente a un amministratore di consentire l'accesso granulare a un data lake Amazon S3, in base ai gruppi di provider di identità (IdP) dell'organizzazione. Questi gruppi sono gestiti tramite Centro identità AWS IAM. Questa sezione mostra come configurare un paio di casi d'uso, interrogazione da un data lake e interrogazione da una condivisione di dati, che dimostrano come sfruttare AWS IAM Identity Center con Redshift per connettersi a risorse gestite da Lake Formation.

## Utilizzo di una connessione AWS IAM Identity Center e Redshift per interrogare un data lake
<a name="redshift-iam-access-control-idp-analytics-connecting-datalake"></a>

Questi passaggi riguardano un caso d'uso in cui utilizzi AWS IAM Identity Center connesso a Redshift per interrogare un data lake governato da Lake Formation.

**Prerequisiti**

Questa procedura prevede diversi prerequisiti:

1. AWS IAM Identity Center deve essere configurato per supportare l'autenticazione e la gestione delle identità con Redshift. Puoi abilitare AWS IAM Identity Center dalla console e selezionare una fonte di identity-provider (IdP). Dopodiché, sincronizza un set di utenti IdP AWS con IAM Identity Center. È inoltre necessario configurare una connessione tra AWS IAM Identity Center e Redshift, seguendo i passaggi descritti in precedenza in questo documento.

1. Crea un nuovo cluster Amazon Redshift e abilita la gestione delle identità tramite AWS IAM Identity Center nelle fasi di configurazione.

1. Crea un'applicazione AWS IAM Identity Center gestita per Lake Formation e configurala. Ciò segue la configurazione della connessione tra AWS IAM Identity Center e Redshift. Di seguito sono riportati i passaggi:

   1. Nel AWS CLI, utilizza il `modify-redshift-idc-application` comando per abilitare l'integrazione del servizio Lake Formation con l'applicazione gestita AWS IAM Identity Center per Redshift. Questa chiamata include il parametro `service-integrations`, che è impostato su un valore di stringa di configurazione che consente l'autorizzazione per Lake Formation.

   1. Configura Lake Formation utilizzando il comando `create-lake-formation-identity-center-configuration`, Questo crea un'applicazione AWS IAM Identity Center per Lake Formation, visibile nel portale AWS IAM Identity Center. L'amministratore deve impostare l'`––cli-input-json`argomento, il cui valore è il percorso di un file JSON che utilizza il formato standard per tutte le chiamate API AWS CLI. È necessario specificare i seguenti valori:
      + `CatalogId`: l'ID catalogo di Lake Formation.
      + `InstanceArn`— Il valore ARN dell'istanza AWS IAM Identity Center.

Una volta completata la configurazione dei prerequisiti, l'amministratore del database può creare uno schema esterno allo scopo di eseguire query sul data lake.

1. **L'amministratore crea lo schema esterno**: l'amministratore del database Redshift si connette al database e crea uno schema esterno, utilizzando la seguente istruzione SQL:

   ```
   CREATE EXTERNAL SCHEMA if not exists my_external_schema from DATA CATALOG database 'my_lf_integrated_db' catalog_id '12345678901234';
   ```

   Tieni presente che in questo caso non è necessario specificare un ruolo IAM, poiché l'accesso è gestito tramite AWS IAM Identity Center.

1. **L'amministratore concede le autorizzazioni**: l'amministratore concede l'utilizzo a un gruppo AWS IAM Identity Center, che concede le autorizzazioni sulle risorse Redshift. Per farlo, esegue un'istruzione SQL come la seguente:

   ```
   GRANT USAGE ON SCHEMA "my_external_schema" to "MYCO:sales";
   ```

   Successivamente, l'amministratore concede le autorizzazioni di Lake Formation sugli oggetti, in base ai requisiti dell'organizzazione, utilizzando la AWS CLI:

   ```
   aws lakeformation grant-permissions ...
   ```

1. **Gli utenti eseguono le query**: a questo punto, un utente di Centro identità AWS IAM che fa parte del gruppo di vendita, a scopo illustrativo, può accedere tramite Query Editor V2 al database Redshift. Quindi può eseguire una query che accede a una tabella nello schema esterno, come nell'esempio seguente:

   ```
   SELECT * from my_external_schema.table1;
   ```

## Utilizzo di una connessione AWS IAM Identity Center e Redshift per connettersi a un datashare
<a name="redshift-iam-access-control-idp-analytics-connecting-datashare"></a>

 Puoi accedere a un datashare da un data warehouse Redshift diverso quando l'accesso è gestito tramite AWS IAM Identity Center. A tale scopo, esegui una query per configurare un database esterno. Prima di completare questi passaggi, si presuppone che tu abbia configurato una connessione tra Redshift e AWS IAM Identity Center e che tu abbia creato l' AWS Lake Formation applicazione, come descritto nella procedura precedente.

1. **Creazione del database esterno**: l'amministratore crea un database esterno per la condivisione dei dati usando come riferimento il relativo ARN. Di seguito è riportato un esempio che mostra come eseguire questa operazione:

   ```
   CREATE DATABASE "redshift_external_db" FROM ARN 'arn:aws:glue:us-east-1:123456789012:database/redshift_external_db-iad' WITH NO DATA CATALOG SCHEMA;
   ```

   In questo caso d'uso, in cui si utilizza AWS IAM Identity Center con Redshift per la gestione delle identità, il ruolo IAM non è incluso.

1. **L'amministratore imposta le autorizzazioni**: dopo aver creato un database, l'amministratore ne concede l'utilizzo a un gruppo AWS IAM Identity Center. In tal modo si forniscono le autorizzazioni per le risorse Redshift:

   ```
   GRANT USAGE ON DATABASE "my_external_db" to "MYCO:sales";
   ```

   L'amministratore fornisce anche le autorizzazioni di Lake Formation per gli oggetti, tramite la AWS CLI:

   ```
   aws lakeformation grant-permissions ...
   ```

1. **Gli utenti eseguono le query**: un utente del gruppo di vendita può eseguire le query su una tabella nel database, in base alle autorizzazioni assegnate:

   ```
   select * from redshift_external_db.public.employees;
   ```

Per ulteriori informazioni sull'assegnazione delle autorizzazioni per un data lake e per le unità di condivisione dati, consulta [Granting permissions to users and groups](https://docs.aws.amazon.com/lake-formation/latest/dg/grant-permissions-sso.html). Per ulteriori informazioni sull'assegnazione dell'utilizzo per uno schema o un database, consulta [GRANT](https://docs.aws.amazon.com/redshift/latest/dg/r_GRANT.html).

# Integrazione dell'applicazione o dello strumento con l' OAuth utilizzo di un emittente di token affidabile
<a name="redshift-iam-access-control-idp-connect-oauth"></a>

 Puoi aggiungere funzionalità agli strumenti client che crei per connetterti a Redshift tramite la connessione AWS IAM Identity Center. Se hai già configurato l’integrazione di Redshift per Centro identità AWS IAM, utilizza le proprietà dettagliate in questa sezione per stabilire una connessione. 

## Plugin di autenticazione per la connessione a Redshift tramite AWS IAM Identity Center
<a name="redshift-iam-access-control-idp-connect-plugin"></a>

Puoi utilizzare AWS IAM Identity Center per connetterti ad Amazon Redshift utilizzando i seguenti plug-in di driver: 
+  `BrowserIdcAuthPlugin`— Questo plugin facilita l' single-sign-onintegrazione perfetta con AWS IAM Identity Center. Crea una finestra del browser in cui gli utenti possono accedere con le credenziali utente definite nei provider di identità aziendali. 
+  `IdpTokenAuthPlugin`— Questo plug-in deve essere utilizzato dalle applicazioni che desiderano gestire autonomamente il flusso di autenticazione, anziché consentire al driver Amazon Redshift di aprire una finestra del browser AWS per l'autenticazione di IAM Identity Center. Accetta un token AWS IAM Identity Center vended Access o un token web JSON (JWT) OpenID Connect (OIDC) da qualsiasi provider di identità web AWS connesso a IAM Identity Center, come Okta PingOne, e Microsoft Entra ID (Azure AD). L’applicazione client è responsabile della generazione di questo token di accesso/JWT richiesto. 

### Autenticazione con `BrowserIdcAuthPlugin`
<a name="redshift-iam-access-control-idp-connect-plugin-browseridcauthplugin"></a>

Utilizza i seguenti nomi di plugin per connetterti con `BrowserIdcAuthPlugin`, a seconda del driver Amazon Redshift in uso.


| Driver | Chiave dell’opzione di connessione | Valore | Note | 
| --- | --- | --- | --- | 
| JDBC | `plugin_name` | com.amazon.redshift.plugin. BrowserIdcAuthPlugin | Quando ti connetti, devi inserire il nome completo della classe del plugin. | 
| ODBC | `plugin_name` | BrowserIdcAuthPlugin |  | 
| Python | `credentials_provider` | BrowserIdcAuthPlugin | Non è disponibile alcuna opzione `plugin_name` per il driver Python. Utilizza invece `credentials_provider`. | 

Il plugin `BrowserIdcAuthPlugin` ha le seguenti opzioni di connessione aggiuntive:


| Nome opzione | Obbligatorio? | Description | Esempio | 
| --- | --- | --- | --- | 
| idc\$1region | Richiesto | La posizione Regione AWS in cui si trova l'istanza di AWS IAM Identity Center. | us-east-1 | 
| issuer\$1url | Richiesto | L'endpoint dell'istanza del server AWS IAM Identity Center. Puoi trovare questo valore utilizzando la console AWS IAM Identity Center. | https://identitycenter.amazonaws.com/ssoins-g5j2k70sn4yc5nsc | 
| listen\$1port | Facoltativo | La porta utilizzata dal driver Amazon Redshift per ricevere la `auth_code` risposta da AWS IAM Identity Center tramite il reindirizzamento del browser. | 7890 | 
| idc\$1client\$1display\$1name | Facoltativo | Il nome che il client AWS IAM Identity Center utilizza per l'applicazione nel popup di consenso Single Sign-On di AWS IAM Identity Center. | Driver Amazon Redshift | 
| idP\$1Response\$1Timeout | Facoltativo | Il periodo di tempo, in secondi, durante il quale il driver Redshift attende il completamento del flusso di autenticazione. | 60 | 

Devi inserire questi valori nelle proprietà di connessione dello strumento che crei e con cui ti connetti. Per ulteriori informazioni, consulta la documentazione relativa alle opzioni di connessione per ogni driver:
+ [Opzioni per la configurazione del driver JDBC versione 2.x](jdbc20-configuration-options.md)
+ [Opzioni del driver ODBC](odbc20-configuration-options.md)
+ [Opzioni di configurazione per il connettore Amazon Redshift Python](python-configuration-options.md)

### Autenticazione con `IdpTokenAuthPlugin`
<a name="redshift-iam-access-control-idp-connect-plugin-idptokenauthplugin"></a>

Utilizza i seguenti nomi di plugin per connetterti con `IdpTokenAuthPlugin`, a seconda del driver Amazon Redshift in uso.


| Driver | Chiave dell’opzione di connessione | Valore | Note | 
| --- | --- | --- | --- | 
| JDBC | `plugin_name` | com.amazon.redshift.plugin. IdpTokenAuthPlugin | Quando ti connetti, devi inserire il nome completo della classe del plugin. | 
| ODBC | `plugin_name` | IdpTokenAuthPlugin |  | 
| Python | `credentials_provider` | IdpTokenAuthPlugin | Non è disponibile alcuna opzione `plugin_name` per il driver Python. Utilizza invece `credentials_provider`. | 

Il plugin `IdpTokenAuthPlugin` ha le seguenti opzioni di connessione aggiuntive:


| Nome opzione | Obbligatorio? | Description | 
| --- | --- | --- | 
| token | Richiesto | Un token di accesso fornito da AWS IAM Identity Center o un token Web JSON (JWT) OpenID Connect (OIDC) fornito da un provider di identità Web connesso a IAM Identity Center. AWS L'applicazione deve generare questo token autenticando l'utente dell'applicazione con AWS IAM Identity Center o un provider di identità connesso a IAM Identity Center. AWS  | 
| token\$1type | Richiesto | Il tipo di token utilizzato per `IdpTokenAuthPlugin`. I valori possibili sono i seguenti:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/redshift/latest/mgmt/redshift-iam-access-control-idp-connect-oauth.html)  | 

Devi inserire questi valori nelle proprietà di connessione dello strumento che crei e con cui ti connetti. Per ulteriori informazioni, consulta la documentazione relativa alle opzioni di connessione per ogni driver:
+ [Opzioni per la configurazione del driver JDBC versione 2.x](jdbc20-configuration-options.md)
+ [Opzioni del driver ODBC](odbc20-configuration-options.md)
+ [Opzioni di configurazione per il connettore Amazon Redshift Python](python-configuration-options.md)

# Risoluzione dei problemi relativi alle connessioni di Amazon Redshift Query Editor V2
<a name="redshift-iam-access-control-idp-connect-troubleshooting"></a>

Questo elenco descrive in dettaglio gli errori che si verificano comunemente e può aiutarti a connetterti al tuo database Redshift con l'editor di query v2, utilizzando un'identità AWS IAM Identity Center.
+ Errore: **Connection Issue: No Identity center session information available.** Quando si verifica questo errore, controlla le impostazioni di sicurezza e privacy del browser. Queste impostazioni del browser, in particolare quelle per i cookie sicuri, come la funzionalità Total Cookie Protection di Firefox, possono comportare il blocco dei tentativi di connessione da Amazon Redshift Query Editor V2 a un database Redshift. Segui le fasi di correzione dettagliate per il browser:
  + **Firefox**: attualmente i cookie di terze parti sono bloccati per impostazione predefinita. Fai clic sullo scudo nella barra degli indirizzi del browser e attiva l’interruttore per disattivare la protezione di monitoraggio avanzata per Query Editor V2.
  + **Modalità di navigazione in incognito di Chrome**: per impostazione predefinita, la modalità di navigazione in incognito di Chrome blocca i cookie di terze parti. Fai clic sull’icona a forma di occhio nella barra degli indirizzi per consentire i cookie di terze parti per Query Editor V2. Dopo che hai modificato l’impostazione per consentire i cookie, l’icona a forma di occhio sulla barra degli indirizzi potrebbe non essere visualizzata.
  + **Safari**: su un Mac, apri l’app Safari. Scegli **Impostazioni**, quindi scegli **Avanzate**. Attiva per disattivare: **Blocca tutti i cookie**.
  + **Edge**: scegli **Impostazioni** e **Privacy, ricerca e servizi**. Quindi seleziona **Cookie** e disattiva **Blocca cookie di terze parti**.

  Se provi a connetterti dopo aver modificato le impostazioni e continui a ricevere il messaggio di errore **Connection Issue: No Identity center session information available**, ti consigliamo di aggiornare la connessione con AWS IAM Identity Center. A tale scopo fai clic con il pulsante destro del mouse sull’istanza del database Redshift e scegli **Aggiorna**. Viene visualizzata una nuova finestra che puoi utilizzare per l’autenticazione.
+ Errore: **Connection issue: Identity center session expired or invalid.** — Dopo l'integrazione di un cluster o di un gruppo di lavoro Serverless con provisioning Redshift con AWS IAM Identity Center, un utente potrebbe ricevere questo errore quando tenta di connettersi a un database Redshift dall'editor di query v2. Ciò può seguire alcuni tentativi di connessione riusciti. In questo caso consigliamo di eseguire nuovamente l’autenticazione. A tale scopo fai clic con il pulsante destro del mouse sull’istanza del database Redshift e scegli **Aggiorna**. Viene visualizzata una nuova finestra che puoi utilizzare per l’autenticazione.
+ Errore: **Invalid scope. User credentials are not authorized to connect to Redshift.** — Dopo l'integrazione di un cluster o di un gruppo di lavoro Serverless con provisioning Redshift con AWS IAM Identity Center per la gestione delle identità, un utente potrebbe ricevere questo errore quando tenta di connettersi a un database Redshift dall'editor di query v2. In questo caso, affinché Query Editor v2 possa connettere e autenticare correttamente un utente tramite AWS IAM Identity Center per accedere alle risorse corrette, un amministratore deve assegnare l'utente all'applicazione Redshift AWS IAM Identity Center tramite la console Redshift. Questa operazione viene completata in **Connessioni del Centro identità IAM**. Successivamente, l'utente può stabilire una connessione corretta dopo un'ora, che è il limite della memorizzazione nella cache delle sessioni di AWS IAM Identity Center.
+ Errore: **Databases couldn’t be listed. FATAL: Failed query when cluster is auto paused.** — Quando un database Serverless Amazon Redshift è inattivo e non elabora alcun carico di lavoro, può rimanere in pausa quando ti connetti con un'identità IAM Identity Center. AWS Per ovviare a questo problema, accedi con un altro metodo di autenticazione per riprendere il gruppo di lavoro serverless. Quindi connettiti al database con la tua AWS identità IAM Identity Center.
+ Errore: **An error occurred during the attempt to federate with AWS IAM Identity Center. Un amministratore di Amazon Redshift deve eliminare e ricreare l' QEV2applicazione AWS IAM Identity Center utilizzando la console Redshift.** — Questo errore si verifica in genere quando l'istanza dell'applicazione AWS IAM Identity Center associata a Query Editor v2 viene eliminata. Per ovviare a questo problema, un amministratore di Amazon Redshift deve eliminare e ricreare le applicazioni Redshift e Query Editor v2 per IAM Identity Center. AWS Questa operazione può essere eseguita sulla console Redshift o utilizzando il comando CLI [https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-redshift-idc-application.html](https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-redshift-idc-application.html).