Creazione automatica dei ruoli Amazon Redshift per AWS IAM Identity Center - Amazon Redshift
Come funzionaConfigurazione dei ruoli di creazione automaticaFiltraggio dei gruppiEsempiBest practice

Amazon Redshift non supporterà più la creazione di nuove UDF Python a partire dal 1º novembre 2025. Se desideri utilizzare le UDF Python, creale prima di tale data. Le UDF Python esistenti continueranno a funzionare normalmente. Per ulteriori informazioni, consulta il post del blog.

Creazione automatica dei ruoli Amazon Redshift per AWS IAM Identity Center

Questa funzionalità è un’integrazione con AWS IAM Identity Center che consente di creare automaticamente ruoli in Redshift in base all’appartenenza al gruppo.

La creazione automatica dei ruoli offre diversi vantaggi. Quando crei automaticamente un ruolo, Redshift crea il ruolo con l’appartenenza al gruppo nel gestore dell’identità digitale in modo che tu possa evitare noiose operazioni manuali di creazione e manutenzione dei ruoli. Hai anche la possibilità di filtrare quali gruppi sono mappati ai ruoli di Redshift con modelli di inclusione ed esclusione.

Come funziona

Quando, come utente gestore dell’identità digitale, accedi a Redshift, si verifica la seguente sequenza di eventi:

  1. Redshift recupera le appartenenze ai gruppi dal gestore dell’identità digitale.

  2. Redshift crea automaticamente la mappatura dei ruoli a tali gruppi, con il formato del ruolo idp_namespace:rolename.

  3. Redshift concede le autorizzazioni con i ruoli mappati.

Dopo ciascun accesso utente, ogni gruppo che non è presente nel catalogo ma di cui l’utente fa parte viene creato automaticamente. Facoltativamente puoi impostare i filtri di inclusione ed esclusione per controllare quali gruppi di gestori dell’identità digitale hanno creato i ruoli Redshift.

Configurazione dei ruoli di creazione automatica

Utilizza i comandi CREATE IDENTITY PROVIDER e ALTER IDENTITY PROVIDER per abilitare e configurare la creazione automatica dei ruoli.

-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER <idp_name> TYPE AWSIDC
  NAMESPACE '<namespace>' 
  APPLICATION_ARN 'app_arn'
  IAM_ROLE 'role_arn'
  AUTO_CREATE_ROLES TRUE; 

-- Enable on existing IdP 
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES TRUE;

-- Disable  
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES FALSE;

Filtraggio dei gruppi

Facoltativamente puoi filtrare quali gruppi di gestori dell’identità digitale sono mappati ai ruoli Redshift utilizzando i modelli INCLUDE e EXCLUDE. Quando i modelli sono in conflitto, EXCLUDE ha la precedenza su INCLUDE.

-- Only create roles for groups with 'dev' 
CREATE IDENTITY PROVIDER <idp_name> TYPE AWSIDC
  ...
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%';
    
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER <idp_name>  
  AUTO_CREATE_ROLES TRUE
  EXCLUDE GROUPS LIKE '%test%';

Esempi

L’esempio seguente mostra come attivare la creazione automatica dei ruoli senza filtri.

CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC  ...
  AUTO_CREATE_ROLES TRUE;

L’esempio seguente include i gruppi di sviluppo ed esclude i gruppi di test.

ALTER IDENTITY PROVIDER prod_idc
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%'
  EXCLUDE GROUPS LIKE '%test%';

Best practice

Prendi in considerazione le seguenti best practice quando abiliti la creazione automatica per i ruoli:

  • Utilizza i filtri INCLUDE e EXCLUDE per controllare a quali gruppi vengono assegnati i ruoli.

  • Controlla periodicamente i ruoli ed elimina quelli inutilizzati.

  • Sfrutta le gerarchie di ruoli di Redshift per semplificare la gestione delle autorizzazioni.