他の ID プロバイダー - Amazon Redshift
構文パラメータ

他の ID プロバイダー

ID プロバイダーを変更して、新しいパラメータと値を割り当てます。このコマンドを実行すると、新しい値が割り当てられる前に、以前に設定したパラメータ値がすべて削除されます。スーパーユーザーのみが ID プロバイダーを変更できます。

構文

ALTER IDENTITY PROVIDER identity_provider_name
[PARAMETERS parameter_string]
[NAMESPACE namespace]
[IAM_ROLE iam_role]
[AUTO_CREATE_ROLES
    [ TRUE [ { INCLUDE | EXCLUDE } GROUPS LIKE filter_pattern] |
      FALSE
    ]
[DISABLE | ENABLE]

パラメータ

identity_provider_name

ID プロバイダーの名前。有効な名前の詳細については、「名前と識別子」を参照してください。

parameter_string

特定の ID プロバイダーに必要なパラメータと値を含む、適切にフォーマットされた JSON オブジェクトを含む文字列。

名前空間

組織の名前空間。

iam_role

IAM アイデンティティセンターへの接続に対するアクセス許可を提供する IAM ロール。このパラメータは、ID プロバイダーのタイプが AWSIDC である場合にのみ適用されます。

auto_create_roles

ロールの自動作成機能を有効または無効にします。値が TRUE の場合、Amazon Redshift はロールの自動作成機能を有効にします。値が FALSE の場合、Amazon Redshift はロールの自動作成機能を無効にします。このパラメータの値が指定されていない場合、Amazon Redshift は次のロジックを使用して値を決定します。

  • AUTO_CREATE_ROLES が指定されていても値が指定されていない場合、値は TRUE に設定されます。

  • AUTO_CREATE_ROLES が指定されておらず、ID プロバイダーが AWSIDC の場合、値は FALSE に設定されます。

  • AUTO_CREATE_ROLES が指定されておらず、ID プロバイダーが Azure の場合、値は TRUE に設定されます。

グループを含めるには、INCLUDE を指定します。デフォルトは空です。つまり、AUTO_CREATE_ROLES がオンの場合、すべてのグループが含まれます。

グループを除外するには、EXCLUDE を指定します。デフォルトは空です。つまり、AUTO_CREATE_ROLES がオンの場合、グループは除外されません。

filter_pattern

グループ名とマッチングするパターンが含まれる有効な UTF-8 文字式。LIKE オプションでは、以下のパターンマッチングメタ文字をサポートする、大文字と小文字を区別したマッチングを行います。

メタ文字 説明
% ゼロ個以上の任意の文字シーケンスをマッチングします。
_ 任意の 1 文字をマッチングします。

filter_pattern にメタ文字が含まれていない場合、パターンは文字列そのものを表すだけです。この場合、LIKE は等号演算子と同じ働きをします。

filter_pattern は、次の文字をサポートしています。

  • 大文字と小文字のアルファベット文字 (A-Z および a-z)

  • 数値 (0-9)

  • 以下の特殊文字。

    _ % ^ * + ? { } , $
DISABLE または ENABLE

ID プロバイダーをオンまたはオフにします。デフォルトは ENABLE です。

次の例では、oauth_standard という名前の ID プロバイダーを変更します。Microsoft Azure AD が ID プロバイダーである場合に特に適用されます。

ALTER IDENTITY PROVIDER oauth_standard
PARAMETERS '{"issuer":"https://sts.windows.net/2sdfdsf-d475-420d-b5ac-667adad7c702/",
"client_id":"87f4aa26-78b7-410e-bf29-57b39929ef9a",
"client_secret":"BUAH~ewrqewrqwerUUY^%tHe1oNZShoiU7",
"audience":["https://analysis.windows.net/powerbi/connector/AmazonRedshift"]
}'

次のサンプルは、ID プロバイダー名前空間を設定する方法を示しています。これは、Microsoft Azure AD (前のサンプルのようなステートメントに従う場合)、または別の ID プロバイダーに適用できます。マネージドアプリケーションを介して接続を設定している場合、既存の Amazon Redshift でプロビジョニングされたクラスターまたは Amazon Redshift Serverless ワークグループを IAM アイデンティティセンターに接続する場合にも適用できます。

ALTER IDENTITY PROVIDER "my-redshift-idc-application"
NAMESPACE 'MYCO';

次の IAM ロールを設定する例は、Redshift と IAM アイデンティティセンターの統合を設定するユースケースで使用できます。

ALTER IDENTITY PROVIDER "my-redshift-idc-application"
IAM_ROLE 'arn:aws:iam::123456789012:role/myadministratorrole';

Redshift から IAM アイデンティティセンターへの接続の設定の詳細については、「Redshift を IAM アイデンティティセンターに接続してユーザーにシングルサインオンエクスペリエンスを提供する」を参照してください。

ID プロバイダーの無効化

次のサンプルステートメントは、ID プロバイダーを無効にする方法を示しています。無効にした場合、再度有効にするまで、ID プロバイダーのフェデレーションユーザーはクラスターにログインできません。

ALTER IDENTITY PROVIDER "redshift-idc-app" DISABLE;