Amazon Redshift は、2025 年 11 月 1 日以降、新しい Python UDF の作成をサポートしなくなります。Python UDF を使用する場合は、その日付より前に UDF を作成してください。既存の Python UDF は引き続き通常どおり機能します。詳細については、ブログ記事を参照してください。

AWS IAM Identity Center の Amazon Redshift ロールの自動作成

この機能は AWS IAM Identity Center との統合であり、グループメンバーシップに基づいて Redshift でロールを自動作成できます。

ロールの自動作成には、いくつかの利点があります。ロールを自動作成すると、Redshift は IdP にグループメンバーシップを持つロールを作成します。これにより、面倒な手動によるロールの作成とメンテナンスを行う必要がなくなります。また、Redshift ロールにマッピングされるグループを、包含パターンと除外パターンでフィルタリングすることもできます。

仕組み

IdP ユーザーとして Redshift にログインすると、次の一連のイベントが発生します。

各ユーザーがログインするたびに、カタログには存在しないが、そのユーザーが所属するグループは自動作成されます。オプションで、Redshift ロールが作成された IdP グループを制御するため、含有フィルターと除外フィルターを設定できます。

自動作成ロールの設定

CREATE IDENTITY PROVIDER および ALTER IDENTITY PROVIDER コマンドを使用して、ロールの自動作成を有効にして設定します。

-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER <idp_name> TYPE AWSIDC
  NAMESPACE '<namespace>' 
  APPLICATION_ARN 'app_arn'
  IAM_ROLE 'role_arn'
  AUTO_CREATE_ROLES TRUE; 

-- Enable on existing IdP 
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES TRUE;

-- Disable  
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES FALSE;

グループのフィルタリング

必要に応じて、INCLUDE パターンおよび EXCLUDE パターンを使用して、Redshift ロールにマッピングされる IdP グループをフィルタリングできます。パターンが競合した場合、EXCLUDE は INCLUDE よりも優先されます。

-- Only create roles for groups with 'dev' 
CREATE IDENTITY PROVIDER <idp_name> TYPE AWSIDC
  ...
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%';
    
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER <idp_name>  
  AUTO_CREATE_ROLES TRUE
  EXCLUDE GROUPS LIKE '%test%';

例

次の例は、フィルタリングなしでロールの自動作成を有効にする方法を示しています。

CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC  ...
  AUTO_CREATE_ROLES TRUE;

次の例では、開発グループは含まれ、テストグループは除外されます。

ALTER IDENTITY PROVIDER prod_idc
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%'
  EXCLUDE GROUPS LIKE '%test%';

ベストプラクティス

ロールの自動作成を有効にする場合は、次のベストプラクティスを考慮してください。