Integração - Amazon Redshift
Registro do cluster do RedshiftRegistro do namespace do Redshift sem servidorHabilitar a propagação de identidades do Centro de Identidade do AWS IAMALTER USER SET GLOBAL IDENTITY

O Amazon Redshift não permitirá mais a criação de UDFs do Python a partir do Patch 198. As UDFs do Python existentes continuarão a funcionar normalmente até 30 de junho de 2026. Para ter mais informações, consulte a publicação de blog .

Integração

Registro do cluster do Redshift

O Redshift comporta a criação de um cluster ou a restauração de um cluster por meio de um snapshot com registro do AWS Glue Data Catalog (GDC). É possível especificar a parte do nome do catálogo GDC desse registro. Para comportar a propagação da identidade do IdC, você pode especificar um arn da aplicação IdC do Redshift do tipo Lakehouse para permitir a propagação da identidade do IdC.

Criar um cluster com o registro do catálogo de dados Glue

CLI

Para registrar automaticamente o cluster recém-criado no Catálogo de Dados, forneça o nome do catálogo que será usado para criar e registrar o Catálogo de Dados. O parâmetro redshift-idc-application-arn é opcional: inclua-o se você quiser vincular o cluster à aplicação IdC do Redshift do tipo Lakehouse. Também é possível estabelecer essa associação da aplicação IdC mais tarde.

aws redshift create-cluster \
    --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em https://console.aws.amazon.com/redshiftv2/.

  2. Navegue até o painel de clusters provisionados e selecione Criar cluster.

  3. Configure as definições adicionais de cluster.

  4. Na seção Registrar no AWS Glue Data Catalog, selecione Registrar com permissões federadas do Amazon Redshift.

    • Insira um identificador de nome de catálogo.

    • (Recomendado) Selecione as permissões federadas do Amazon Redshift usando Centro de Identidade do AWS IAM para se associar à aplicação IDC do Redshift.

  5. Conclua as configurações restantes do cluster e escolha Criar cluster.

Restaurar um novo cluster com registro do AWS Glue Data Catalog

CLI

Para restaurar um snapshot em um novo cluster com registro doAWS Glue Data Catalog, forneça o nome do catálogo que será usado para criar e registrar seu catálogo do AWS Glue. O parâmetro redshift-idc-application-arn é opcional: inclua-o se você quiser vincular o cluster à aplicação IdC do Redshift do tipo Lakehouse. Também é possível estabelecer essa associação da aplicação IdC mais tarde.

aws redshift restore-from-cluster-snapshot \
   --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --snapshot-identifier 'redshift-cluster-snapshot' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em https://console.aws.amazon.com/redshiftv2/.

  2. Acesse a página de snapshots provisionados. Na tabela de snapshots, selecione Restaurar no cluster provisionado no menu suspenso Restaurar snapshot.

  3. Configurar definições adicionais de cluster.

  4. Na seção Registrar no AWS Glue Data Catalog, selecione Registrar com permissões federadas do Amazon Redshift.

    • Insira um identificador de nome de catálogo.

    • (Recomendado) Selecione as permissões federadas do Amazon Redshift usando Centro de Identidade do AWS IAM para se associar à aplicação IDC do Redshift.

  5. Conclua as configurações restantes do cluster e escolha Criar cluster.

Modificar um cluster existente com o registro do AWS Glue Data Catalog

Se seu cluster do Redshift já estiver associado a uma aplicação IdC do Redshift do tipo não lakehouse, o seguinte ocorre durante o registro do AWS Glue Data Catalog:

  • Quando nenhum ARN da aplicação IdC do Redshift for fornecido, a aplicação IdC do Redshift existente em seu catálogo será definido como desabilitado.

  • Quando uma aplicação IdC do Redshift do tipo Lakehouse de uma instância do Centro de Identidade do AWS IAM diferente é especificada, o provedor de IdC atual fica desabilitado.

  • Quando uma aplicação IdC do Redshift do tipo Lakehouse da mesma instância do Centro de Identidade do AWS IAM é fornecida.

    • O ARN da aplicação IdC do Redshift em seu catálogo será alterado para o ARN da aplicação IdC do Redshift do tipo Lakehouse. O catálogo atualizado pode ser conferido consultando svv_identity_providers. Para acessar mais informações sobre svv_identity_providers, consulte svv_identity_providers.

    • Usuários federados do Centro de Identidade do AWS IAM que já tinham acesso ao cluster do Redshift devem receber explicitamente os privilégios CONNECT dos administradores para acessar o cluster. Para acessar mais informações sobre como conceder privilégios CONNECT, consulte Privilégios Connect.

    • Depois de se registrar no AWS Glue Data Catalog, suas identidades federadas do Centro de Identidade do AWS IAM existentes e seus recursos próprios permanecem inalterados. As associações de namespace para essas identidades federadas também são preservadas.

CLI

Você pode usar o comando modify-lakehouse-configuration para registrar seu cluster no AWS Glue Data Catalog, então o catalog-name é usado para criar e registrar seu catálogo do AWS Glue. Para comportar a propagação da identidade do IdC, especifique o arn do seu tipo de lakehouse RedshiftIdcApplication. Isso requer uma aplicação IdC do Redshift do tipo Lakehouse. Consulte Criar uma aplicação IdC do Redshift do tipo Lakehouse: configuração da aplicação do Centro de Identidade para o warehouse do Redshift com permissões federadas.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em https://console.aws.amazon.com/redshiftv2/.

  2. Acesse o cluster provisionado que você deseja registrar e selecione-o.

  3. Na página de detalhes do cluster, selecione Registrar no AWS Glue Data Catalog no menu suspenso Ações.

  4. Selecione a opção Registrar com as permissões federadas do Amazon Redshift e

    • Insira um identificador de nome de catálogo.

    • (Recomendado) Selecione as permissões federadas do Amazon Redshift usando Centro de Identidade do AWS IAM para se associar à aplicação IDC do Redshift e escolha Registrar.

Registro do namespace do Redshift sem servidor

O Redshift sem servidor permite que namespaces sem servidor conectados ao grupo de trabalho sejam registrados no AWS Glue Data Catalog. Observe que seu banco de dados será reiniciado durante essa atualização.

Se seu namespace do Redshift sem servidor já estiver associado a uma aplicação IdC do Redshift do tipo não lakehouse, o seguinte ocorrerá durante o registro do Catálogo de Dados do Glue:

  • Quando nenhum ARN da aplicação IdC do Redshift for fornecido, a aplicação IdC do Redshift existente em seu catálogo será definido como desabilitado.

  • Quando uma aplicação IdC do Redshift do tipo Lakehouse de uma instância do Centro de Identidade do AWS IAM diferente é especificada, o provedor de IdC atual fica desabilitado.

  • Quando uma aplicação IdC do Redshift do tipo Lakehouse da mesma instância do Centro de Identidade do AWS IAM é fornecida.

    • O ARN da aplicação IdC do Redshift em seu catálogo será alterado para o ARN da aplicação IdC do Redshift do tipo Lakehouse. O catálogo atualizado pode ser conferido consultando svv_identity_providers. Para acessar mais informações sobre svv_identity_providers, consulte svv_identity_providers.

    • Usuários federados do Centro de Identidade do AWS IAM que já tinham acesso ao cluster do Redshift devem receber explicitamente os privilégios CONNECT dos administradores para acessar o cluster. Para acessar mais informações sobre como conceder privilégios CONNECT, consulte Privilégios Connect.

    • Depois de se registrar no AWS Glue Data Catalog, suas identidades federadas do Centro de Identidade do AWS IAM existentes e seus recursos próprios permanecem inalterados. As associações de namespace para essas identidades federadas também são preservadas.

CLI

É possível usar o comando update-lakehouse-configuration para registrar seu namespace do Redshift sem servidor no AWS Glue Data Catalog. O catalog-name é usado para criar e registrar seu catálogo do Glue. Para comportar a propagação da identidade do IDC, especifique o arn de uma aplicação Idc do Redshift do tipo Lakehouse.

aws redshift-serverless update-lakehouse-configuration \
    --namespace-name 'serverless-namespace-name' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17'
Console

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em https://console.aws.amazon.com/redshiftv2/.

  2. Acesse o cluster provisionado que você deseja registrar e selecione-o.

  3. Na página de detalhes do cluster, selecione Registrar no AWS Glue Data Catalog no menu suspenso Ações.

  4. Selecione a opção Registrar com as permissões federadas do Amazon Redshift e

    • Insira um identificador de nome de catálogo.

    • (Recomendado) Selecione as permissões federadas do Amazon Redshift usando Centro de Identidade do AWS IAM para se associar à aplicação IDC do Redshift e escolha Registrar.

Habilitar a propagação de identidades do Centro de Identidade do AWS IAM

O Amazon Redshift aceita a propagação de identidades do centro de identidade (IdC) para transmitir facilmente as identidades dos usuários do IdC entre instâncias do Redshift e os serviços AWS Lake Formation/AWS Glue.

Pré-requisitos

Se o cluster do Redshift ou o namespace do Redshift sem servidor já estiver associado a uma aplicação IdC do Redshift do tipo não lakehouse, o seguinte ocorrerá durante o registro do AWS Glue Data Catalog:

  • Quando nenhum ARN da aplicação IdC do Redshift for fornecido, a aplicação IdC do Redshift existente em seu catálogo será definido como desabilitado.

  • Quando uma aplicação IdC do Redshift do tipo Lakehouse de uma instância do Centro de Identidade do AWS IAM diferente é especificada, o provedor de IdC atual fica desabilitado.

  • Quando uma aplicação IdC do Redshift do tipo Lakehouse da mesma instância do Centro de Identidade do AWS IAM é fornecida.

    • O ARN da aplicação IdC do Redshift em seu catálogo será alterado para o ARN da aplicação IdC do Redshift do tipo Lakehouse. O catálogo atualizado pode ser conferido consultando svv_identity_providers. Para acessar mais informações sobre svv_identity_providers, consulte svv_identity_providers.

    • Usuários federados do Centro de Identidade do AWS IAM que já tinham acesso ao cluster do Redshift devem receber explicitamente os privilégios CONNECT dos administradores para acessar o cluster. Para acessar mais informações sobre como conceder privilégios CONNECT, consulte Privilégios Connect.

    • Depois de se registrar no AWS Glue Data Catalog, suas identidades federadas do Centro de Identidade do AWS IAM existentes e seus recursos próprios permanecem inalterados. As associações de namespace para essas identidades federadas também são preservadas.

Habilitar a propagação de identidade do Centro de Identidade do AWS IAM para clusters provisionados do Amazon Redshift

Para o cluster provisionado do Amazon Redshift que registrou seu namespace no AWS Glue Data Catalog, ele requer a aplicação IdC do Amazon Redshift do Lakehouse, que não exige a atribuição explícita do usuário de identidade do Centro de Identidade do AWS IAM à aplicação, o privilégio de login dos usuários do IdC é gerenciado pelo privilégio CONNECT no warehouse do Redshift.

CLI

É possível usar o comando modify-lakehouse-configuration para habilitar a propagação da identidade do IdC para seus clusters com permissões federadas do Redshift, especifique o arn do seu lakehouse tipo RedshiftIdcApplication. Isso requer uma aplicação IdC Lakehouse do Redshift. Consulte Criar uma aplicação IdC do Redshift do tipo Lakehouse: configuração da aplicação do Centro de Identidade para o warehouse do Redshift com permissões federadas.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em https://console.aws.amazon.com/redshiftv2/.

  2. Acesse o cluster provisionado que você deseja registrar e selecione-o.

  3. Na página de detalhes do cluster, selecione Registrar no AWS Glue Data Catalog no menu suspenso Ações.

  4. Selecione Habilitar nas permissões federadas do Amazon Redshift usando o menu suspenso do Centro de Identidade do AWS IAM para associar a aplicação IDC e escolha Salvar alterações.

Habilitar a propagação de identidade do Centro de Identidade do AWS IAM para namespaces do Amazon Redshift sem servidor

CLI

É possível usar o comando modify-lakehouse-configuration para habilitar a propagação da identidade do IdC para seu namespace com permissões federadas do Redshift, especifique o arn do seu lakehouse tipo RedshiftIdcApplication. Isso requer uma aplicação IdC Lakehouse do Redshift. Consulte Criar uma aplicação IdC do Redshift do tipo Lakehouse: configuração da aplicação do Centro de Identidade para o warehouse do Redshift com permissões federadas.

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em https://console.aws.amazon.com/redshiftv2/.

  2. Acesse o namespace sem servidor cujo registro você deseja editar e selecione-o.

  3. Na página de detalhes do cluster, selecione Registrar registro do AWS Glue Data Catalog no menu suspenso Ações.

  4. Selecione Habilitar nas permissões federadas do Amazon Redshift usando o menu suspenso do Centro de Identidade do AWS IAM para associar a aplicação IDC e escolha Salvar alterações.

ALTER USER SET GLOBAL IDENTITY

Além do IAM e das credenciais do Centro de Identidade do AWS IAM, o usuário que executa consultas nos warehouses do Redshift com permissões federadas pode se autenticar usando um perfil do IAM. Um superusuário pode definir um perfil do IAM para outro usuário não federado associar automaticamente no estabelecimento da sessão, e esse perfil do IAM será assumido ao fazer consultas nos warehouses do Redshift com permissões federadas. Essa funcionalidade é fornecida para permitir que os usuários do IdC da AWS se autentiquem de forma não interativa.

Esse recurso é útil para os seguintes casos de uso:

  • Clientes que têm configurações grandes e complexas com o usuário existente do warehouse local, além de usuários com identidade global.

  • Clientes que usam o IdC, mas que desejam poder fazer login automaticamente sem a ação interativa do navegador para fazer login.

Requisitos e limitações:

  • Somente o superusuário pode definir o perfil do IAM por ALTER USER.

  • É necessário anexar um perfil do IAM ao cluster.

  • O perfil do IAM deve ter permissões para acessar os recursos necessários para executar consultas nos warehouses do Redshift com permissões federadas. Recomendamos o uso de políticas AmazonRedshiftFederatedAuthorization gerenciadas pela AWS.

  • Os usuários que se autenticam por meio do perfil do IAM GLOBAL IDENTITY podem consultar visualizações nos warehouses do Redshift com permissões federadas, mas não podem CRIÁ-LAS, ALTERÁ-LAS, ATUALIZÁ-LAS ou REMOVÊ-LAS.

Sintaxe

A sintaxe a seguir descreve o comando ALTER USER SET GLOBAL IDENTITY usado para definir o perfil do IAM para um usuário de banco de dados não federado executar consultas nos warehouses do Redshift com permissões federadas.

ALTER USER username SET
GLOBAL IDENTITY IAM_ROLE 'arn:aws:iam::<AWS-account-id>:role/<role-name>'

Agora, quando autenticado como usuário de destino (conectando-se diretamente como nome de usuário ou usando SET SESSION AUTHORIZATION), você pode conferir o perfil de identidade global usando

SHOW GLOBAL IDENTITY

Observe que o perfil de identidade global está associado ao usuário no estabelecimento da sessão. Se você definir a identidade global para o usuário atualmente conectado, esse usuário precisará se reconectar para que a identidade global tenha efeito.

O comando a seguir pode ser usado para remover o perfil do IAM associado.

ALTER USER username RESET GLOBAL IDENTITY

Parâmetros

username

Nome do usuário. Não pode ser um usuário federado, como usuário do IAM ou usuário do IdC da AWS.

IAM_ROLE 'arn:aws:iam::<account-id>:role/<role-name>'

Use o nome do recurso da Amazon (ARN) de um perfil do IAM que seu cluster usa para autenticação e autorização quando o usuário nome do usuário executa consultas em warehouses do Redshift com permissões federadas. Esse perfil deve ter as permissões necessárias para executar a consulta. Recomendamos o uso da política gerenciadas pela AWS AmazonRedshiftFederatedAuthorization.