Permissões federadas do Amazon Redshift - Amazon Redshift
Principais conceitosBenefíciosCasos de uso

O Amazon Redshift não permitirá mais a criação de UDFs do Python a partir do Patch 198. As UDFs do Python existentes continuarão a funcionar normalmente até 30 de junho de 2026. Para ter mais informações, consulte a publicação de blog .

Permissões federadas do Amazon Redshift

As permissões federadas do Amazon Redshift simplificam o gerenciamento de permissões em vários data warehouses do Redshift, permitindo que você defina permissões de dados uma vez e as aplique automaticamente em todos os warehouses da sua Conta da AWS. Isso elimina a necessidade de redefinir, gerenciar permissões e políticas de controle de acesso refinadas em vários warehouses.

Quando você registra o namespace/cluster do warehouse do Redshift no AWS Glue Data Catalog, todos os bancos de dados dos namespaces/clusters registrados do warehouse são montados automaticamente em cada warehouse, fornecendo descoberta de dados perfeita sem configuração manual.

Você define permissões em objetos de banco de dados usando comandos SQL conhecidos do Redshift, especificando identidades globais por meio do AWS Identity and Access Management (IAM) ou do Centro de Identidade do AWS IAM. Essas permissões são armazenadas junto com os dados do warehouse e aplicadas de forma consistente, independentemente de qual warehouse executa a consulta.

Principais conceitos

  • Warehouse do Redshift com permissões federadas: o warehouse do produtor registrado no Catálogo de Dados e onde os dados e as permissões do Redshift são armazenados.

  • Warehouse de consumo do Redshift: qualquer warehouse que consulte dados do warehouse remoto. O warehouse de consumo pode ser habilitado para permissões federadas do Redshift.

  • Identidade global: o IAM e o Centro de Identidade do IAM fornecem identidade global em todos os warehouses habilitados para permissões federadas do Redshift. Os usuários se autenticam uma vez por meio de seu provedor de identidade existente e recebem acesso consistente com base em sua identidade global, independentemente do warehouse ao qual se conectam.

  • Montagem automática: todos os warehouses habilitados para permissões federadas do Redshift são automaticamente visíveis em todos os warehouses da sua conta. Esse recurso de montagem automática permite a descoberta de catálogos e bancos de dados para analytics entre warehouses.

  • Propagação de identidade: quando você executa uma consulta entre warehouses, o Redshift propaga sua identidade global (perfil do IAM ou usuário do Centro de Identidade do IAM) para o warehouse remoto.

  • Autorização entre warehouses: as permissões federadas do Redshift habilitadas para warehouse remoto validam suas permissões para consultas entre warehouses e são aplicadas nos warehouses de consumidor.

  • Controle de acesso refinado: políticas para segurança por linha (RLS), políticas em nível de coluna (CLP) e mascaramento dinâmico de dados (DDM) que podem ser aplicadas em todos os warehouses.

Benefícios

Administração simplificada

  • Defina as permissões uma vez no warehouse.

  • Aplique automaticamente as mesmas permissões em todos os warehouses de consumo.

  • Elimine a necessidade de redefinir, gerenciar permissões e políticas de controle de acesso refinadas em vários warehouses.

  • Reduza a sobrecarga administrativa e o potencial de erros de configuração.

Aumente a segurança e a conformidade

  • Garanta a aplicação consistente da política de segurança em todos os warehouses.

  • Implemente controles de acesso refinados em nível de tabela e coluna.

  • Faça auditoria de permissões de qualquer warehouse.

  • Ferramentas de conformidade aprimoradas com comandos SHOW adicionais.

Experiência do usuário aprimorada

  • Registre-se uma vez e não precise criar compartilhamentos de dados manualmente.

  • SSO em todos os warehouses e acesso consistente com base na identidade global.

  • Descoberta perfeita de namespaces sem configuração manual do catálogo.

  • Não há necessidade de gerenciar contas de usuário locais separadas em cada warehouse.

Escalabilidade horizontal

  • Adicione novos warehouses sem aumentar a complexidade da governança.

  • Novos warehouses de consumo aplicam automaticamente as políticas de permissão.

  • Os analistas veem imediatamente todos os bancos de dados dos warehouses registrados.

Casos de uso

Isolamento da workload com governança unificada

Separe os recursos de computação para diferentes workloads (ETL, analytics, relatórios), mantendo políticas de segurança consistentes em todos os warehouses.

Acesso a dados de várias equipes

Permita que várias equipes acessem dados compartilhados de seus próprios warehouses com controles de acesso apropriados aplicados automaticamente.

Arquitetura de data mesh

Implemente uma abordagem de data mesh em que vários recursos computacionais independentes operem em dados compartilhados com governança unificada.

Otimização de custos

Escale os recursos de computação de forma independente para diferentes casos de uso, mantendo o gerenciamento centralizado de permissões.