O Amazon Redshift não permitirá mais a criação de UDFs do Python a partir do Patch 198. As UDFs do Python existentes continuarão a funcionar normalmente até 30 de junho de 2026. Para ter mais informações, consulte a [publicação de blog ](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). # Federação de um provedor de identidades (IdP) nativo para o Amazon Redshift O gerenciamento de identidades e permissões para o Amazon Redshift é facilitado com a federação do provedor de identidades nativo porque ela utiliza o provedor de identidades existente para simplificar a autenticação e o gerenciamento de permissões. Para isso, ela possibilita o compartilhamento de metadados de identidade de seu provedor de identidades com o Redshift. Para a primeira iteração desse recurso, o provedor de identidades compatível é o [Microsoft Azure Active Directory (Azure AD)](https://azure.microsoft.com/en-us/services/active-directory/). Para configurar o Amazon Redshift para que ele possa autenticar identidades do provedor de identidades de terceiro, inscreva o provedor de identidades no Amazon Redshift. Isso permite que o Redshift autentique usuários e funções definidos pelo provedor de identidades. Assim, você pode evitar a necessidade de executar o gerenciamento granular de identidades tanto no provedor de identidades de terceiro quanto no Amazon Redshift, porque as informações de identidade são compartilhadas. Para obter informações sobre o uso de perfis de sessão que são transferidos de grupos de provedores de identidades (IdP), consulte [PG\$1GET\$1SESSION\$1ROLES](https://docs.aws.amazon.com/redshift/latest/dg/PG_GET_SESSION_ROLES.html) no *Guia do desenvolvedor de banco de dados do Amazon Redshift*. ## Federação de um provedor de identidades (IdP) nativo Para concluir a configuração preliminar entre o provedor de identidades e o Amazon Redshift, execute algumas etapas: primeiro, inscreva o Amazon Redshift como uma aplicação de terceiro em seu provedor de identidades, solicitando as permissões de API necessárias. Em seguida, crie usuários e grupos no provedor de identidades. Por último, inscreva o provedor de identidades no Amazon Redshift usando instruções SQL, as quais definem parâmetros de autenticação exclusivos do provedor de identidades. Como parte da inscrição do provedor de identidades no Redshift, atribua um namespace para garantir que os usuários e as funções sejam agrupados corretamente. Quando o provedor de identidades é inscrito no Amazon Redshift, a comunicação entre o Redshift e o provedor de identidades é estabelecida. Um cliente pode então passar tokens e realizar a autenticação no Redshift como uma entidade de provedor de identidades. O Amazon Redshift usa as informações de associação de grupo de IdP a fim de fazer o mapeamento para funções do Redshift. Se o usuário ainda não existir no Redshift, ele será criado. Serão criadas funções mapeadas para grupos de provedores de identidade se elas não existirem. O administrador do Amazon Redshift concede permissão nas funções, e os usuários podem executar consultas e outras tarefas de banco de dados. As seguintes etapas descrevem como funciona a federação do provedor de identidades nativo quando um usuário faz login: 1. Quando um usuário faz login usando a opção de IdP nativo, por meio do cliente, o token do provedor de identidades é enviado do cliente ao driver. 1. O usuário é autenticado. Se o usuário ainda não existir no Amazon Redshift, será criado um novo usuário. O Redshift mapeia os grupos de provedores de identidade do usuário para funções do Redshift. 1. As permissões são atribuídas com base nas funções do Redshift do usuário. Elas são concedidas a usuários e funções por um administrador. 1. O usuário pode consultar o Redshift. ## Ferramentas de cliente de desktop Para obter instruções sobre como usar a federação do provedor de identidades nativo para se conectar ao Amazon Redshift com o Power BI, consulte a publicação de blog [Integrate Amazon Redshift native IdP federation with Microsoft Azure Active Directory (AD) and Power BI](https://aws.amazon.com/blogs/big-data/integrate-amazon-redshift-native-idp-federation-with-microsoft-azure-ad-and-power-bi/) (Integração da federação do IdP nativo do Amazon Redshift com o Microsoft Azure Active Directory (AD) e Power BI). Ela descreve uma implementação detalhada da configuração de IdP nativo do Amazon Redshift com o Azure AD. Além disso, detalha as etapas para configurar a conexão do cliente para o Power BI Desktop ou o serviço Power BI. As etapas incluem registro de aplicações, configuração de permissões e configuração de credenciais. Para saber como integrar a federação de IdP nativa do Amazon Redshift com o Azure AD, usando o Power BI Desktop e o JDBC Client-SQL Workbench/J, assista ao seguinte vídeo: [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/S3MQLvZ-NiI/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/S3MQLvZ-NiI) Para obter instruções sobre como usar a federação do provedor de identidades nativo para se conectar ao Amazon Redshift com um cliente SQL, especificamente DBeaver ou SQL Workbench/J, consulte a publicação de blog [Integrate Amazon Redshift native IdP federation with Microsoft Azure AD using a SQL client](https://aws.amazon.com/blogs/big-data/integrate-amazon-redshift-native-idp-federation-with-microsoft-azure-ad-using-a-sql-client/) (Integração da federação do IdP nativo do Amazon Redshift com o Microsoft Azure AD usando um cliente SQL). ## Limitações Estas limitações são aplicáveis: + Os drivers do Amazon Redshift são compatíveis com `BrowserIdcAuthPlugin` a partir das seguintes versões: + Driver JDBC do Amazon Redshift v2.1.0.30 + Driver ODBC do Amazon Redshift v2.1.3 + Driver Python do Amazon Redshift v2.1.3 + Os drivers do Amazon Redshift são compatíveis com `IdpTokenAuthPlugin` a partir das seguintes versões: + Driver JDBC do Amazon Redshift v2.1.0.19 + Driver ODBC do Amazon Redshift v2.0.0.9 + Driver Python do Amazon Redshift v2.0.914 + **Não há suporte para a VPC aprimorada**: a VPC aprimorada não é compatível quando você configura a propagação de identidade confiável do Redshift com o Centro de Identidade do AWS IAM. Para ter mais informações sobre a VPC aprimorada, consulte [Roteamento aprimorado da VPC no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html). + **Cache do Centro de Identidade do AWS IAM**: o Centro de Identidade do AWS IAM armazena em cache as informações da sessão. Isso pode causar problemas de acesso imprevisíveis quando você tenta se conectar ao banco de dados do Redshift por meio do Editor de Consultas do Redshift v2. Isso ocorre porque a sessão associada do Centro de Identidade do AWS IAM no Editor de Consultas v2 permanece válida, mesmo em um caso em que o usuário do banco de dados está desconectado do Console da AWS. O cache expira após uma hora, o que normalmente soluciona qualquer problema. # Configurar o provedor de identidades no Amazon Redshift Esta seção mostra as etapas de configuração do provedor de identidades e do Amazon Redshift para estabelecer comunicação para federação do provedor de identidades nativo. Você precisa ter uma conta ativa junto ao seu provedor de identidades. Antes de configurar o Amazon Redshift, você inscreve o Redshift como aplicação em seu provedor de identidades, concedendo consentimento ao administrador. Conclua as seguintes etapas no Amazon Redshift: 1. Você executa uma instrução SQL para inscrever o provedor de identidades, incluindo descrições dos metadados da aplicação do Azure. Para criar o provedor de identidades no Amazon Redshift, execute o comando a seguir depois de substituir os valores dos parâmetros *issuer*, *client\$1id*, *client\$1secret* e *audience*. Esses parâmetros são específicos do Microsoft Azure AD. Substitua o nome do provedor de identidades por um nome de sua escolha e o namespace por um nome exclusivo para conter usuários e funções do diretório do provedor de identidades. ``` CREATE IDENTITY PROVIDER oauth_standard TYPE azure NAMESPACE 'aad' PARAMETERS '{ "issuer":"https://sts.windows.net/2sdfdsf-d475-420d-b5ac-667adad7c702/", "client_id":"", "client_secret":"BUAH~ewrqewrqwerUUY^%tHe1oNZShoiU7", "audience":["https://analysis.windows.net/powerbi/connector/AmazonRedshift"] }' ``` O tipo `azure` indica que o provedor facilita especificamente a comunicação com o Microsoft Azure AD. Atualmente, esse é o único provedor de identidades de terceiro compatível. + *issuer*: o ID do emissor para confiar no token que é recebido. O identificador exclusivo para *tenant\$1id* é anexado ao emissor. + *client\$1id*: o identificador público exclusivo da aplicação inscrito no provedor de identidades. Ele pode ser chamado de ID da aplicação. + *client\$1secret*: um identificador secreto, ou senha, conhecido apenas pelo provedor de identidades e pela aplicação inscrita. + *audience*: o ID da aplicação atribuído à aplicação no Azure. Em vez de usar um segredo de cliente compartilhado, você pode definir parâmetros para especificar um certificado, uma chave privada e uma senha da chave privada ao criar o provedor de identidades. ``` CREATE IDENTITY PROVIDER example_idp TYPE azure NAMESPACE 'example_aad' PARAMETERS '{"issuer":"https://sts.windows.net/2sdfdsf-d475-420d-b5ac-667adad7c702/", "client_id":"", "audience":["https://analysis.windows.net/powerbi/connector/AmazonRedshift"], "client_x5t":"", "client_pk_base64":"", "client_pk_password":"test_password"}'; ``` A senha da chave privada, *client\$1pk\$1password*, é opcional. 1. Opcional: execute comandos SQL no Amazon Redshift para criar previamente usuários e funções. Isso facilita a concessão de permissões com antecedência. O nome da função no Amazon Redshift é semelhante ao seguinte: *:*. Por exemplo, quando você cria um grupo no Microsoft Azure AD chamado `rsgroup` e um namespace chamado `aad`, o nome da função é `aad:rsgroup`. Os nomes de usuário e função no Amazon Redshift são definidos a partir desses nomes de usuário e associações de grupo no namespace do provedor de identidades. O mapeamento de funções e usuários inclui a verificação do valor `external_id` para garantir que esteja atualizado. A ID externa mapeia para o identificador do grupo ou usuário no provedor de identidades. Por exemplo, a ID externa de uma função mapeia para a ID de grupo do Azure AD correspondente. Da mesma forma, a ID externa de cada usuário é mapeada para sua ID no provedor de identidades. ``` create role "aad:rsgroup"; ``` 1. Conceda permissões relevantes às funções de acordo com seus requisitos. Por exemplo: ``` GRANT SELECT on all tables in schema public to role "aad:rsgroup"; ``` 1. Você também pode conceder permissões a usuários específicos. ``` GRANT SELECT on table foo to aad:alice@example.com ``` Observe que a associação do perfil de um usuário externo federado está disponível somente na sessão desse usuário. Isso tem implicações na criação de objetos de banco de dados. Quando um usuário externo federado cria um visualização ou procedimento armazenado, por exemplo, o mesmo usuário não pode delegar permissão desses objetos a outros usuários e perfis. **Uma explicação sobre os namespaces** Um namespace mapeia um usuário ou uma função para um provedor de identidades específico. Por exemplo, o prefixo para usuários criados no AWS IAM é `iam:`. Esse prefixo evita colisões de nomes de usuário e possibilita o suporte a vários armazenamentos de identidades. Se o usuário alice@example.com da origem de identidade inscrita com o namespace *aad* fizer login, o usuário `aad:alice@example.com` será criado no Redshift se ele ainda não existir. Observe que um namespace de usuário e função tem uma função diferente de um namespace de cluster no Amazon Redshift, que é um identificador exclusivo associado a um cluster. # Criação automática de perfis do Amazon Redshift para provedores de identidade Esse recurso permite que você crie perfis automaticamente no Redshift com base na associação em grupo do seu provedor de identidades (IdP). A criação automática de perfis oferece suporte ao Azure Active Directory com a integração nativa do IdP. Há vários benefícios na criação automática de perfis. Quando você cria automaticamente um perfil, o Redshift cria o perfil com associação em grupo no seu IdP, para que você possa evitar o trabalho de criar e manter perfis manualmente. Também há a opção de filtrar quais grupos são mapeados para perfis do Redshift. ## Como funciona Quando você, como usuário do IdP, faz login no Redshift, ocorre a seguinte sequência de eventos: 1. O Redshift recupera suas associações em grupo do IdP. 1. O Redshift cria automaticamente o mapeamento de perfis para esses grupos, com o formato de perfil `idp_namespace:rolename`. 1. O Redshift concede a você permissões com os perfis mapeados. Após cada login de usuário, cada grupo que não está presente no catálogo, mas do qual o usuário faz parte, é criado automaticamente. Opcionalmente, você pode definir filtros de inclusão e exclusão para controlar quais grupos de IdP têm perfis do Redshift criados. ## Configurar perfis de criação automática Use os comandos `CREATE IDENTITY PROVIDER` e `ALTER IDENTITY PROVIDER` para habilitar e configurar a criação automática de perfis. ``` -- Create a new IdP with auto role creation enabled CREATE IDENTITY PROVIDER TYPE azure NAMESPACE '' APPLICATION_ARN 'app_arn' IAM_ROLE 'role_arn' AUTO_CREATE_ROLES TRUE; -- Enable on existing IdP ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES TRUE; -- Disable ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES FALSE; ``` ## Filtrar grupos Opcionalmente, você pode filtrar quais grupos de IdP são mapeados para os perfis do Redshift usando os padrões `INCLUDE` e `EXCLUDE`. Quando os padrões entram em conflito, `EXCLUDE` precede a `INCLUDE`. ``` -- Only create roles for groups with 'dev' CREATE IDENTITY PROVIDER TYPE azure ... AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%'; -- Exclude 'test' groups ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES TRUE EXCLUDE GROUPS LIKE '%test%'; ``` ## Exemplos O exemplo a seguir mostra como ativar a criação automática de perfis sem filtragem. ``` CREATE IDENTITY PROVIDER prod_idc TYPE azure ... AUTO_CREATE_ROLES TRUE; ``` O exemplo a seguir inclui grupos de desenvolvimento e exclui grupos de teste. ``` ALTER IDENTITY PROVIDER prod_idc AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%' EXCLUDE GROUPS LIKE '%test%'; ``` ## Práticas recomendadas Considere as seguintes práticas recomendadas ao habilitar a criação automática de perfis: + Use os filtros `INCLUDE` e `EXCLUDE` para controlar quais grupos recebem perfis. + Audite periodicamente os perfis e limpe os não utilizados. + Aproveite as hierarquias de perfis do Redshift para simplificar o gerenciamento de permissões. # Conectar o Redshift ao Centro de Identidade do AWS IAM para oferecer uma experiência de autenticação única É possível gerenciar o acesso de usuário e grupo aos data warehouses do Amazon Redshift por meio da propagação de identidade confiável. A [propagação de identidade confiável](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html) é um recurso do Centro de Identidade do AWS IAM que os administradores de Serviços da AWS conectados podem usar para conceder e auditar o acesso aos dados do serviço. O acesso a esses dados é baseado em atributos do usuário, como associações de grupo. A configuração da propagação de identidade confiável requer a colaboração entre os administradores de Serviços da AWS conectados e os administradores do Centro de Identidade do IAM. Para ter mais informações, consulte [Prerequisites and considerations](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html). Para ilustrar um caso de ponta a ponta, é possível usar um painel do Amazon Quick ou o editor de consultas do Amazon Redshift v2 para acessar o Redshift. Nesse caso, o acesso se baseia em grupos do Centro de Identidade do AWS IAM. O Redshift pode determinar quem é um usuário e as associações do grupo. AWS O IAM Identity Center também possibilita a você conectar e gerenciar identidades por meio de um provedor de identidades (IdP) de terceiros, como Okta ou PingOne. Depois de configurar a conexão entre o Redshift e o Centro de Identidade do AWS IAM, o administrador poderá configurar um acesso refinado com base em grupos de provedores de identidade para autorizar o acesso do usuário aos dados. **Importante** Quando você exclui um usuário de um Centro de Identidade do AWS IAM ou de um diretório de provedor de identidades (IdP) conectado, ele não é excluído automaticamente do catálogo do Amazon Redshift. Para excluí-lo manualmente do catálogo do Amazon Redshift, execute o comando `DROP USER`. Ao executá-lo o usuário que foi removido de um Centro de Identidade do AWS IAM ou IdP será excluído totalmente. Para ter mais informações sobre como remover usuário, consulte [DROP USER](https://docs.aws.amazon.com/redshift/latest/dg/r_DROP_USER.html) no *Guia do desenvolvedor de banco de dados do Amazon Redshift*. ## Benefícios da integração do Redshift com o Centro de Identidade do AWS O uso do Centro de Identidade do AWS IAM com o Redshift pode beneficiar a organização das seguintes maneiras: + Os autores do painel no Amazon Quick podem se conectar a fontes de dados do Redshift sem precisar inserir senhas novamente ou exigir que um administrador configure perfis do IAM com permissões complexas. + O Centro de Identidade do AWS IAM oferece um local central para os usuários do quadro de funcionários na AWS. É possível criar diretamente usuários e grupos no Centro de Identidade do AWS IAM ou conectar usuários e grupos existentes gerenciados por você em um provedor de identidade baseado em padrões, como Okta, PingOne ou Microsoft Entra ID (Azure AD). AWS O IAM Identity Center direciona a autenticação para a fonte confiável escolhida para usuários e grupos e mantém um diretório de usuários e grupos para acesso pelo Redshift. Para obter mais informações, consulte [Manage your identity source](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) e [Supported identity providers](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) no *Guia de usuário do AWS IAM Identity Center*. + É possível compartilhar uma instância do Centro de Identidade do AWS IAM com vários clusters e grupos de trabalho do Redshift usando um recurso simples de descoberta automática e conexão. Isso agiliza a adição de clusters sem o esforço extra de configurar a conexão do Centro de Identidade do AWS IAM para cada um, além de garantir que todos os clusters e grupos de trabalho tenham uma visão consistente de usuários, atributos e grupos. A instância do Centro de Identidade do AWS IAM da organização deve estar na mesma região de qualquer unidade de compartilhamento de dados do Redshift a que você esteja se conectando. + Como as identidades de usuário são conhecidas e registradas com acesso a dados, é mais fácil para você atender aos regulamentos de conformidade por meio da auditoria do acesso do usuário no AWS CloudTrail. ## Personas de administrador para conectar aplicações Estas são as personas-chave para conectar aplicações de analytics à aplicação gerenciada pelo Centro de Identidade do AWS IAM para Redshift: + **Administrador da aplicação**: cria uma aplicação e configura com quais serviços ela permitirá trocas de tokens de identidade. Esse administrador também especifica quais usuários ou grupos têm acesso à aplicação. + **Administrador de dados**: configura acesso refinado aos dados. Usuários e grupos no Centro de Identidade do AWS IAM podem ser mapeados para permissões específicas. ## Conexão com o Amazon Redshift usando o Centro de Identidade do AWS IAM por meio do Amazon Quick O link a seguir mostra como usar o Quick para autenticação com o Redshift quando ele está conectado e o acesso é gerenciado por meio do Centro de Identidade do AWS IAM: [Autorizar conexões do Quick com clusters do Amazon Redshift](https://docs.aws.amazon.com/quick/latest/userguide/enabling-access-redshift.html). Essas etapas também se aplicam ao Amazon Redshift sem servidor. ## Conexão com o Amazon Redshift usando o Centro de Identidade do AWS IAM por meio do Editor de Consultas v2 do Amazon Redshift Ao concluir as etapas para configurar uma conexão do Centro de Identidade do AWS IAM com o Redshift, o usuário pode acessar o banco de dados e os objetos indicados no banco de dados por meio da identidade de namespace prefixado com base no Centro de Identidade do AWS IAM. Para ter mais informações sobre como se conectar aos bancos de dados do Redshift com logon no Editor de Consultas V2, consulte [Consultar um banco de dados usando o Editor de Consultas V2Consultar um banco de dados usando o editor de consultas v2 do Amazon Redshift](query-editor-v2.md). ## Usar o Centro de Identidade do AWS IAM em várias Regiões da AWS O Amazon Redshift aceita o Centro de Identidade do AWS IAM em várias Regiões da AWS. Você pode estender o Centro de Identidade do AWS IAM de suas Região da AWS primárias para regiões adicionais para melhorar a performance por meio da proximidade com os usuários e da confiabilidade. Quando uma nova região é adicionada ao Centro de Identidade do AWS IAM, você pode criar aplicações do Centro de Identidade do IAM no Redshift na nova região sem replicar identidades da região primária. É possível configurar as permissões federadas do Amazon Redshift usando o Centro de Identidade do AWS IAM na nova região, onde você pode habilitar controles em nível de linha, coluna e mascaramento. Para acessar mais detalhes sobre como começar a usar o Centro de Identidade do AWS IAM em várias regiões, consulte [Gerenciar o Centro de Identidade do AWS IAM em várias Regiões da AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) no *Guia do usuário do Centro de Identidade do AWS IAM*. ## Limitações da conexão com o Amazon Redshift por meio do Centro de Identidade do AWS IAM Ao usar a autenticação única do Centro de Identidade da AWS, considere a seguinte limitação: + **Ausência de compatibilidade com VPC aprimorada**: não é possível usar VPC aprimorada quando se usa autenticação única do Centro de Identidade do AWS para o Amazon Redshift. Para ter mais informações sobre a VPC aprimorada, consulte [Roteamento aprimorado da VPC no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html). # Configuração da integração do Centro de Identidade do AWS IAM com o Amazon Redshift O administrador de cluster do Amazon Redshift ou o administrador do Amazon Redshift sem servidor deve realizar várias etapas para configurar o Redshift como uma aplicação habilitada para o Centro de Identidade do AWS IAM. Isso faz com que o Redshift possa descobrir e se conectar automaticamente ao Centro de Identidade do AWS IAM para receber serviços de logon e diretório de usuários. Depois disso, quando criar um cluster ou um grupo de trabalho, o administrador do Redshift poderá permitir que o novo data warehouse use o Centro de Identidade do AWS IAM para gerenciar o acesso ao banco de dados. O objetivo de habilitar o Redshift como uma aplicação gerenciada pelo Centro de Identidade do AWS IAM é para que você possa controlar as permissões de usuário e grupo dentro do Centro de Identidade do AWS IAM ou de um provedor de identidades de terceiros integrado. Quando os usuários do banco de dados fazem logon em um banco de dados do Redshift, por exemplo, um analista ou um cientista de dados compara os grupos no Centro de Identidade do AWS IAM e se eles coincidem com os nomes de perfil no Redshift. Assim, um grupo que define o nome de uma função do banco de dados do Redshift pode acessar um conjunto de tabelas para análise de vendas, por exemplo. As seções a seguir mostram como configurar isso. ## Pré-requisitos Estes são os pré-requisitos para integrar o Centro de Identidade do AWS IAM ao Amazon Redshift: + *Configuração da conta*: é necessário configurar o Centro de Identidade do AWS IAM na conta de gerenciamento da organização da AWS se pretende ter casos de uso entre contas ou se usa clusters do Redshift em contas diferentes com a mesma instância do Centro de Identidade do AWS IAM. Isso inclui a configuração da origem da identidade. Para obter mais informações, consulte [Getting Started](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html), [workforce identities](https://docs.aws.amazon.com/singlesignon/latest/userguide/identities.html) e [supported identity providers](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) no *Guia de usuário do AWS IAM Identity Center*. Você deve se certificar de ter criado usuários ou grupos no Centro de Identidade do AWS IAM ou sincronizado usuários e grupos da fonte de identidade para poder atribuí-los aos dados no Redshift. **nota** Você tem a opção de usar uma instância da conta do Centro de Identidade do AWS IAM, desde que o Redshift e o Centro de Identidade do AWS IAM estejam na mesma conta. Você pode criar essa instância usando um widget ao criar e configurar um cluster ou um grupo de trabalho do Redshift. + *Configuração de um emissor de tokens confiáveis*: em alguns casos, talvez você precise usar um emissor de tokens confiáveis, que é uma entidade capaz de emitir e verificar tokens confiáveis. Para isso, etapas preliminares são necessárias para que o administrador do Redshift que configura a integração do Centro de Identidade do AWS IAM possa selecionar o emissor de tokens confiáveis e adicionar os atributos necessários para concluir a configuração. Isso pode incluir a configuração de um provedor de identidades externo para servir como um emissor de tokens confiável e a adição dos atributos no console do Centro de Identidade do AWS IAM. Para concluir essas etapas, consulte [Using applications with a trusted token issuer](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-apps-with-trusted-token-issuer.html#setuptrustedtokenissuer). **nota** A configuração de um emissor de tokens confiáveis não é obrigatória para todas as conexões externas. A conexão com o banco de dados do Redshift com o editor de consultas do Amazon Redshift v2 não exige a configuração do emissor de tokens confiáveis. Porém, ela pode ser aplicada a aplicações de terceiros, como painéis ou aplicações personalizadas, que se autenticam com o provedor de identidades. + *Configuração de um perfil do IAM ou funções*: as seções a seguir mencionam permissões que devem ser configuradas. Você precisará adicionar permissões segundo as melhores práticas do IAM. As permissões específicas são detalhadas nos procedimentos a seguir. Consulte mais informações em [Getting Started with AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html). ## Configuração do provedor de identidades para trabalhar com o Centro de Identidade do AWS IAM A primeira etapa do controle do gerenciamento de identidades de usuário e grupo é se conectar ao Centro de Identidade do AWS IAM e configurar o provedor de identidades. É possível usar o próprio Centro de Identidade do AWS IAM como o provedor de identidades ou conectar um repositório de identidades de terceiros, como o Okta, por exemplo. Consulte mais informações sobre como configurar a conexão e o provedor de identidades em [Connect to an external identity provider](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) no *Guia de usuário do Centro de Identidade do AWS IAM*. Verifique se, ao final desse processo, você tem uma pequena coleção de usuários e grupos adicionados ao Centro de Identidade do AWS IAM, para fins de teste. ### Permissões administrativas #### Permissões necessárias para o gerenciamento do ciclo de vida da aplicação do Redshift/Centro de Identidade do AWS IAM Você deve criar uma identidade do IAM, que o administrador do Redshift usa a fim de configurar o Redshift para uso com o Centro de Identidade do AWS IAM. Normalmente, você criaria um perfil do IAM com permissões e o atribuiria a outras identidades conforme necessário. Ele deve ter as permissões listadas para executar as ações a seguir. **Criar a aplicação do Redshift/Centro de Identidade do AWS IAM** + `sso:PutApplicationAssignmentConfiguration`: para segurança. + `sso:CreateApplication`: usada para criar uma aplicação do Centro de Identidade do AWS IAM. + `sso:PutApplicationAuthenticationMethod`: concede acesso à autenticação do Redshift. + `sso:PutApplicationGrant`: usada para alterar as informações do emissor de tokens confiáveis. + `sso:PutApplicationAccessScope`: para configuração da aplicação do Redshift do Centro de Identidade do AWS IAM. Isso se aplica ao AWS Lake Formation e a [Concessões de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html). + `redshift:CreateRedshiftIdcApplication`: usada para criar uma aplicação do Redshift do Centro de Identidade do AWS IAM. **Descrever a aplicação do Redshift/Centro de Identidade do AWS IAM** + `sso:GetApplicationGrant`: usado para listar as informações do emissor de tokens confiáveis. + `sso:ListApplicationAccessScopes`: para que a configuração da aplicação do Redshift do Centro de Identidade do AWS Lake Formation IAM liste integrações subsequentes, como para o AWS e a Concessão de Acesso do S3. + `redshift:DescribeRedshiftIdcApplications`: usada para descrever as aplicações existentes do Centro de Identidade do AWS IAM. **Alterar a aplicação do Redshift/Centro de Identidade do AWS IAM** + `redshift:ModifyRedshiftIdcApplication`: usada para alterar uma aplicação Redshift existente. + `sso:UpdateApplication`: usada para atualizar uma aplicação do Centro de Identidade do AWS IAM. + `sso:GetApplicationGrant`: obtém as informações do emissor de tokens de confiança. + `sso:ListApplicationAccessScopes`: para configuração da aplicação do Redshift do Centro de Identidade do AWS IAM. + `sso:DeleteApplicationGrant`: exclui as informações do emissor de tokens confiáveis. + `sso:PutApplicationGrant`: usada para alterar as informações do emissor de tokens confiáveis. + `sso:PutApplicationAccessScope`: para configuração da aplicação do Redshift do Centro de Identidade do AWS IAM. Isso se aplica ao AWS Lake Formation e a [Concessões de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html). + `sso:DeleteApplicationAccessScope`: para excluir a configuração da aplicação do Redshift do Centro de Identidade do AWS IAM. Isso se aplica ao AWS Lake Formation e a [Concessões de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html). **Excluir a aplicação do Redshift/Centro de Identidade do AWS IAM** + `sso:DeleteApplication`: usada para excluir uma aplicação do Centro de Identidade do AWS IAM. + `redshift:DeleteRedshiftIdcApplication`: permite excluir uma aplicação existente do Redshift do Centro de Identidade do AWS IAM. #### Permissões necessárias para o gerenciamento do ciclo de vida da aplicação Redshift/editor de consultas v2 Você deve criar uma identidade do IAM, que o administrador do Redshift usa a fim de configurar o Redshift para uso com o Centro de Identidade do AWS IAM. Normalmente, você criaria um perfil do IAM com permissões e o atribuiria a outras identidades conforme necessário. Ele deve ter as permissões listadas para executar as ações a seguir. **Criar a aplicação do editor de consultas v2 (QEV** + `redshift:CreateQev2IdcApplication`: usado para criar a aplicação do QEV2. + `sso:CreateApplication`: permite criar uma aplicação do Centro de Identidade do AWS IAM. + `sso:PutApplicationAuthenticationMethod`: concede acesso à autenticação do Redshift. + `sso:PutApplicationGrant`: usada para alterar as informações do emissor de tokens confiáveis. + `sso:PutApplicationAccessScope`: para configuração da aplicação do Redshift do Centro de Identidade do AWS IAM. Isso inclui o editor de consultas v2. + `sso:PutApplicationAssignmentConfiguration`: para segurança. **Descrever a aplicação do editor de consultas v** + `redshift:DescribeQev2IdcApplications`: usada para descrever a aplicação QEV2 do Centro de Identidade do AWS IAM. **Alterar a aplicação do editor de consultas v** + `redshift:ModifyQev2IdcApplication`: usada para alterar a aplicação QEV2 do Centro de Identidade do AWS IAM. + `sso:UpdateApplication`: usada para alterar a aplicação QEV2 do Centro de Identidade do AWS IAM. **Excluir a aplicação do editor de consultas v** + `redshift:DeleteQev2IdcApplication`: usado para excluir a aplicação do QEV2. + `sso:DeleteApplication`: usado para excluir a aplicação do QEV2. **nota** No SDK do Amazon Redshift, as seguintes APIs não estão disponíveis: CreateQev2IdcApplication DescribeQev2IdcApplications ModifyQev2IdcApplication DeleteQev2IdcApplication Essas ações são específicas para realizar a integração do Centro de Identidade do AWS IAM com o QEV2 do Redshift no Console da AWS. Para obter mais informações, consulte [Actions defined by Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html#amazonredshift-actions-as-permissions). #### Permissões necessárias para o administrador do banco de dados conectar novos recursos no console Essas permissões são necessárias para conectar novos clusters provisionados ou grupos de trabalho do Amazon Redshift sem servidor durante o processo de criação. Se você tiver essas permissões, uma seleção será exibida no console para optar por se conectar à aplicação gerenciada pelo Centro de Identidade do AWS IAM para Redshift. + `redshift:DescribeRedshiftIdcApplications` + `sso:ListApplicationAccessScopes` + `sso:GetApplicationAccessScope` + `sso:GetApplicationGrant` Como prática recomendada, anexe políticas de permissões a um perfil do IAM e, depois, atribua-as a usuários e grupos, conforme necessário. Para obter mais informações, consulte [Gerenciamento de identidade e acesso no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html). ## Configuração do Redshift como uma aplicação gerenciada pela AWS com o Centro de Identidade do AWS IAM Para o Centro de Identidade do AWS IAM gerenciar identidades para um cluster provisionado do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor, o administrador do Redshift deve concluir as etapas para fazer do Redshift uma aplicação gerenciada pelo Centro de Identidade do AWS IAM: 1. Selecione **Integração com Centro de Identidade do AWS IAM** no menu do console do Amazon Redshift ou do Amazon Redshift sem servidor e, depois, selecione **Conectar-se ao Centro de Identidade do AWS IAM**. A partir daí, você passa por uma série de seleções para preencher as propriedades da integração do Centro de Identidade do AWS IAM. 1. Escolha um nome de exibição e um nome exclusivo para a aplicação gerenciada pelo Centro de Identidade do AWS IAM do Redshift. 1. Especifique o namespace da organização. Trata-se normalmente de uma versão abreviada do nome da organização. Ela é adicionada como um prefixo para os perfis e os usuários gerenciados pelo Centro de Identidade do AWS IAM no banco de dados do Redshift. 1. Selecione um perfil do IAM a ser usado. Esse perfil do IAM deve ser à parte de outros usados no Redshift, e recomendamos que não seja usado com outras finalidades. As permissões da política específica necessárias são as seguintes: + `sso:DescribeApplication`: necessária para criar uma entrada do provedor de identidades (IdP) no catálogo. + `sso:DescribeInstance`: usada para criar manualmente funções ou usuários federados do IdP. 1. Configure conexões cliente e emissores de tokens confiáveis. A configuração de emissores de tokens confiáveis facilita a propagação de identidade confiável ao estabelecer um relacionamento com um provedor de identidades externo. A propagação de identidade possibilita que um usuário, por exemplo, faça logon em uma aplicação e acesse dados específicos em outra aplicação. Isso permite aos usuários coletar dados de locais diferentes com mais facilidade. Nesta etapa, no console, você define atributos para cada emissor de tokens confiáveis. Entre os atributos estão o nome e a declaração do público (ou *aud claim*), que talvez você precise obter dos atributos de configuração da ferramenta ou do serviço. Talvez você também precise fornecer o nome da aplicação do JSON Web Token (JWT) da ferramenta de terceiros. **nota** O `aud claim` exigido de cada ferramenta ou serviço de terceiros pode variar, com base no tipo de token, que pode ser um token de acesso emitido por um provedor de identidades ou outro tipo, como um token de ID. Cada fornecedor pode ser diferente. Quando você está implementando a propagação de identidade confiável e a integração com o Redshift, é necessário fornecer o valor *aud* correto para o tipo de token com o qual a ferramenta de terceiros envia para AWS. Verifique as recomendações do fornecedor de ferramentas ou serviços. Para ter informações detalhadas sobre a propagação de identidade confiável, consulte [Trusted identity propagation overview](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) no *Guia do usuário do Centro de Identidade do AWS IAM*. Depois que o administrador do Redshift concluir as etapas e salvar a configuração, as propriedades do Centro de Identidade do AWS IAM serão exibidas no console do Redshift. Também é possível consultar a exibição de sistema [SVV\$1IDENTITY\$1PROVIDERS](https://docs.aws.amazon.com/redshift/latest/dg/r_SVV_IDENTITY_PROVIDERS.html) para verificar as propriedades da aplicação. Isso inclui o nome e o namespace da aplicação. Você usa o namespace como prefixo para objetos de banco de dados do Redshift associados à aplicação. A conclusão dessas tarefas torna o Redshift uma aplicação compatível com o Centro de Identidade do AWS IAM. As propriedades no console incluem o status da integração. Ele indica **Habilitado** quando a integração está concluída. Depois desse processo, a integração do Centro de Identidade do AWS IAM poderá ser habilitada em cada novo cluster. Depois da configuração, você poderá incluir usuários e grupos do Centro de Identidade do AWS IAM no Redshift escolhendo a guia **Usuários** ou **Grupos** e, depois, **Atribuir**. ## Habilitação da integração do Centro de Identidade do AWS IAM para um novo cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor O administrador do banco de dados configura novos recursos do Redshift para trabalhar em alinhamento com o Centro de Identidade do AWS IAM a fim de facilitar o logon e o acesso aos dados. Isso é realizado como parte das etapas para criar um cluster provisionado ou um grupo de trabalho de tecnologia sem servidor. Qualquer pessoa com permissões para criar recursos do Redshift pode realizar essas tarefas de integração do Centro de Identidade do AWS IAM. Para criar um cluster provisionado, você primeiro escolhe **Criar cluster** no console do Amazon Redshift. As etapas a seguir mostram como habilitar o gerenciamento do Centro de Identidade do AWS IAM para um banco de dados. (Isso não inclui todas as etapas para criar um cluster.) 1. Escolha **Habilitar para ** na seção **Integração com Centro de Identidade do IAM** nas etapas de criação do cluster. 1. Há uma etapa no processo quando você habilita a integração. Você faz isso escolhendo **Habilitar integração com Centro de Identidade do IAM** no console. 1. Para o novo cluster ou grupo de trabalho, crie funções de banco de dados no Redshift usando comandos SQL. Este é o comando. ``` CREATE ROLE ; ``` O namespace e o nome da função são os seguintes: + *Prefixo do namespace do Centro de Identidade do IAM*: esse é o namespace definido por você ao configurar a conexão entre o Centro de Identidade do AWS IAM e o Redshift. + *Nome do perfil*: esse perfil do banco de dados do Redshift deve coincidir com o nome do grupo no Centro de Identidade do AWS IAM. O Redshift se conecta ao Centro de Identidade do AWS IAM e busca as informações necessárias para criar e mapear o perfil do banco de dados para o grupo do Centro de Identidade do AWS IAM. Quando um novo data warehouse é criado, o perfil do IAM especificado para a integração do Centro de Identidade do AWS IAM é automaticamente anexado ao cluster provisionado ou ao grupo de trabalho do Amazon Redshift sem servidor. Depois de inserir os metadados de cluster necessários e criar o recurso, você poderá verificar o status da integração do Centro de Identidade do AWS IAM nas propriedades. Se os nomes de grupo no Centro de Identidade do AWS IAM tiverem espaços, será necessário usar aspas no SQL ao criar o perfil correspondente. Depois de habilitar o banco de dados do Redshift e criar funções, estará tudo pronto para você se conectar ao banco de dados usando o editor de consultas do Amazon Redshift v2 ou Amazon Quick. Os detalhes serão explicados mais detalhadamente nas seções a seguir. ### Configuração do `RedshiftIdcApplication` padrão usando a API A configuração é realizada pelo administrador de identidades. Com a API, você cria e preenche `RedshiftIdcApplication`, que representa a aplicação do Redshift no Centro de Identidade do AWS IAM. 1. Para começar, é possível criar usuários e adicioná-los a grupos no Centro de Identidade do AWS IAM. Você faz isso no Console da AWS do Centro de Identidade do AWS IAM. 1. Chame `create-redshift-idc-application` para criar uma aplicação do Centro de Identidade do AWS e torná-la compatível com o uso do Redshift. Você cria a aplicação preenchendo os valores necessários. O nome de exibição é o nome a ser mostrado no painel do Centro de Identidade do AWS. O ARN do perfil do IAM é um ARN com permissões para o Centro de Identidade do AWS IAM e que também pode ser assumido pelo Redshift. ``` aws redshift create-redshift-idc-application ––idc-instance-arn 'arn:aws:sso:::instance/ssoins-1234a01a1b12345d' ––identity-namespace 'MYCO' ––idc-display-name 'TEST-NEW-APPLICATION' ––iam-role-arn 'arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole' ––redshift-idc-application-name 'myredshiftidcapplication' ``` O exemplo a seguir mostra uma resposta `RedshiftIdcApplication` de exemplo retornada pela chamada para `create-redshift-idc-application`. ``` "RedshiftIdcApplication": { "IdcInstanceArn": "arn:aws:sso:::instance/ssoins-1234a01a1b12345d", "RedshiftIdcApplicationName": "test-application-1", "RedshiftIdcApplicationArn": "arn:aws:redshift:us-east-1:012345678901:redshiftidcapplication:12aaa111-3ab2-3ab1-8e90-b2d72aea588b", "IdentityNamespace": "MYCO", "IdcDisplayName": "Redshift-Idc-Application", "IamRoleArn": "arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole", "IdcManagedApplicationArn": "arn:aws:sso::012345678901:application/ssoins-1234a01a1b12345d/apl-12345678910", "IdcOnboardStatus": "arn:aws:redshift:us-east-1:123461817589:redshiftidcapplication", "RedshiftIdcApplicationArn": "Completed", "AuthorizedTokenIssuerList": [ "TrustedTokenIssuerArn": ..., "AuthorizedAudiencesList": [...]... ]} ``` 1. É possível usar `create-application-assignment` para atribuir grupos específicos ou usuários individuais à aplicação gerenciada no Centro de Identidade do AWS IAM. Com isso, é possível especificar grupos para gerenciamento por meio do Centro de Identidade do AWS IAM. Se o administrador do banco de dados criar perfis de banco de dados no Redshift, os nomes de grupo no Centro de Identidade do AWS IAM serão mapeados para nomes de perfil no Redshift. As funções controlam as permissões no banco de dados. Consulte mais informações em [Assign user access to applications in the AWS IAM Identity Center console](https://docs.aws.amazon.com/singlesignon/latest/userguide/assignuserstoapp.html). 1. Depois de habilitar a aplicação, chame `create-cluster` e inclua o ARN da aplicação gerenciada pelo Redshift do Centro de Identidade do AWS IAM. Isso associa o cluster à aplicação gerenciada no Centro de Identidade do AWS IAM. ### Associação de uma aplicação do Centro de Identidade do AWS IAM a um cluster ou grupo de trabalho existente Se tiver um cluster ou grupo de trabalho existente que gostaria de habilitar para a integração do Centro de Identidade do AWS IAM, você poderá fazer isso executando comandos SQL. Você também pode executar comandos SQL para alterar as configurações da integração. Consulte mais informações em [ALTER IDENTITY PROVIDER](https://docs.aws.amazon.com/redshift/latest/dg/r_ALTER_IDENTITY_PROVIDER.html). Também é possível remover um provedor de identidades existente. O exemplo a seguir mostra como CASCADE exclui funções e usuários anexados ao provedor de identidades. ``` DROP IDENTITY PROVIDER [ CASCADE ] ``` ## Configuração das permissões de usuário Um administrador configura permissões para recursos variados, com base nos atributos de identidade dos usuários e nas associações de grupo, dentro do provedor de identidades ou diretamente no Centro de Identidade do AWS IAM. Por exemplo, o administrador do provedor de identidades pode adicionar um engenheiro de banco de dados a um grupo apropriado a essa função. Esse nome de grupo é mapeado para um nome de função de banco de dados do Redshift. A função dá ou restringe acesso a tabelas ou exibições específicas no Redshift. # Criação automática de perfis do Amazon Redshift para o Centro de Identidade do AWS IAM Esse recurso é uma integração com o Centro de Identidade do AWS IAM que permite criar perfis automaticamente no Redshift com base na associação em grupo. Há vários benefícios na criação automática de perfis. Quando você cria automaticamente um perfil, o Redshift cria o perfil com associação em grupo no seu IdP, para que você possa evitar o trabalho de criar e manter perfis manualmente. Você também tem a opção de filtrar quais grupos são mapeados para perfis do Redshift com padrões de inclusão e exclusão. ## Como funciona Quando você, como usuário do IdP, faz login no Redshift, ocorre a seguinte sequência de eventos: 1. O Redshift recupera suas associações em grupo do IdP. 1. O Redshift cria automaticamente o mapeamento de perfis para esses grupos, com o formato de perfil `idp_namespace:rolename`. 1. O Redshift concede a você permissões com os perfis mapeados. Após cada login de usuário, cada grupo que não está presente no catálogo, mas do qual o usuário faz parte, é criado automaticamente. Opcionalmente, você pode definir filtros de inclusão e exclusão para controlar quais grupos de IdP têm perfis do Redshift criados. ## Configurar perfis de criação automática Use os comandos `CREATE IDENTITY PROVIDER` e `ALTER IDENTITY PROVIDER` para habilitar e configurar a criação automática de perfis. ``` -- Create a new IdP with auto role creation enabled CREATE IDENTITY PROVIDER TYPE AWSIDC NAMESPACE '' APPLICATION_ARN 'app_arn' IAM_ROLE 'role_arn' AUTO_CREATE_ROLES TRUE; -- Enable on existing IdP ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES TRUE; -- Disable ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES FALSE; ``` ## Filtrar grupos Opcionalmente, você pode filtrar quais grupos de IdP são mapeados para os perfis do Redshift usando os padrões `INCLUDE` e `EXCLUDE`. Quando os padrões entram em conflito, `EXCLUDE` precede a `INCLUDE`. ``` -- Only create roles for groups with 'dev' CREATE IDENTITY PROVIDER TYPE AWSIDC ... AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%'; -- Exclude 'test' groups ALTER IDENTITY PROVIDER AUTO_CREATE_ROLES TRUE EXCLUDE GROUPS LIKE '%test%'; ``` ## Exemplos O exemplo a seguir mostra como ativar a criação automática de perfis sem filtragem. ``` CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC ... AUTO_CREATE_ROLES TRUE; ``` O exemplo a seguir inclui grupos de desenvolvimento e exclui grupos de teste. ``` ALTER IDENTITY PROVIDER prod_idc AUTO_CREATE_ROLES TRUE INCLUDE GROUPS LIKE '%dev%' EXCLUDE GROUPS LIKE '%test%'; ``` ## Práticas recomendadas Considere as seguintes práticas recomendadas ao habilitar a criação automática de perfis: + Use os filtros `INCLUDE` e `EXCLUDE` para controlar quais grupos recebem perfis. + Audite periodicamente os perfis e limpe os não utilizados. + Aproveite as hierarquias de perfis do Redshift para simplificar o gerenciamento de permissões. # Integração do Amazon Redshift com a funcionalidade Concessão de Acesso do Amazon S3 Usando a integração com a Concessão de Acesso do Amazon S3, você pode propagar facilmente identidades do Centro de Identidade do IAM para controlar o acesso aos dados do Amazon S3. Essa integração permite que você autorize o acesso aos dados do Amazon S3 com base nos usuários e grupos do Centro de Identidade do IAM. Para obter mais informações sobre a Concessão de Acesso do Amazon S3, consulte [Gerenciar o acesso com a funcionalidade Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html). O uso da Concessão de Acesso do Amazon S3 concede os seguintes benefícios à aplicação: + Controle de acesso detalhado aos dados do Amazon S3 com base nas identidades do Centro de Identidade do IAM. + Gerenciamento centralizado de identidades do Centro de Identidade do IAM no Amazon Redshift e no Amazon S3. + Você pode evitar o gerenciamento de permissões separadas do IAM para acesso ao Amazon S3. ## Como funciona Para integrar sua aplicação com a Concessão de Acesso do Amazon S3, faça o seguinte: + Primeiro, configure o Amazon Redshift para se integrar à Concessão de Acesso do Amazon S3 usando o Console de gerenciamento da AWS ou a AWS CLI. + Em seguida, usando o serviço de Concessão de Acesso do Amazon S3, um usuário com privilégios de administrador do Centro de Identidade (IdC) concede acesso ao bucket ou prefixo do Amazon S3 a usuários/grupos específicos do IdC. Para obter mais informações, consulte [Trabalhar com concessões no recurso Concessão de Acesso do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-grant.html). + Quando um usuário do IdC autenticado no Redshift executa uma consulta acessando o S3 (como uma operação COPY, UNLOAD ou Spectrum), o Amazon Redshift recupera credenciais de acesso temporárias do S3 com escopo definido para essa identidade do IdC do serviço Concessão de Acesso do Amazon S3. + Em seguida, o Amazon Redshift usa as credenciais temporárias recuperadas para acessar os locais autorizados do Amazon S3 para essa consulta. ## Configurar a integração com a Concessão de Acesso do Amazon S3 Para configurar a integração com a Concessão de Acesso do Amazon S3 para Amazon Redshift, faça o seguinte: **Topics** + [ ### Configurar a integração com a Concessão de Acesso do Amazon S3 usando o Console de gerenciamento da AWS ](#redshift-iam-access-control-sso-s3idc-setup-console) + [ ### Habilitar a integração com a Concessão de Acesso do Amazon S3 usando a AWS CLI ](#redshift-iam-access-control-sso-s3idc-setup-cli) ### Configurar a integração com a Concessão de Acesso do Amazon S3 usando o Console de gerenciamento da AWS 1. Abra o console do Amazon Redshift. 1. Escolha seu cluster no painel **Clusters**. 1. Na página de detalhes do cluster, na seção **Integração do provedor de identidades**, habilite a integração com o serviço **Concessão de Acesso do S3**. **nota** A seção **Integração do provedor de identidades** não aparecerá se você não tiver o Centro de Identidade do IAM configurado. Para obter mais informações, consulte [Enabling Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html). ### Habilitar a integração com a Concessão de Acesso do Amazon S3 usando a AWS CLI 1. Para criar outra aplicação do IdC do Amazon Redshift com a integração do S3 habilitada, faça o seguinte: ``` aws redshift create-redshift-idc-application --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]' ``` 1. Para modificar uma aplicação existente a fim de habilitar a integração da Concessão de Acesso do S3, faça o seguinte: ``` aws redshift modify-redshift-idc-application --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]' ``` 1. Para modificar uma aplicação existente a fim de desabilitar a integração da Concessão de Acesso do S3, faça o seguinte: ``` aws redshift modify-redshift-idc-application --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Disabled"}}]} ]' ``` ## Usar a integração com a Concessão de Acesso do S3 Após a configuração da integração da Concessão de Acesso do S3, as consultas que acessam dados do S3 (como consultas `COPY`, `UNLOAD` ou Spectrum) usam a identidade do IdC para autorização. Os usuários que não estão autenticados usando o IdC também podem executar essas consultas, mas essas contas de usuário não aproveitam a administração centralizada que o IdC oferece. O seguinte exemplo mostra consultas executadas com a integração da Concessão de Acesso do S3: ``` COPY table FROM 's3://mybucket/data'; // -- Redshift uses IdC identity UNLOAD ('SELECT * FROM table') TO 's3://mybucket/unloaded/' // -- Redshift uses IdC identity ``` # Consulta de dados por meio de AWS Lake Formation O uso de AWS Lake Formation facilita controlar e proteger de maneira centralizada o data lake, além de oferecer acesso aos dados. A configuração da propagação de identidade para o Lake Formation por meio do Centro de Identidade do AWS IAM e do Redshift possibilita ao administrador permitir acesso refinado a um data lake do Amazon S3, com base nos grupos de provedores de identidades (IdP) da organização. Esses grupos são gerenciados por meio do Centro de Identidade do AWS IAM. Esta seção mostra como configurar alguns casos de uso, consultando um data lake e um compartilhamento de dados, que demonstram como utilizar o Centro de Identidade do AWS IAM com o Redshift para se conectar aos recursos controlados pelo Lake Formation. ## Uso de uma conexão do Centro de Identidade do AWS IAM e do Redshift para consultar um data lake Essas etapas abordam um caso de uso no qual você usa o Centro de Identidade do AWS IAM conectado ao Redshift para consultar um data lake controlado pelo Lake Formation. **Pré-requisitos** Este procedimento tem diversas etapas de pré-requisito: 1. O Centro de Identidade do AWS IAM deve ser configurado para dar suporte à autenticação e ao gerenciamento de identidades com o Redshift. É possível habilitar o Centro de Identidade do AWS IAM pelo console e selecionar uma fonte do provedor de identidades (IdP). Depois disso, sincronize um conjunto dos usuários IdP com o Centro de Identidade do AWS IAM. Você também deve configurar uma conexão entre o Centro de Identidade do AWS IAM e o Redshift seguindo as etapas detalhadas anteriormente neste documento. 1. Crie um cluster do Amazon Redshift e habilite o gerenciamento de identidades por meio do Centro de Identidade do AWS IAM nas etapas de configuração. 1. Crie uma aplicação gerenciada do Centro de Identidade do AWS IAM para Lake Formation e a configure. Depois disso, vem a configuração da conexão entre o Centro de Identidade do AWS IAM e o Redshift. As etapas são as seguintes: 1. Na AWS CLI, use o comando `modify-redshift-idc-application` para habilitar a integração do serviço Lake Formation com a aplicação gerenciada do Centro de Identidade do AWS IAM para Redshift. Essa chamada inclui o parâmetro `service-integrations`, que é definido como um valor de string da configuração que permite a autorização para o Lake Formation. 1. Configure o Lake Formation usando o comando `create-lake-formation-identity-center-configuration`. Isso cria uma aplicação Centro de Identidade do AWS IAM para Lake Formation, visível no portal do Centro de Identidade do AWS IAM. O administrador deve definir o argumento `––cli-input-json`, cujo valor é o caminho para um arquivo JSON que usa o formato padrão para todas as chamadas de API da CLI da AWS. Você deve incluir valores para o seguinte: + `CatalogId`: o ID do catálogo do Lake Formation. + `InstanceArn`: o valor ARN da instância do Centro de Identidade do AWS IAM. Depois que o administrador concluir a configuração de pré-requisito, o administrador do banco de dados poderá criar um esquema externo com a finalidade de consultar o data lake. 1. **O administrador cria o esquema externo**: o administrador do banco de dados do Redshift se conecta ao banco de dados e cria um esquema externo usando a seguinte instrução SQL: ``` CREATE EXTERNAL SCHEMA if not exists my_external_schema from DATA CATALOG database 'my_lf_integrated_db' catalog_id '12345678901234'; ``` A especificação de um perfil do IAM não é necessária nesse caso, porque o acesso é gerenciado por meio do Centro de Identidade do AWS IAM. 1. **O administrador concede permissões**: o administrador concede uso a um grupo do Centro de Identidade do AWS IAM, que concede permissões em recursos do Redshift. Isso é feito executando uma instrução SQL como a seguinte: ``` GRANT USAGE ON SCHEMA "my_external_schema" to "MYCO:sales"; ``` Posteriormente, o administrador concederá permissões do Lake Formation em objetos, com base nos requisitos da organização, usando a CLI da AWS: ``` aws lakeformation grant-permissions ... ``` 1. **Os usuários executam consultas**: neste momento, um usuário do Centro de Identidade do AWS IAM que faz parte do grupo de vendas, para fins ilustrativos, pode fazer logon por meio do Editor de Consultas v2 no banco de dados do Redshift. Eles podem acabar executando uma consulta que acessa uma tabela no esquema externo, como no seguinte exemplo: ``` SELECT * from my_external_schema.table1; ``` ## Uso de uma conexão do Centro de Identidade do AWS IAM e do Redshift para se conectar a uma unidade de compartilhamento de dados É possível acessar uma unidade de compartilhamento de dados por meio de um data warehouse do Redshift diferente quando o acesso é gerenciado por meio do Centro de Identidade do AWS IAM. Para isso, você executa uma consulta para configurar um banco de dados externo. Antes de concluir essas etapas, presume-se que você tenha uma conexão configurada entre o Redshift e o Centro de Identidade do AWS IAM e tenha criado a aplicação do AWS Lake Formation, conforme detalhado no procedimento anterior. 1. **Criação do banco de dados externo**: o administrador cria um banco de dados externo para compartilhamento de dados, referenciando-o por meio do ARN. Este é um exemplo que mostra como fazer isso: ``` CREATE DATABASE "redshift_external_db" FROM ARN 'arn:aws:glue:us-east-1:123456789012:database/redshift_external_db-iad' WITH NO DATA CATALOG SCHEMA; ``` Nesse caso de uso, quando você está usando o Centro de Identidade do AWS IAM com Redshift para gerenciamento de identidades, o perfil do IAM não está incluído. 1. **O administrador configura permissões**: depois de criar um banco de dados, o administrador vai conceder uso a um grupo do Centro de Identidade do AWS IAM. Isso concede permissões em recursos do Redshift: ``` GRANT USAGE ON DATABASE "my_external_db" to "MYCO:sales"; ``` O administrador também concede permissões do Lake Formation em objetos usando a CLI da AWS: ``` aws lakeformation grant-permissions ... ``` 1. **Os usuários executam consultas**: um usuário do grupo de vendas pode consultar uma tabela no banco de dados, com base nas permissões atribuídas: ``` select * from redshift_external_db.public.employees; ``` Para obter mais informações sobre como conceder permissões em um data lake e conceder permissões em compartilhamentos de dados, consulte [Granting permissions to users and groups](https://docs.aws.amazon.com/lake-formation/latest/dg/grant-permissions-sso.html). Para obter mais informações sobre como conceder uso a um esquema ou a um banco de dados, consulte [GRANT](https://docs.aws.amazon.com/redshift/latest/dg/r_GRANT.html). # Integração da aplicação ou da ferramenta com o OAuth usando um emissor de tokens confiáveis É possível adicionar funcionalidade às ferramentas de cliente criadas para estabelecer conexão com o Redshift por meio da conexão do Centro de Identidade do AWS IAM. Se você já tiver configurado a integração do Redshift ao Centro de Identidade do AWS IAM, use as propriedades detalhadas nesta seção para configurar uma conexão. ## Plug-in de autenticação para conexão com o Redshift usando o Centro de Identidade do AWS IAM Você pode usar o Centro de Identidade do AWS IAM para se conectar ao Amazon Redshift usando os seguintes plug-ins de driver: + `BrowserIdcAuthPlugin`: esse plug-in facilita a integração perfeita de login único com o Centro de Identidade do AWS IAM. Ele cria uma janela do navegador para que os usuários façam login com as credenciais de usuário definidas nos provedores de identidades corporativas. + `IdpTokenAuthPlugin`: esse plug-in deve ser usado por aplicações que desejam gerenciar o fluxo de autenticação por conta própria, em vez de permitir que o driver do Amazon Redshift abra uma janela do navegador para autenticação do Centro de Identidade do AWS IAM. Ele aceita um token de acesso vendido do Centro de Identidade do AWS IAM ou um token da web JWT (JWT) do OpenID Connect (OIDC) de qualquer provedor de identidades da web conectado ao Centro de Identidade do AWS IAM, como Okta, PingOne e Microsoft Entra ID (Azure AD). A aplicação cliente é responsável por gerar esse token de acesso/JWT necessário. ### Autenticação com `BrowserIdcAuthPlugin` Use os seguintes nomes de plug-ins para se conectar usando `BrowserIdcAuthPlugin`, dependendo do driver do Amazon Redshift. | Driver | Tecla de opção de conexão | Valor | Observações | | --- | --- | --- | --- | | JDBC | `plugin_name` | com.amazon.redshift.plugin.BrowserIdcAuthPlugin | É necessário inserir o nome da classe totalmente qualificado do plug-in ao se conectar. | | ODBC | `plugin_name` | BrowserIdcAuthPlugin | | | Python | `credentials_provider` | BrowserIdcAuthPlugin | Não há nenhuma opção `plugin_name` disponível para o driver do Python. Em seu lugar, use `credentials_provider`. | O plug-in `BrowserIdcAuthPlugin` tem as seguintes opções adicionais de conexão: | Nome da opção | Obrigatório? | Descrição | Exemplo | | --- | --- | --- | --- | | idc\$1region | Obrigatório | A Região da AWS onde a instância do Centro de Identidade do AWS IAM está localizada. | us-east-1 | | issuer\$1url | Obrigatório | O endpoint da instância do servidor do Centro de Identidade do AWS IAM. É possível encontrar esse valor usando o console do Centro de Identidade do AWS IAM. | https://identitycenter.amazonaws.com/ssoins-g5j2k70sn4yc5nsc | | listen\$1port | Opcional | A porta que o driver do Amazon Redshift usa para receber a resposta `auth_code` do Centro de Identidade do AWS IAM por meio do redirecionamento do navegador. | 7890 | | idc\$1client\$1display\$1name | Opcional | O nome que o cliente do Centro de Identidade do AWS IAM usa para a aplicação no pop-up de consentimento de login único do Centro de Identidade do AWS IAM. | Driver do Amazon Redshift | | idp\$1response\$1timeout | Opcional | A quantidade de tempo, em segundos, que o driver do Redshift aguarda a conclusão do fluxo de autenticação. | 60 | É necessário inserir esses valores nas propriedades de conexão da ferramenta criada e usada para se conectar. Consulte mais informações na documentação das opções de conexão para cada driver em questão: + [Opções para a configuração do driver JDBC versão 2.x](jdbc20-configuration-options.md) + [Opções do driver ODBC](odbc20-configuration-options.md) + [Opções de configuração para o conector Python do Amazon Redshift](python-configuration-options.md) ### Autenticação com `IdpTokenAuthPlugin` Use os seguintes nomes de plug-ins para se conectar usando `IdpTokenAuthPlugin`, dependendo do driver do Amazon Redshift. | Driver | Tecla de opção de conexão | Valor | Observações | | --- | --- | --- | --- | | JDBC | `plugin_name` | com.amazon.redshift.plugin.IdpTokenAuthPlugin | É necessário inserir o nome da classe totalmente qualificado do plug-in ao se conectar. | | ODBC | `plugin_name` | IdpTokenAuthPlugin | | | Python | `credentials_provider` | IdpTokenAuthPlugin | Não há nenhuma opção `plugin_name` disponível para o driver do Python. Em seu lugar, use `credentials_provider`. | O plug-in `IdpTokenAuthPlugin` tem as seguintes opções adicionais de conexão: | Nome da opção | Obrigatório? | Descrição | | --- | --- | --- | | token | Obrigatório | O Centro de Identidade do AWS IAM forneceu um token de acesso ou um token web JSON (JWT) do OpenID Connect (OIDC) providenciado por um provedor de identidades da web vinculado ao Centro de Identidade do AWS IAM. A aplicação deve gerar esse token autenticando o usuário da aplicação com o Centro de Identidade do AWS IAM ou um provedor de identidades conectado ao Centro de Identidade do AWS IAM. | | token\$1type | Obrigatório | O tipo de token usado para `IdpTokenAuthPlugin`. Os valores possíveis são os seguintes: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/redshift/latest/mgmt/redshift-iam-access-control-idp-connect-oauth.html) | É necessário inserir esses valores nas propriedades de conexão da ferramenta criada e usada para se conectar. Consulte mais informações na documentação das opções de conexão para cada driver em questão: + [Opções para a configuração do driver JDBC versão 2.x](jdbc20-configuration-options.md) + [Opções do driver ODBC](odbc20-configuration-options.md) + [Opções de configuração para o conector Python do Amazon Redshift](python-configuration-options.md) # Solução de problemas de conexão do Editor de Consultas do Amazon Redshift v2 Essa lista detalha os erros que geralmente ocorrem e pode ajudar você a se conectar ao banco de dados do Redshift com o Editor de Consultas v2, usando uma identidade do Centro de Identidade do AWS IAM. + Erro: **Problema de conexão: não há informações disponíveis sobre a sessão do Centro de Identidade.** – Quando esse erro ocorrer, verifique as configurações de segurança e privacidade do navegador. Essas configurações do navegador, especialmente aquelas para cookies seguros, como o recurso Proteção Total de Cookies do Firefox, podem resultar em tentativas de conexão bloqueadas do Editor de Consultas do Amazon Redshift v2 com um banco de dados do Redshift. Siga as etapas de correção detalhadas para seu navegador: + **Firefox**: no momento, os cookies de terceiros são bloqueados por padrão. Clique no escudo na barra de endereço do navegador e alterne o botão para desativar a proteção contra rastreamento avançada para o Editor de Consultas v2. + **Modo de navegação anônima do Chrome**: por padrão, o modo de navegação anônima do Chrome bloqueia cookies de terceiros. Clique no ícone de olho na barra de endereço para permitir cookies de terceiros para o Editor de Consultas v2. Depois de alterar a configuração para permitir cookies, talvez você não veja o ícone de olho na barra de endereço. + **Safari**: em um Mac, abra o aplicativo Safari. Escolha **Configurações** e **Avançado**. Alternar para desativar: **Bloquear todos os cookies**. + **Edge**: escolha **Configurações** e **Cookies e permissões de site**. Depois, selecione **Gerenciar e excluir cookies e dados do site** e desative **Bloquear cookies de terceiros**. Se você tentar se conectar depois de alterar as configurações e continuar recebendo a mensagem de erro **Problema de conexão: nenhuma informação de sessão do Centro de Identidade disponível**, recomendamos que atualize a conexão com o Centro de Identidade do AWS IAM. Para fazer isso, clique com o botão direito do mouse na instância de banco de dados do Redshift e escolha **Atualizar**. É aberta uma nova janela, que pode ser usada para autenticação. + Erro: **Problema de conexão: a sessão do Centro de Identidade expirou ou é inválida.** – Após a integração de um cluster provisionado do Redshift ou de um grupo de trabalho do Redshift sem servidor com o Centro de Identidade do AWS IAM, um usuário pode receber esse erro ao tentar se conectar a um banco de dados do Redshift por meio do Editor de Consultas v2. Isso pode ocorrer após tentativas de conexão bem-sucedidas. Nesse caso, recomendamos que você faça a autenticação novamente. Para fazer isso, clique com o botão direito do mouse na instância de banco de dados do Redshift e escolha **Atualizar**. É aberta uma nova janela, que pode ser usada para autenticação. + Erro: **Escopo inválido. As credenciais do usuário não estão autorizadas a se conectar ao Redshift.** – Após a integração de um cluster provisionado do Redshift ou de um grupo de trabalho do Redshift sem servidor com o Centro de Identidade do AWS IAM para gerenciamento de identidades, um usuário pode receber esse erro ao tentar se conectar a um banco de dados do Redshift por meio do Editor de Consultas v2. Nesse caso, para que o Editor de Consultas v2 conecte e autentique com êxito um usuário por meio do Centro de Identidade do AWS IAM para acessar os recursos corretos, um administrador precisa atribuir o usuário à aplicação Redshift do Centro de Identidade do AWS IAM por meio do console do Redshift. Isso é concluído em **Conexões do Centro de Identidade do IAM**. Depois disso, o usuário pode estabelecer uma conexão bem-sucedida após uma hora, que é o limite do armazenamento em cache da sessão do Centro de Identidade do AWS IAM. + Erro: **Não foi possível listar os bancos de dados. FATAL: falha na consulta quando o cluster é pausado automaticamente.** – Quando um banco de dados do Amazon Redshift sem servidor está no estado ocioso, sem processar nenhum workload, ele pode permanecer em pausa quando você se conecta a uma identidade do Centro de Identidade do AWS IAM. Para corrigir isso, faça login com outro método de autenticação para retomar o grupo de trabalho sem servidor. Depois, conecte-se ao banco de dados com sua identidade do Centro de Identidade do AWS IAM. + Erro: **Ocorreu um erro durante a tentativa de federação com o Centro de Identidade do AWS IAM. Um administrador do Amazon Redshift deve excluir e recriar a aplicação do QEV2 do Centro de Identidade do AWS IAM usando o console do Redshift.** – Esse erro geralmente ocorre quando a instância da aplicação do Centro de Identidade do AWS IAM associada ao Editor de Consultas v2 é excluída. Para corrigir isso, um administrador do Amazon Redshift deve excluir e recriar as aplicações do Redshift e do Editor de Consultas v2 para o Centro de Identidade do AWS IAM. Isso pode ser feito no console do Redshift ou usando o comando da CLI [https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-redshift-idc-application.html](https://docs.aws.amazon.com/cli/latest/reference/redshift/delete-redshift-idc-application.html).