上線 - Amazon Redshift
Redshift 叢集註冊Redshift Serverless 命名空間註冊啟用AWS IAM Identity Center身分傳播更改使用者集全域身分

Amazon Redshift 自 2025 年 11 月 1 日起不再支援建立新的 Python UDF。如果您想要使用 Python UDF,請在該日期之前建立 UDF。現有 Python UDF 將繼續正常運作。如需詳細資訊,請參閱部落格文章

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

上線

Redshift 叢集註冊

Redshift 支援建立新的叢集,或從具有 AWS Glue Data Catalog(GDC) 註冊的快照還原叢集。您可以指定此註冊的 GDC 目錄名稱部分。若要支援 IdC 身分傳播,您可以指定 Lakehouse 類型的 Redshift IdC 應用程式 Arn,以啟用 IdC 身分傳播。

使用 Glue 資料目錄註冊建立新的叢集

CLI

若要自動向 Data Catalog 註冊新建立的叢集,請提供用於建立和註冊 Data Catalog 的目錄名稱。redshift-idc-application-arn 參數是選用的 - 如果您想要將叢集與類型為 Lakehouse 的 Redshift IdC 應用程式連結,請加以包含。您也可以稍後建立此 IdC 應用程式關聯。

aws redshift create-cluster \
    --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. 登入 AWS 管理主控台,並在 https://console.aws.amazon.com/redshiftv2/:// 開啟 Amazon Redshift 主控台。

  2. 導覽至佈建叢集儀表板,然後選取建立叢集

  3. 設定您的一般叢集設定。

  4. 在向 註冊 AWS Glue Data Catalog區段中,選取向 Amazon Redshift 註冊聯合許可

    • 輸入目錄名稱識別符。

    • (建議) 選取 Amazon Redshift 聯合許可AWS IAM Identity Center,使用 與 Redshift IDC 應用程式建立關聯。

  5. 完成剩餘的叢集設定,然後選擇建立叢集

使用AWS Glue Data Catalog註冊還原新的叢集

CLI

若要將快照還原至具有AWS Glue Data Catalog整合的新叢集,請提供用於建立和註冊AWS Glue目錄的目錄名稱。redshift-idc-application-arn 參數是選用的 - 如果您想要將叢集與類型為 Lakehouse 的 Redshift IdC 應用程式連結,請加以包含。您也可以稍後建立此 IdC 集合關聯。

aws redshift restore-from-cluster-snapshot \
   --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --snapshot-identifier 'redshift-cluster-snapshot' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>
Console

  1. 登入 AWS 管理主控台,並在 https://console.aws.amazon.com/redshiftv2/:// 開啟 Amazon Redshift 主控台。

  2. 導覽至佈建快照頁面。從快照資料表中,從還原快照下拉式功能表中選取還原至佈建的叢集

  3. 設定一般叢集設定。

  4. 在向 註冊 AWS Glue Data Catalog區段中,選取向 Amazon Redshift 註冊聯合許可

    • 輸入目錄名稱識別符。

    • (建議) 選取 Amazon Redshift 聯合許可AWS IAM Identity Center,使用 與 Redshift IDC 應用程式建立關聯。

  5. 完成剩餘的叢集設定,然後選擇建立叢集

修改具有AWS Glue Data Catalog註冊的現有叢集

如果您的 Redshift 叢集已與非 Lakehouse 類型的 Redshift IdC 應用程式相關聯,AWS Glue Data Catalog則註冊期間會發生下列情況:

  • 未提供 Redshift IdC 應用程式 ARN 時,目錄中現有的 Redshift IdC 應用程式將設定為停用狀態。

  • 指定來自不同AWS IAM Identity Center執行個體的 Lakehouse 類型的 Redshift IdC 應用程式時,目前的 IdC 供應商會停用

  • 提供來自相同AWS IAM Identity Center執行個體的 Lakehouse 類型的 Redshift IdC 應用程式時

    • 目錄中的 Redshift IdC 應用程式 ARN 將變更為 Lakehouse 類型的 Redshift IdC 應用程式 ARN。可透過查詢 sv_identity_providers 來檢查更新的目錄。如需 svv_identity_providers 的詳細資訊,請參閱 sv_identity_providers

    • AWS IAM Identity Center先前可存取 Redshift 叢集的聯合身分使用者,必須由管理員明確授予 CONNECT 權限以存取叢集。如需授予 CONNECT 權限的詳細資訊,請參閱 Connect 權限

    • 向 AWS IAM Identity Center註冊後AWS Glue Data Catalog,您現有的聯合身分及其擁有的資源保持不變。這些聯合身分的命名空間關聯也會保留。

CLI

您可以使用 modify-lakehouse-configuration命令向 註冊叢集AWS Glue Data Catalog, catalog-name用於建立和註冊您的AWS Glue目錄。若要支援 IdC 身分傳播,請指定您 Lakehouse 類型的 ARN RedshiftIdcApplication,這需要類型為 Lakehouse 的 Redshift IdC 應用程式,請參閱建立新的 Lakehouse 類型 Redshift IdC 應用程式:具有聯合許可的 Redshift Warehouse 的 Identity Center Application Configuration

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. 登入 AWS 管理主控台,並在 https://console.aws.amazon.com/redshiftv2/:// 開啟 Amazon Redshift 主控台。

  2. 導覽至您要註冊的佈建叢集,然後選取它。

  3. 從叢集的詳細資訊頁面,從動作下拉式功能表中選取向 註冊AWS Glue Data Catalog

  4. 選取向 Amazon Redshift 註冊聯合許可選項和

    • 輸入目錄名稱識別符。

    • (建議) 選取 Amazon Redshift 聯合許可AWS IAM Identity Center,使用 與 Redshift IDC 應用程式建立關聯,然後選擇註冊

Redshift Serverless 命名空間註冊

Redshift Serverless 可讓工作群組連接的 Serverless 命名空間註冊AWS Glue Data Catalog。請注意,您的資料庫將在此更新期間重新啟動。

如果您的 Redshift Serverless 命名空間已與非 Lakehouse 類型的 Redshift IdC 應用程式相關聯,則 Glue Data Catalog 註冊期間會發生下列情況:

  • 未提供 Redshift IdC 應用程式 ARN 時,目錄中現有的 Redshift IdC 應用程式將設定為停用狀態。

  • 指定來自不同AWS IAM Identity Center執行個體的 Lakehouse 類型的 Redshift IdC 應用程式時,目前的 IdC 供應商會停用

  • 提供來自相同AWS IAM Identity Center執行個體的 Lakehouse 類型的 Redshift IdC 應用程式時

    • 目錄中的 Redshift IdC 應用程式 ARN 將變更為 Lakehouse 類型的 Redshift IdC 應用程式 ARN。可透過查詢 sv_identity_providers 來檢查更新的目錄。如需 svv_identity_providers 的詳細資訊,請參閱 sv_identity_providers

    • AWS IAM Identity Center先前可存取 Redshift 叢集的聯合身分使用者,必須由管理員明確授予 CONNECT 權限以存取叢集。如需授予 CONNECT 權限的詳細資訊,請參閱 Connect 權限

    • 向 AWS IAM Identity Center註冊後AWS Glue Data Catalog,您現有的聯合身分及其擁有的資源保持不變。這些聯合身分的命名空間關聯也會保留。

CLI

您可以使用 update-lakehouse-configuration命令向 註冊 Redshift Serverless 命名空間AWS Glue Data Catalog, catalog-name 用於建立和註冊您的黏附目錄。若要支援 IdC 身分傳播,請指定類型為 Lakehouse 的 Redshift Idc 應用程式。

aws redshift-serverless update-lakehouse-configuration \
    --namespace-name 'serverless-namespace-name' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17'
Console

  1. 登入 AWS 管理主控台,並在 https://console.aws.amazon.com/redshiftv2/:// 開啟 Amazon Redshift 主控台。

  2. 導覽至您要註冊的佈建叢集,然後選取它。

  3. 從叢集的詳細資訊頁面,從動作下拉式功能表中選取向 註冊AWS Glue Data Catalog

  4. 選取向 Amazon Redshift 註冊聯合許可選項和

    • 輸入目錄名稱識別符。

    • (建議) 選取 Amazon Redshift 聯合許可AWS IAM Identity Center,使用 與 Redshift IDC 應用程式建立關聯,然後選擇註冊

啟用AWS IAM Identity Center身分傳播

Amazon Redshift 支援 Identity Center (IdC) 身分傳播,以在 Redshift 執行個體和AWS Lake Formation/AWS Glue服務之間無縫傳遞 IdC 使用者身分。

先決條件

如果您的 Redshift 叢集或 Redshift Serverless 命名空間已與 Lakehouse 以外的類型 Redshift IdC 應用程式相關聯,AWS Glue Data Catalog則註冊期間會發生下列情況:

  • 未提供 Redshift IdC 應用程式 ARN 時,目錄中現有的 Redshift IdC 應用程式將設定為停用狀態。

  • 指定來自不同AWS IAM Identity Center執行個體的 Lakehouse 類型的 Redshift IdC 應用程式時,目前的 IdC 供應商會停用

  • 提供來自相同AWS IAM Identity Center執行個體的 Lakehouse 類型的 Redshift IdC 應用程式時

    • 目錄中的 Redshift IdC 應用程式 ARN 將變更為 Lakehouse 類型的 Redshift IdC 應用程式 ARN。可透過查詢 sv_identity_providers 來檢查更新的目錄。如需 svv_identity_providers 的詳細資訊,請參閱 sv_identity_providers

    • AWS IAM Identity Center先前可存取 Redshift 叢集的聯合身分使用者,必須由管理員明確授予 CONNECT 權限以存取叢集。如需授予 CONNECT 權限的詳細資訊,請參閱 Connect 權限

    • 向 AWS IAM Identity Center註冊後AWS Glue Data Catalog,您現有的聯合身分及其擁有的資源保持不變。這些聯合身分的命名空間關聯也會保留。

啟用 Amazon Redshift 佈建叢集的AWS IAM Identity Center身分傳播

對於註冊其命名空間的 Amazon Redshift 佈建叢集AWS Glue Data Catalog,它需要 Lakehouse Amazon Redshift IdC 應用程式,不需要明確將AWS IAM Identity Center身分使用者指派給應用程式,IdC 使用者登入權限由 Redshift 倉儲上的 CONNECT 權限管理。

CLI

您可以使用 modify-lakehouse-configuration命令,為具有 Redshift 聯合許可的叢集啟用 IdC 身分傳播,指定您 Lakehouse 類型的 Arn RedshiftIdcApplication,這需要 Redshift Lakehouse IdC 應用程式,請參閱使用聯合許可建立新的 Lakehouse 類型 Redshift IdC 應用程式:Redshift Warehouse 的 Identity Center 應用程式組態

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. 登入 AWS 管理主控台,並在 https://console.aws.amazon.com/redshiftv2/:// 開啟 Amazon Redshift 主控台。

  2. 導覽至您要註冊的佈建叢集,然後選取它。

  3. 從叢集的詳細資訊頁面,從動作下拉式功能表中選取向 註冊AWS Glue Data Catalog

  4. 使用AWS IAM Identity Center下拉式清單關聯 IDC 應用程式,從 Amazon Redshift 聯合許可中選取啟用,然後選擇儲存變更

啟用 Amazon Redshift Serverless 命名空間的AWS IAM Identity Center身分傳播

CLI

您可以使用 modify-lakehouse-configuration命令,為具有 Redshift 聯合許可的命名空間啟用 IdC 身分傳播,指定您 Lakehouse 類型的 Arn RedshiftIdcApplication,這需要 Redshift Lakehouse IdC 應用程式,請參閱使用聯合許可建立新的 Lakehouse 類型 Redshift IdC 應用程式:Redshift Warehouse 的 Identity Center 應用程式組態

aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
Console

  1. 登入 AWS 管理主控台,並在 https://console.aws.amazon.com/redshiftv2/:// 開啟 Amazon Redshift 主控台。

  2. 導覽至您要編輯註冊的無伺服器命名空間,並加以選取。

  3. 從叢集的詳細資訊頁面,從動作下拉式功能表中選取編輯AWS Glue Data Catalog註冊

  4. 使用AWS IAM Identity Center下拉式清單關聯 IDC 應用程式,從 Amazon Redshift 聯合許可中選取啟用,然後選擇儲存變更

更改使用者集全域身分

除了 IAM 和 AWS IAM Identity Center登入資料之外,對具有聯合許可的 Redshift 倉儲執行查詢的使用者也可以使用 IAM 角色進行身分驗證。超級使用者可以為另一個非聯合身分使用者設定 IAM 角色,以在工作階段建立時自動建立關聯,並且在使用聯合身分許可對 Redshift 倉儲進行查詢時,將擔任此 IAM 角色。提供此功能是為了允許AWSIdC 使用者以非互動方式進行身分驗證。

此功能適用於下列使用案例:

  • 除了具有全域身分的使用者之外,還有具有現有本機倉儲使用者的大型複雜設定的客戶。

  • 使用 IdC,但希望能夠在不使用互動式瀏覽器動作的情況下自動登入的客戶。

要求與限制

  • 只有超級使用者可以透過 設定 IAM 角色ALTER USER

  • IAM 角色必須連接到叢集。

  • IAM 角色必須具有許可,才能存取在具有聯合許可的 Redshift 倉儲上執行查詢所需的資源。建議使用 AmazonRedshiftFederatedAuthorizationAWS受管政策。

  • 透過 GLOBAL IDENTITY IAM 角色驗證的使用者可以使用聯合許可查詢 Redshift 倉儲中的檢視,但無法建立、ALTER、REFRESH 或 DROP。

語法

下列語法說明用於為非聯合資料庫使用者設定 IAM 角色的ALTER USER SET GLOBAL IDENTITY命令,以使用聯合許可對 Redshift Warehouses 執行查詢。

ALTER USER username SET
GLOBAL IDENTITY IAM_ROLE 'arn:aws:iam::<AWS-account-id>:role/<role-name>'

現在,當驗證為目標使用者時 (直接連接為使用者名稱,或使用 SET SESSION AUTHORIZATION ),您可以使用 檢查全域身分角色

SHOW GLOBAL IDENTITY

請注意,建立工作階段時,全域身分角色會與使用者建立關聯。如果您為目前登入的使用者設定全域身分,該使用者將需要重新連線,全域身分才會生效。

下列命令可用來移除相關聯的 IAM 角色。

ALTER USER username RESET GLOBAL IDENTITY

Parameters

使用者名稱

使用者的名稱。不能是聯合身分使用者,例如 IAM 使用者或AWSIdC 使用者。

IAM_ROLE 'arn:aws:iam::<account-id>:role/<role-name>'

當使用者使用者名稱在具有聯合許可的 Redshift 倉儲上執行查詢時,請將 Amazon Resource Name (ARN) 用於叢集用於身分驗證和授權的 IAM 角色。此角色需要具有執行查詢所需的許可。建議使用 AmazonRedshiftFederatedAuthorizationAWS受管政策。