將 Redshift 與 AWSIAM Identity Center 連線,以獲得單一登入體驗 - Amazon Redshift
Redshift 與 IAM Identity Center AWS整合的優勢連接應用程式的管理員角色透過 使用 IAM Identity Center 連線至 AWSAmazon Redshift Amazon Quick Suite透過 Amazon Redshift 查詢編輯器 v2 連線至 Amazon Redshift限制

Amazon Redshift 自 2025 年 11 月 1 日起不再支援建立新的 Python UDF。如果您想要使用 Python UDF,請在該日期之前建立 UDF。現有 Python UDF 將繼續正常運作。如需詳細資訊,請參閱部落格文章

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 Redshift 與 AWSIAM Identity Center 連線,以獲得單一登入體驗

您可以透過信任身分傳播來管理使用者和群組對 Amazon Redshift 資料倉儲的存取。

信任的身分傳播是一項AWS IAM Identity Center功能,連線的管理員AWS 服務可以使用此功能來授予和稽核服務資料的存取權。存取此資料是根據使用者屬性,例如群組關聯。設定信任的身分傳播需要連線的管理員AWS 服務與 IAM Identity Center 管理員之間的協同合作。如需詳細資訊,請參閱先決條件和考量

若要說明一個end-to-end案例,您可以使用Amazon Quick Suite儀表板或 Amazon Redshift 查詢編輯器 v2 來存取 Redshift。在這種情況下,存取權是以 AWSIAM Identity Center 群組為基礎。Redshift 可以判斷使用者是誰及其群組成員資格。AWSIAM Identity Center 也可以透過 Okta 或 PingOne 等第三方身分提供者 (IdP) 來連接和管理身分。

在管理員設定 Redshift 和 IAM Identity Center AWS之間的連線之後,他們可以根據身分提供者群組設定精細存取,以授權使用者存取資料。

重要

當您從 IAM Identity Center AWS或連線身分提供者 (IdP) 目錄刪除使用者時,使用者不會自動從 Amazon Redshift 目錄中刪除。若要從 Amazon Redshift 目錄手動刪除使用者,請執行 DROP USER命令以完全刪除從 IAM Identity Center AWS或 IdP 移除的使用者。如需如何捨棄使用者的詳細資訊,請參閱《Amazon Redshift 資料庫開發人員指南》中的 DROP USER

Redshift 與 IAM Identity Center AWS整合的優勢

搭配 Redshift 使用 AWSIAM Identity Center 可透過下列方式讓您的組織受益:

  • 中的儀表板作者Amazon Quick Suite可以連線到 Redshift 資料來源,而無需重新輸入密碼或要求管理員設定具有複雜許可的 IAM 角色。

  • AWSIAM Identity Center 為您的人力資源使用者提供集中位置AWS。您可以直接在 AWSIAM Identity Center 中建立使用者和群組,或連接您在標準型身分提供者中管理的現有使用者和群組,例如 Okta、PingOne 或 Microsoft Entra ID (Azure AD)。AWSIAM Identity Center 會將身分驗證導向使用者和群組的所選事實來源,並維護使用者和群組的目錄,以供 Redshift 存取。如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的管理身分來源支援的身分提供者

  • 您可以使用簡單的自動探索和連線功能,與多個 Redshift 叢集和工作群組共用一個 AWSIAM Identity Center 執行個體。這可讓您快速新增叢集,而無需額外努力為每個叢集設定 AWSIAM Identity Center 連線,並確保所有叢集和工作群組都有一致的使用者、其屬性和群組檢視。請注意,組織的 AWSIAM Identity Center 執行個體必須與您連線的任何 Redshift 資料共用位於相同的區域。

  • 由於使用者身分是已知且會隨著資料存取而被記錄,因此您可以更輕鬆地透過稽核中的使用者存取權來符合法規AWS CloudTrail。

連接應用程式的管理員角色

以下是將分析應用程式連線至適用於 Redshift 的 AWS IAM Identity Center 受管應用程式的關鍵角色:

  • 應用程式管理員 — 建立應用程式,並設定應用程式將啟用哪些服務來交換身分字符。此管理員也會指定哪些使用者或群組可存取應用程式。

  • 資料管理員 — 設定對資料的精細存取權限。IAM Identity Center AWS中的使用者和群組可以映射到特定許可。

透過 使用 IAM Identity Center 連線至 AWSAmazon RedshiftAmazon Quick Suite

以下說明如何使用 Quick Suite 在連線至 Redshift 時向 Redshift 進行身分驗證,並透過 IAM Identity Center AWS管理存取:授權從 Quick Suite 到 Amazon Redshift 叢集的連線。這些步驟也適用於 Amazon Redshift Serverless。

透過 Amazon Redshift 查詢編輯器 v2 使用 AWSIAM Identity Center 連線至 Amazon Redshift

完成設定與 Redshift 的 AWSIAM Identity Center 連線的步驟後,使用者可以透過以 AWSIAM Identity Center 為基礎的命名空間字首身分,存取資料庫中的資料庫和適當的物件。如需有關使用查詢編輯器 v2 登入連線至 Redshift 資料庫的詳細資訊,請參閱 使用查詢編輯器 v2 查詢資料庫

使用 IAM Identity Center 連線至 Amazon Redshift AWS的限制

使用 AWSIAM Identity Center 單一登入時,請考慮下列限制:

  • 不支援增強型 VPC – 當您為 Amazon Redshift 使用 AWSIAM Identity Center 單一登入時,不支援增強型 VPC。如需增強型 VPC 的詳細資訊,請參閱 Amazon Redshift 中的增強型 VPC 路由