Amazon Redshift 联合身份验证权限 - Amazon Redshift
重要概念优势应用场景
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

从 2025 年 11 月 1 日起,Amazon Redshift 将不再支持创建新的 Python UDF。如果您想要使用 Python UDF,请在该日期之前创建 UDF。现有的 Python UDF 将继续正常运行。有关更多信息,请参阅博客文章

Amazon Redshift 联合身份验证权限

通过 Amazon Redshift 联合身份验证权限,您可以定义一次数据权限,然后对您 Amazon Web Services 账户中的所有仓库自动强制实施这些权限,从而简化跨多个 Redshift 数据仓库的权限管理工作。这样您就无需跨多个仓库重新定义和管理权限以及实施精细的访问控制策略。

当您将 Redshift 仓库命名空间/集群注册到 Amazon Glue Data Catalog 中时,注册的仓库命名空间/集群中的所有数据库都会自动挂载到每个仓库中,这样您无需手动配置即可实现无缝的数据搜索。

您可以使用熟悉的 Redshift SQL 命令,通过 Amazon Identity and Access Management(IAM)或 Amazon IAM Identity Center 指定全局身份,以此来定义数据库对象的权限。这些权限与仓库数据一起存储,无论哪个仓库执行查询,都会一致地强制实施权限。

重要概念

  • 具有联合身份验证权限的 Redshift 仓库:在 Data Catalog 中注册并用于存储数据和 Redshift 权限的生产者仓库。

  • 使用中的 Redshift 仓库:任何从远程仓库查询数据的仓库。使用中的仓库可以选择性地启用 Redshift 联合身份验证权限。

  • 全局身份:IAM 和 IAM Identity Center 为启用 Redshift 联合身份验证权限的所有仓库提供全局身份。用户通过其现有的身份提供商进行一次身份验证,然后根据其全局身份获得一致的访问权限,而无论用户连接到哪个仓库。

  • 自动挂载:启用 Redshift 联合身份验证权限的所有仓库都会自动在您账户内的所有仓库中可见。这种自动挂载功能实现了用于跨仓库分析的目录和数据库发现。

  • 身份传播:当您执行跨仓库查询时,Redshift 会将您的全局身份(IAM 角色或 IAM Identity Center 用户)传播到远程仓库。

  • 跨仓库授权:启用了 Redshift 联合身份验证权限的远程仓库可验证您的权限是否可用于跨仓库查询,以及对使用中的仓库强制实施这样的权限。

  • 精细访问控制:可以跨仓库强制实施的行级别安全性(RLS)、列级别策略(CLP)和动态数据掩蔽(DDM)。

优势

简化管理

  • 对仓库定义一次权限

  • 对所有使用中的仓库自动强制实施相同的权限

  • 无需跨多个仓库重新定义和管理权限以及实施精细访问控制策略。

  • 减少管理开销和可能出现的配置错误

增强了安全性与合规性

  • 确保在所有仓库中强制实施一致的安全策略

  • 在表级别和列级别实施精细的访问控制

  • 对任何仓库的审计权限

  • 使用额外的 SHOW 命令增强了合规性工具

改善了用户体验

  • 只需注册一次,无需手动创建数据共享

  • 跨所有仓库的单点登录,基于全局身份获取一致的访问权限

  • 无需手动配置目录即可实现无缝的命名空间发现

  • 无需在每个仓库中管理单独的本地用户账户

横向可扩展性

  • 添加新仓库而不会增加治理复杂性

  • 新的使用中的仓库会自动强制实施权限策略

  • 分析师可以立即看到注册仓库中的所有数据库

应用场景

实现工作负载隔离并采用统一治理措施

为不同的工作负载(ETL、分析、报告)隔离计算资源,同时在所有仓库中维护一致的安全策略。

多团队数据访问

使多个团队能够访问自己仓库中的共享数据,同时自动强制实施适当的访问控制。

数据网格架构

实施数据网格方法,这样多个独立的计算资源能够对共享数据进行操作,并采用统一的治理措施。

成本优化

针对不同的使用案例独立扩展计算资源,同时维护集中式权限管理。