将 Redshift 与 Amazon IAM Identity Center 连接来提供单点登录体验 - Amazon Redshift
Redshift 与 Amazon IAM Identity Center 集成的优势用于连接应用程序的管理员角色使用 Amazon IAM Identity Center 通过 Amazon QuickSight 连接到 Amazon Redshift通过 Amazon Redshift 查询编辑器 v2 连接到 Amazon Redshift限制
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将 Redshift 与 Amazon IAM Identity Center 连接来提供单点登录体验

您可以通过可信身份传播来管理用户和组对 Amazon Redshift 数据仓库的访问权限。

Trusted identity propagation 是一项 Amazon IAM Identity Center 功能,已连接的 Amazon Web Services 服务的管理员可以使用它来授予和审计对服务数据的访问权限。对这些数据的访问权限基于用户属性,例如组关联。设置可信身份传播要求已连接的 Amazon Web Services 服务的管理员和 IAM Identity Center 管理员之间进行协作。有关更多信息,请参阅 Prerequisites and considerations

以一个端到端案例来说明,您可以使用 Amazon QuickSight 控制面板或 Amazon Redshift 查询编辑器 v2 来访问 Redshift。在这种情况下,访问权限基于 Amazon IAM Identity Center 组。Redshift 可以确定用户的身份以及他们的组成员资格。AmazonIAM Identity Center 还允许通过 Okta 或 PingOne 等第三方身份提供者 (IdP) 连接和管理身份。

管理员设置 Redshift 与 Amazon IAM Identity Center 之间的连接后,他们可以根据身份提供者的组来配置精细访问权限,以授权用户访问数据。

重要

从 Amazon IAM Identity Center 或连接的身份提供者(IdP)目录中删除用户时,该用户不会自动从 Amazon Redshift 目录中删除。要从 Amazon Redshift 目录中手动删除用户,请运行 DROP USER 命令以完全删除已从 Amazon IAM Identity Center 或 IdP 中移除的用户。有关如何删除用户的更多信息,请参阅《Amazon Redshift 数据库开发人员指南》中的 DROP USER

Redshift 与 Amazon IAM Identity Center 集成的优势

将 Amazon IAM Identity Center 与 Redshift 结合使用,可以在以下方面为企业带来益处:

  • Amazon QuickSight 中的控制面板作者无需重新输入密码,也无需要求管理员设置具有复杂权限的 IAM 角色,即可连接 Redshift 数据来源。

  • Amazon IAM Identity Center 为您在 Amazon 中的员工用户提供了一个中心位置。您可以直接在 Amazon IAM Identity Center 创建用户和群,也可以连接您在基于标准的身份提供者中管理的现有用户和组,例如 Okta、PingOne 或 Microsoft Entra ID(Azure AD)。AmazonIAM Identity Center 将身份验证定向到您为用户和组选择的信任源,并维护一个用户和组的目录以供 Redshift 访问。有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的管理您的身份源支持的身份提供者

  • 通过简单的自动发现和连接功能,您便可与多个 Redshift 集群和工作组共享一个 Amazon IAM Identity Center 实例。这样可以快速添加集群,而无需额外地为每个集群配置 Amazon IAM Identity Center 连接,还可确保所有集群和工作组都能一致地查看用户、其属性和组。请注意,您企业的 Amazon IAM Identity Center 实例必须与要连接的任意 Redshift 数据共享位于同一区域。

  • 由于用户身份已知并与数据访问记录在一起,因此您可以通过在 Amazon CloudTrail 中审计用户的访问,更轻松地满足合规性监管要求。

用于连接应用程序的管理员角色

在将分析应用程序连接到 Amazon IAM Identity Center 托管的 Redshift 应用程序的过程中,以下角色非常关键:

  • 应用程序管理员 – 创建应用程序并配置要与哪些服务启用身份令牌交换。此管理员还需要指定哪些用户或组有权访问应用程序。

  • 数据管理员 – 配置对数据的精细访问权限。Amazon IAM Identity Center 中的用户和组可以映射到特定权限。

使用 Amazon IAM Identity Center 通过 Amazon QuickSight 连接到 Amazon Redshift

以下内容演示在连接到 Redshift 并通过 Amazon IAM Identity Center 管理访问权限时,如何使用 QuickSight 通过 Redshift 进行身份验证:Authorizing connections from QuickSight to Amazon Redshift clusters。这些步骤也适用于 Amazon Redshift Serverless。

使用 Amazon IAM Identity Center 通过 Amazon Redshift 查询编辑器 v2 连接到 Amazon Redshift

完成设置 Amazon IAM Identity Center 与 Redshift 连接的步骤后,用户可以通过基于 Amazon IAM Identity Center 且以命名空间为前缀的身份,访问数据库以及数据库中的相应对象。有关使用查询编辑器 v2 登录身份连接到 Redshift 数据库的更多信息,请参阅使用查询编辑器 v2

使用 Amazon IAM Identity Center 连接到 Amazon Redshift 的优势

使用 Amazon IAM Identity Center 单点登录时,请考虑以下限制:

  • 不支持增强型 VPC:当您对 Amazon Redshift 使用 Amazon IAM Identity Center 单点登录时,不支持增强型 VPC。有关增强型 VPC 的更多信息,请参阅 Amazon Redshift 中的增强型 VPC 路由