本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Amazon Redshift 的可信身份传播
启用可信身份传播的步骤取决于您的用户是与托管应用程序交互还是与客户 Amazon 托管的应用程序进行交互。下图显示了面向客户端的应用程序(无论是 Amazon 托管的还是外部的)的可信身份传播配置,这些应用程序通过Amazon Redshift或授权服务(例如Amazon S3)提供的访问控制来查询 Amazon Redshift 数据。 Amazon Amazon Lake Formation Access Grants
![\[使用 Amazon Redshift、Quick、Lake Formation 和 IAM 身份中心进行可信身份传播示意图\]](http://docs.amazonaws.cn/singlesignon/latest/userguide/images/rs-tip-diagram.png)
启用面向 Amazon Redshift 的可信身份传播后,Redshift 管理员可以将 Redshift 配置为[自动创建角色](https://docs.amazonaws.cn//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html)(以 IAM Identity Center 作为身份提供者)、将 Redshift 角色映射到 IAM Identity Center 中的组,并使用 [Redshift 基于角色的访问控制授予访问权限](https://docs.amazonaws.cn//redshift/latest/dg/r_tutorial-RBAC.html)。
## 支持的面向客户端的应用程序
**Amazon 托管应用程序**
以下面向客户的 Amazon 托管应用程序支持向 Amazon Redshift 传播可信身份:
+ [Amazon RedshiftQuery Editor V2](setting-up-tip-redshift.md)
+ [快点](https://docs.amazonaws.cn//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**注意**
如果您使用 Amazon Redshift Spectrum 访问 Amazon Glue Data Catalog中的外部数据库或表,建议设置 [Lake Formation](tip-tutorial-lf.md) 和 [Amazon S3 Access Grants](tip-tutorial-s3.md) 以提供细粒度访问控制。
**客户托管的应用程序**
以下客户自主管理型应用程序支持面向 Amazon Redshift 的可信身份传播:
+ **Tableau**,包括 Tableau Desktop、Tableau Server 和 Tableau Prep
+ 要为 Tableau 用户启用可信身份传播,请参阅《*Amazon 大数据博客*》中的[使用 IAM Identity Center 将 Tableau 和 Okta 与 Amazon Redshift 集成](https://www.amazonaws.cn/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/)。
+ **SQL 客户端**(DBeaver 和 DBVisualizer)
+ 要为 SQL 客户端(DBeaver 和 DBVisualizer)用户启用可信身份传播,请参阅《*Amazon 大数据博客*》中的[使用 IAM Identity Center 将身份提供者(IdP)与 Amazon Redshift 查询编辑器 V2 和 SQL 客户端集成以实现无缝单点登录](https://www.amazonaws.cn/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)。