Uso de la autenticación de IAM para generar credenciales de usuario de base de datos - Amazon Redshift

Uso de la autenticación de IAM para generar credenciales de usuario de base de datos

Puede generar credenciales temporales de base de datos basadas en los permisos concedidos a través de una política de permisos de AWS Identity and Access Management (IAM) para administrar el acceso que los usuarios tienen a su base de datos de Amazon Redshift.

Normalmente, los usuarios de bases de datos de Amazon Redshift inician sesión en la base de datos proporcionando un nombre de usuario y una contraseña de la base de datos. No obstante, no es necesario mantener los nombres de usuario y las contraseñas en la base de datos de Amazon Redshift. Como alternativa, puede configurar el sistema para permitir que los usuarios creen credenciales de usuario e inicien sesión en la base de datos en función de sus credenciales de IAM.

Amazon Redshift proporciona la operación de la API GetClusterCredentials para generar credenciales temporales de usuario de la base de datos. Puede configurar su cliente SQL con controladores JDBC u ODBC de Amazon Redshift que administren el proceso de llamar a la operación GetClusterCredentials. Para ello, recuperan las credenciales de usuario de la base de datos y establecen una conexión entre su cliente SQL y la base de datos de Amazon Redshift. También puede usar la aplicación de base de datos para llamar mediante programación a la operación GetClusterCredentials, recuperar las credenciales de usuario de base de datos y conectarse a la base de datos.

Si ya administra identidades de usuario fuera de AWS, puede utilizar un proveedor de identidades (IdP) conforme con el lenguaje de marcado para confirmaciones de seguridad (SAML) 2.0 para administrar el acceso a los recursos de Amazon Redshift. Puede utilizar su IdP para permitir a los usuarios federados tener acceso a un rol de IAM. Con ese rol de IAM, puede generar credenciales de base de datos temporales e iniciar sesión en las bases de datos de Amazon Redshift.

Su cliente SQL necesita permiso para llamar a la operación GetClusterCredentials en su nombre. Estos permisos se administran creando un rol de IAM y asociando una política de permisos de IAM que conceda o restrinja el acceso a la operación GetClusterCredentials y acciones relacionadas. Como práctica recomendada, aconsejamos asociar las políticas de permisos a un rol de IAM y luego asignarlo a los usuarios y grupos según sea necesario. Para obtener más información, consulte Administración de identidades y accesos en Amazon Redshift.

La política también concede o restringe el acceso a recursos específicos, como clústeres, bases de datos, nombres de usuario de base de datos y nombres de grupos de usuarios de Amazon Redshift.

nota

Le recomendamos que utilice los controladores JDBC u ODBC de Amazon Redshift para administrar el proceso de llamar a la operación GetClusterCredentials e iniciar sesión en la base de datos. Para simplificar, asumimos que en este tema utiliza un cliente SQL con los controladores JDBC u ODBC.

Para obtener detalles concretos y ejemplos del uso de la operación GetClusterCredentials o del comando paralelo de la CLI get-cluster-credentials, vea GetClusterCredentials y get-cluster-credentials.

Para administrar la autenticación y la autorización de forma centralizada, Amazon Redshift admite la autenticación de base de datos con IAM, lo que permite la autenticación de usuarios a través de la federación de empresas. En lugar de crear un usuario, puede utilizar las identidades existentes de AWS Directory Service, el directorio de usuarios de su empresa o un proveedor de identidades web. A estas identidades se las conoce como usuarios federados. AWS asigna un rol a un usuario federado cuando se solicita acceso a través de un IdP.

Para proporcionar acceso federado a un usuario o una aplicación cliente de la organización para llamar a las operaciones de la API de Amazon Redshift, también puede utilizar el controlador JDBC u ODBC compatible con SAML 2.0 para solicitar la autenticación del IdP de la organización. En este caso, los usuarios de la organización no tienen acceso directo a Amazon Redshift.

Para obtener más información, consulte Federación y proveedores de identidades en la Guía del usuario de IAM.