Présentation

Amazon Redshift fournit l'GetClusterCredentialsAPIopération permettant de générer des informations d'identification utilisateur temporaires pour la base de données. Vous pouvez configurer votre SQL client avec Amazon Redshift JDBC ou des ODBC pilotes qui gèrent le processus d'appel de l'GetClusterCredentialsopération. Pour ce faire, ils récupèrent les informations d'identification de l'utilisateur de la base de données et établissent une connexion entre votre SQL client et votre base de données Amazon Redshift. Vous pouvez également utiliser votre application de base de données pour appeler par programmation l'opération GetClusterCredentials, récupérer les informations d'identification de l'utilisateur de base de données et vous connecter à la base de données.

Si vous gérez déjà les identités des utilisateurs en externe AWS, vous pouvez utiliser un fournisseur d'identité (IdP) conforme au Security Assertion Markup Language (SAML) 2.0 pour gérer l'accès aux ressources Amazon Redshift. Vous configurez votre IdP pour autoriser vos utilisateurs fédérés à accéder à un rôle. IAM Avec ce IAM rôle, vous pouvez générer des informations d'identification de base de données temporaires et vous connecter aux bases de données Amazon Redshift.

Votre SQL client a besoin d'une autorisation pour appeler l'GetClusterCredentialsopération à votre place. Vous gérez ces autorisations en créant un IAM rôle et en y joignant une politique d'IAMautorisation qui accorde ou restreint l'accès à l'GetClusterCredentialsopération et aux actions associées. Il est recommandé d'associer des politiques d'autorisation à un IAM rôle, puis de l'attribuer aux utilisateurs et aux groupes selon les besoins. Pour plus d’informations, consultez Identity and Access Management dans Amazon Redshift.

La politique accorde ou restreint également l'accès à des ressources spécifiques, telles que des clusters Amazon Redshift, des bases de données, des noms d'utilisateur de base de données et des noms de groupes d'utilisateurs.

Note

Nous vous recommandons d'utiliser Amazon Redshift JDBC ou des ODBC pilotes pour gérer le processus d'appel de l'GetClusterCredentialsopération et de connexion à la base de données. Pour des raisons de simplicité, nous partons du principe que vous utilisez un SQL client avec les ODBC pilotes JDBC or dans cette rubrique.

Pour des détails spécifiques et des exemples d'utilisation de l'GetClusterCredentialsopération ou de la get-cluster-credentials CLI commande parallel, reportez-vous GetClusterCredentialsaux sections et get-cluster-credentials.

Pour gérer l'authentification et l'autorisation de manière centralisée, Amazon Redshift prend en charge l'authentification des bases de données avecIAM, en activant l'authentification des utilisateurs par le biais de la fédération d'entreprise. Au lieu de créer un utilisateur, vous pouvez utiliser des identités d'utilisateur préexistantes provenant d' AWS Directory Service, de l'annuaire d'utilisateurs de votre entreprise ou d'un fournisseur d'identité web. Ils sont appelés utilisateurs fédérés. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé via un IdP.

Pour fournir un accès fédéré à un utilisateur ou à une application cliente de votre organisation afin d'appeler les opérations Amazon API Redshift, vous pouvez également utiliser JDBC le pilote ODBC or compatible 2.0 pour demander l'authentification SAML auprès de l'IdP de votre organisation. Dans ce cas, les utilisateurs de l'organisation ne disposent pas d'un accès direct à Amazon Redshift.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation de l'IAMauthentification pour générer des informations d'identification utilisateur de base de données

Création d'IAMinformations d'identification temporaires