ID プロバイダーを作成する - Amazon Redshift
構文パラメータ

ID プロバイダーを作成する

新しい ID プロバイダーを定義します。スーパーユーザーのみが ID プロバイダーを作成できます。

構文

CREATE IDENTITY PROVIDER identity_provider_name TYPE type_name
NAMESPACE namespace_name
[PARAMETERS parameter_string]
[APPLICATION_ARN arn]
[IAM_ROLE iam_role]
[AUTO_CREATE_ROLES
    [ TRUE [ { INCLUDE | EXCLUDE } GROUPS LIKE filter_pattern] |
      FALSE
    ]
  ];

パラメータ

identity_provider_name

ID プロバイダーの名前。有効な名前の詳細については、「名前と識別子」を参照してください。

type_name

インターフェイスとなる ID プロバイダー。Azure は現在、唯一サポートされている ID プロバイダーです。

namespace_name

名前空間。これは、ID プロバイダーディレクトリの一意の簡略化された識別子です。

parameter_string

ID プロバイダーに必要なパラメータと値を含む、適切にフォーマットされた JSON オブジェクトを含む文字列。

arn

IAM アイデンティティセンターのマネージドアプリケーションの Amazon リソースネーム (ARN)。このパラメータは、ID プロバイダーのタイプが AWSIDC である場合にのみ適用されます。

iam_role

IAM アイデンティティセンターに接続するためのアクセス許可を提供する IAM ロール。このパラメータは、ID プロバイダーのタイプが AWSIDC である場合にのみ適用されます。

auto_create_roles

ロールの自動作成機能を有効または無効にします。SQL でオプションが指定されていない場合、デフォルトは FALSE、オプションが指定されているが値が指定されていない場合、デフォルトは TRUE です。

グループを含めるには、INCLUDE を指定します。デフォルトは空です。つまり、AUTO_CREATES_ROLES がオンの場合、すべてのグループが含まれます。

グループを除外するには、EXCLUDE を指定します。デフォルトは空です。つまり、AUTO_CREATES_ROLES がオンの場合、グループは除外されません。

次の例では、Microsoft Azure Active Directory (AD) との通信を確立する oauth_standard という名前の ID プロバイダーを TYPE Azure で作成します。

CREATE IDENTITY PROVIDER oauth_standard TYPE azure
NAMESPACE 'aad'
PARAMETERS '{"issuer":"https://sts.windows.net/2sdfdsf-d475-420d-b5ac-667adad7c702/",
"client_id":"87f4aa26-78b7-410e-bf29-57b39929ef9a",
"client_secret":"BUAH~ewrqewrqwerUUY^%tHe1oNZShoiU7",
"audience":["https://analysis.windows.net/powerbi/connector/AmazonRedshift"]
}'

IAM アイデンティティセンターのマネージドアプリケーションは、既存のプロビジョニングされたクラスターまたは Amazon Redshift Serverless ワークグループに接続できます。これにより、IAM アイデンティティセンターを通じて Redshift データベースへのアクセスを管理できます。これを行うには、次の例に示すような SQL コマンドを実行します。データベース管理者である必要があります。

CREATE IDENTITY PROVIDER "redshift-idc-app" TYPE AWSIDC
NAMESPACE 'awsidc'
APPLICATION_ARN 'arn:aws:sso::123456789012:application/ssoins-12345f67fe123d4/apl-a0b0a12dc123b1a4'
IAM_ROLE 'arn:aws:iam::123456789012:role/MyRedshiftRole';

この例のアプリケーション ARN は、接続先のマネージドアプリケーションを識別します。これは、SELECT * FROM SVV_IDENTITY_PROVIDERS; を実行することで確認できます。

その他の例を含め、CREATE IDENTITY PROVIDER の使用方法の詳細については、「Amazon Redshift 用のネイティブ ID プロバイダー (IdP) フェデレーション」を参照してください。Redshift から IAM アイデンティティセンターへの接続の設定の詳細については、「Redshift を IAM アイデンティティセンターに接続してユーザーにシングルサインオンエクスペリエンスを提供する」を参照してください。