將 Redshift 與 AWS IAM Identity Center 連線,以獲得單一登入體驗 - Amazon Redshift
Redshift 與 IAM Identity Center AWS 整合的優勢連接應用程式的管理員角色透過 使用 IAM Identity Center AWS 連線至 Amazon Redshift Amazon QuickSight透過 Amazon Redshift 查詢編輯器 v2 連線至 Amazon Redshift限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 Redshift 與 AWS IAM Identity Center 連線,以獲得單一登入體驗

您可以透過信任身分傳播來管理使用者和群組對 Amazon Redshift 資料倉儲的存取。這可透過 Redshift 和 IAM Identity Center AWS 之間的連線運作,為您的使用者提供單一登入體驗。這樣您就可以從目錄導入使用者和群組,並直接將權限指派給他們。隨後此連線會支援繫結其他工具和服務。若要說明一個end-to-end案例,您可以使用 Amazon QuickSight 儀表板或 Amazon Redshift 查詢編輯器 v2 來存取 Redshift。在這種情況下,存取權是以 IAM Identity Center AWS 群組為基礎。Redshift 可以判斷使用者是誰及其群組成員資格。 AWS IAM Identity Center 也可以透過 Okta 或 PingOne 等第三方身分提供者 (IdP) 來連接和管理身分。

管理員設定 Redshift 和 IAM Identity Center AWS 之間的連線後,他們可以根據身分提供者群組設定精細存取,以授權使用者存取資料。

重要

當您從 IAM Identity Center AWS 或連線身分提供者 (IdP) 目錄刪除使用者時,使用者不會自動從 Amazon Redshift 目錄中刪除。若要從 Amazon Redshift 目錄手動刪除使用者,請執行 DROP USER命令以完全刪除從 IAM Identity Center AWS 或 IdP 移除的使用者。如需如何捨棄使用者的詳細資訊,請參閱《Amazon Redshift 資料庫開發人員指南》中的 DROP USER

Redshift 與 IAM Identity Center AWS 整合的優勢

搭配 Redshift 使用 AWS IAM Identity Center 可透過下列方式讓您的組織受益:

  • 中的儀表板作者 Amazon QuickSight 可以連接到 Redshift 資料來源,而無需重新輸入密碼或要求管理員設定具有複雜許可的 IAM 角色。

  • AWS IAM Identity Center 為您的人力資源使用者提供集中位置 AWS。您可以直接在 AWS IAM Identity Center 中建立使用者和群組,或連接您在標準型身分提供者中管理的現有使用者和群組,例如 Okta、PingOne 或 Microsoft Entra ID (Azure AD)。 AWS IAM Identity Center 會將身分驗證導向您選擇的使用者和群組真實來源,並維護使用者和群組的目錄,以供 Redshift 存取。如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的管理身分來源支援的身分提供者

  • 您可以使用簡單的自動探索和連線功能,與多個 Redshift 叢集和工作群組共用一個 AWS IAM Identity Center 執行個體。這可讓您快速新增叢集,而無需額外努力為每個叢集設定 AWS IAM Identity Center 連線,並確保所有叢集和工作群組都有一致的使用者、其屬性和群組檢視。請注意,組織的 AWS IAM Identity Center 執行個體必須與您連線的任何 Redshift 資料共用位於相同區域。

  • 由於使用者身分是已知且會隨著資料存取而被記錄,因此您可以更輕鬆地透過稽核中的使用者存取權來符合法規 AWS CloudTrail。

連接應用程式的管理員角色

以下是將分析應用程式連線至 Redshift 的 AWS IAM Identity Center 受管應用程式的關鍵人物:

  • 應用程式管理員 — 建立應用程式,並設定應用程式將啟用哪些服務來交換身分字符。此管理員也會指定哪些使用者或群組可存取應用程式。

  • 資料管理員 — 設定對資料的精細存取權限。IAM Identity Center AWS 中的使用者和群組可以映射到特定許可。

透過 使用 IAM Identity Center AWS 連線至 Amazon Redshift Amazon QuickSight

以下說明如何使用 Amazon QuickSight 在連線至 Redshift 時進行身分驗證,並透過 IAM Identity Center AWS 管理存取:授權從 Amazon QuickSight 到 Amazon Redshift 叢集的連線。這些步驟也適用於 Amazon Redshift Serverless。

透過 Amazon Redshift 查詢編輯器 v2 使用 AWS IAM Identity Center 連線至 Amazon Redshift

完成設定與 Redshift 的 AWS IAM Identity Center 連線的步驟後,使用者可以透過以 AWS IAM Identity Center 為基礎的命名空間字首身分,存取資料庫中的資料庫和適當的物件。如需有關使用查詢編輯器 v2 登入以連線至 Redshift 資料庫的詳細資訊,請參閱使用查詢編輯器 v2

使用 IAM Identity Center 連線至 Amazon Redshift AWS 的限制

使用 AWS IAM Identity Center 單一登入時,請考慮下列限制:

  • 不支援增強型 VPC – 當您為 Amazon Redshift 使用 AWS IAM Identity Center 單一登入時,不支援增強型 VPC。如需增強型 VPC 的詳細資訊,請參閱 Amazon Redshift 中的增強型 VPC 路由